我的匿名安全防護之道

關於我

無名小卒一枚

關於本文

莫名欠下邊界安全兩篇文章

本說是寫一個境外大型網路滲透測試筆記

後來和95聊到個人安全這塊的時候

決定寫一篇保護自己的文章

相信很多新鳥都特別好奇這一方面

前文介紹

針對信息安全人員自我保護這塊

網上文章不是太多

大家都去想著怎麼入侵

關於自我保護這塊我相信多數都是直接掛個VPN

最多VPN套VPN再撥3389之類的多層跳轉

就目前的手段來說多層跳轉能起到的作用不是太大

除非其中有多次跳轉發生在境外

那樣可以在一定程度上增加追查難度。

但是即使是在境外多次跳轉

又如何保證不經過某些特殊節點？

你的VPN是高匿VPN？

諸如此類的問題還有很多，慢慢道來。

技術層面的防護

首先是線路

一條完全匿名的線路我覺得應該滿足以下幾點：

（1）網路接入點匿名

（2）途徑節點匿名且加密

（3）使用的公網伺服器匿名

1.網路接入點匿名

這是指讓你的電腦接入公網的網路要匿名

要做到即使扒掉了你所有的偽裝

找到了你的真實IP也找不到你人

很多人進行測試滲透的時候

直接使用家裡、公司、學校或者公共wifi

用公共wifi多少還有點匿名性

（除了常出沒的區域公共wifi）

而前面三種則是完全說不上匿名

追到這個IP的時候也就追到了你。

對接入點匿名的方法也有多種

其中最簡單也是最方便的一種

是匿名4G上網卡配合匿名上網設備。

匿名卡與設備淘寶都有，數碼城也有

至於購買也不能用自己的賬戶去買

哪怕4G卡買來不需要實名

也不要用自己的賬戶

或者認識的人的賬戶去買。

萬一追查到售卡商

查交易記錄你就原形畢露了

4G設備和4G卡一樣

另外還有一點要注意

很多人以為4G上網設備這類東西

可以隨便用在實際生活中

工作做完了以後

換張私人的卡自己用，覺得沒什麼

這是典型的作死行為

事實上各種網路設備都是『可以被實名』的。

2.途徑節點匿名且加密

這裡指的是VPN線路的匿名隱藏。

VPN我建議大家還是自行搭建

不要去用什麼第三方的vpn客戶端

畢竟，你不知道你用的VPN

背後是什麼人在控制。

至於加密，PPTP眾所周知早已不安全。

我建議搭建加密VPN，具體手法移步G哥

另外相信大家都有這樣的情況：

VPN搞著搞著突然就斷了

於是你的真實IP就這麼出去了。

這兩天熱炒的是朝鮮黑客竊取8100W美刀

之所以指向朝鮮，很大部分原因是因為

惡意伺服器上有那麼一瞬間出現了

來自朝鮮的連接。

這只是一瞬間就被抓住了

而大家呢，有時候VPN斷了好久才發現。

這是不是在作死。

這塊我給大家提供一個解決辦法

在下文會提及。

3.使用的公網伺服器匿名

這裡指的是盡量別自己去買

VPS之類的公網伺服器

買也別用自己的賬戶買

最好還是挑選好用安全的肉雞

每個項目用不同的肉雞

絕不混用，避免關聯

用完清空痕迹即廢棄

必要的時候對硬碟進行多次覆蓋

並毀掉系統，永不再連接。

上面是對線路方面的大概梳理

部分內容還要結合環境來談

下面就開始說說攻擊環境的搭建

首先介紹一下我的工作環境與配置

1：物理機 vm12 卡巴斯基 TrueCyrpt 禁用網卡，物理機不接入網路。此外除win自帶軟體再無其他軟體

（別懷疑，現在這篇文檔我都是在一台沒有網卡的虛擬機里寫的）

2：vm12里安裝有

（1）用win7搭建的出口網關一台

（2）攻擊用的linux&win機器若干台

（一項目一刪，不建立快照，那東西就是證據）

（3）離線存儲工具包的win7一台

（4）離線處理檔案的win7一台（現在寫稿子的這台）

網關和攻擊機均設定在同一vlan

攻擊機的DNS設置為網關的內網IP

且和物理機不互通

