如何防止溯源（红队角度）

前面两点都是蓝队角度。说说红队如何防止被溯源吧。

任何需要认证的地方，不用自己真实的，也不用任何和公司有关的名词。

任何需要交互操作的地方，都需要挂上全局代理，尽量不用暴露自己的真实ip，其次，警惕蜜罐，就那种看起来都多漏洞的站点，直接访问跳到后台，然后admin、123456就进去这种，稍微注意一下。

任何服务器，C2、文件服务器，扫描器，都要特殊用途特殊操作。

不开无用端口。

即：匿名性、专业性、精细化

别信所谓的绝对无后门，只不过是你发现不了。

很多神器没有办法自己开发也只能将就着用

所以我们为了避免信息泄露重

要文件绝对不能放在攻击机上。

（1）所有工作均在虚拟机进行

（2）流量统一经网关走VPN进出

（3）不同需求分配不同虚拟机

（4）文件独立

（5）全盘加密&拒绝弱密码

VPN

真实APT的话，那肯定是高匿名性的。但是作为演习，一般就行了。

1. 线路匿名

（1）网络接入点匿名

（2）途径节点匿名且加密

（3）使用的公网服务器匿名

1. 网络接入点匿名

安全操作恶习

（1）图省事物理机连VPN直接搞

这种情况基本意味着你没啥匿名可言

而且一般这么做的人

各种黑客软件也是直接在物理机运行。

妥妥的成别人肉鸡，还是会自觉上线的那种。

简直萌萌哒

（2）账户混用

比如在项目A中用了一个匿名邮箱

或者其他什么账户。

在项目B中继续使用。

这样的话有关机构很容易

根据这个邮箱把你的足迹关联起来

由B挖出A，可能你在B项目中其他都做得很好

没给别人机会追查你，但是

项目A由于是你早期做的项目

漏洞百出，给了他们追查你的机会。

（3）公私不分

最常见的就是随手把项目截图之类的东西

经由私人账户发到QQ微信

此外还有用私人邮箱，

手机号发送文件和信息。接收验证码之类。

（4）留特征值，这点多见于自写工具

（5）电脑不关机就离开

（6）黑页

（7）密码通用

（8）早期目标调研的时候用真实IP去访问

反蜜罐

有插件、也可以自己判断是否为蜜罐。

最好的方式是把浏览器中的登录记录给删点。或者是在虚拟机中操作。

清除日志方式

• kill <bash process ID> 不会存储
• set +o history 不写入历史记录
• unset