攻擊機通過網關進出流量。

網關外接USB網卡

網卡連接上面說到的4G上網設備

網卡再通過開放了區域網共享的VPN

進入到公網。

這樣就可以實現攻擊機開機即走VPN線路

VPN斷線或者網關沒有啟動的話攻擊機立馬斷線

避免出現VPN線路不穩定暴露真實IP的情況。

雖然理想情況下用的上網卡也是匿名的

但是終歸是能不暴露就不暴露。

同時有技術條件的情況下

最好在網關上搭建一個流量監控

或者Gscan之類的被動掃描器。

這裡如果特別追求線路匿名

也可以部署Tor全局代理。

那樣的話需要把網關換成基於linux

類似RouteOS，海蜘蛛之類的軟路由

都可以實現。

不過之前做過，網速無法接受，於是放棄。

有極高的匿名需求的話可以做一下。

說完網路部署的基本情況

我們再看看我的虛擬機

大家可能會奇怪

為什麼要這麼多虛擬機

其實原因很簡單：減少混用。

攻擊機自然不用說

市面上大多數hack工具都有後門

攻擊機不中後門都不科學

別信所謂的絕對無後門，只不過是你發現不了。

很多神器沒有辦法自己開發也只能將就著用

所以我們為了避免信息泄露

重要文件絕對不能放在攻擊機上。

有人說物理機不就好了

那我提醒你一下：

非法獲取計算機信息系統數據或者非法控制計算機信息系統，具有下列情形之一的，涉嫌非法侵入計算機信息系統罪

（一）獲取支付結算、證券交易、期貨交易等網路金融服務的身份認證信息十組以上的；

（二）獲取第（一）項以外的身份認證信息五百組以上的；

你確定你的數據都是合法的？

這能隨便放物理機？

我單獨開一台虛擬機存工具包

不是因為我有多少0day或者什麼神器

而是為了防止被入侵

不知道你們有沒有這樣的經歷

有一台公網伺服器用來入侵

工具也傳上去

做完一個站之後工具依然在上面。

哪天本地或者其他地方需要用了

正好直接從VPS上下載，感覺挺方便。

但是你有沒有想過你下載下來的工具

是不是就是你當初傳上去的那份工具呢？

有沒有可能被人替換加馬了呢？

就我知道的，有些人就栽在這上面了。

所以我建議工具收集好就放到固定的地方

沒有必要就不要隨便替換

版本老一些無所謂，好用就行。

就像有些注入老版本的sqlmap能跑出來

新版本的就不支持那種注入方式。

更重要的是出去的工具

絕對不要再回到本地再使用。

離線文檔和離線資料庫就不解釋了

入侵時候經常需要去翻一些下載下來的文檔

有些很敏感的不適合在攻擊機打開

自然就需要一台專門處理文檔的機器了

至於資料庫，這麼重要的東西當然要好好保存。

我正常工作的時候

同時開個4-5台虛擬機

虛擬機之間的互通有很多方式了

但是有一個底線就是攻擊機

對其他機器只有讀取許可權

不給修改寫入許可權。

當然光靠這些顯然不行

如果不幸被追到本人，物理機就落入人手

上面所做的一切都沒用了。

所以還有很重要的一步：加密。

這裡的加密指的是對磁碟的整體加密

所有和滲透搭邊的文件全部放在單獨的磁碟

並對磁碟加密。

要保證電腦除了一個系統盤之外

所有盤都加密。

或者說所有和滲透有關的硬碟都加密。

包括虛擬機文件這些，

每次工作的時候才解密並掛載。

我用的是TrueCyrpt，最新版已經無法使用了

大家可以用舊一版本的

或者直接使用windows自帶的加密。

密碼自然越強壯越好

別以為十幾位無規則密碼就算強壯了。

我的密碼每次大概要輸個兩三分鐘吧

在沒輸入錯的情況下。

這樣就保證即使別人拿到了我的電腦

我也不用擔心他們能從我電腦里得到什麼。

反正物理機是什麼痕迹都沒有。

說了這麼多廢話

其實是為了充字數應付95

簡單總結一下就是：

（1）所有工作均在虛擬機進行

（2）流量統一經網關走VPN進出

（3）不同需求分配不同虛擬機

（4）文件獨立

（5）全盤加密&拒絕弱密碼

第二部分 個人習慣

第一部分說了技術層面的防護

其實也就是一些基本的設置防護。

要做到上面那樣不難

很多人做的比我嚴謹（過分）多了。

個人覺得個人習慣比上面的更為重要。

常見的惡習有哪些：

（1）圖省事物理機連VPN直接搞

這種情況基本意味著你沒啥匿名可言

而且一般這麼做的人

各種黑客軟體也是直接在物理機運行。

妥妥的成別人肉雞，還是會自覺上線的那種。

簡直萌萌噠

（2）賬戶混用

比如在項目A中用了一個匿名郵箱

或者其他什麼賬戶。

在項目B中繼續使用。

這樣的話有關機構很容易

根據這個郵箱把你的足跡關聯起來

由B挖出A，可能你在B項目中其他都做得很好

沒給別人機會追查你，但是

項目A由於是你早期做的項目

漏洞百出，給了他們追查你的機會。

（3）公私不分

最常見的就是隨手把項目截圖之類的東西

經由私人賬戶發到QQ微信

此外還有用私人郵箱，

手機號發送文件和信息。接收驗證碼之類。

（4）留特徵值，這點多見於自寫工具

腳本以及不少小夥子喜歡的黑頁。

特徵值一旦被確定了

就會被用來在互聯網搜索有關信息

關聯查詢下很可能就會查到更多的信息。

另外也增加了被溯源的可能性。

（5）電腦不關機就離開

這點之所以要提

是因為你做磁碟加密的目的就是為了保護數據

如果在你掛載磁碟之後人離開了

恰巧這個時候被人家查了物理機

或者被別有用心的人竊取或植入什麼

那加密還有什麼意義。

所以最好做到離開即關機。

起碼把加密磁碟解除卸載恢復加密狀態。

（6）黑頁

反正我是一直沒明白這有啥意義。

你說要是前段時間薩德事件搞韓國掛掛黑頁

還能理解為愛國。

平時日個站你掛黑頁幹嗎

還把周圍一群人帶上，生怕人家查不到。

黑頁一旦掛上去，就等於進了資料庫

日後人家溯源你一查一個準。

自己作死沒人管你，別把周圍的朋友也坑了。

（7）密碼通用，不解釋。

（8）早期目標調研的時候用真實IP去訪問

還記得之前習科道展針對某位前員工的攻擊指證。

那位員工出問題的地方就在於

DDOS攻擊前和攻擊中都用真實IP去訪問了目標。

（9）短時間就想到這麼多了

我想每個人都有中槍的地方吧

大家可以補充補充。

一些隱藏和反追蹤的小竅門：

（1）修改系統語言

根據你節點的地址修改語言

比如你的節點出口為日本

就把系統語言改為日語

裝上日語包。這是偽造的第一步。

（2）修改系統時間

如果不做上面那一步的話就隨意修改了

這步主要是為了避免別人

根據得到的文件時間戳來推測你的所在國家

（3）機器的用戶名避免出現特徵，因為類似office這些軟體在保存文檔的時候默認會把當前用戶名保存到作者。

（4）如果在一個目標做完撤出後

想知道目標什麼時候發現以及追查到什麼程度

那可以故意在目標內網留下一組

用戶名密碼aaa/bbb並留下一台肉雞的地址線索

比如肉雞是win的，那就在3389做監聽和過濾

如果監聽到有aaa/bbb的嘗試

就說明目標已經察覺並追查到那裡

更深一步的話你還可以在不同位置

留下不同的用戶名密碼

監聽到哪一組密碼就說明目標已經追查到哪裡。

下一篇境外大型網路滲透測試記錄請期待

預計發表時間：二十天內

邊界安全：

講道理，這篇文章絕對乾貨

互聯網極少見這方面的詳細文章

常規滲透或者是一些新鳥沒有必要學習

了解了解，漲漲姿勢就好

對於本文的真實性我覺得大家不必懷疑

筆者是位老鳥， 技術很硬。

隱秘方向也確實保護的很好

包括這篇不起眼的稿子

經過了兩層加密

通過谷歌郵箱的草稿箱方式傳遞給我

平時對話、傳輸文件交流也是加密通訊

這裡有一些敏感的事情，筆者不讓多說。

我也和你們一起期待下一篇文章。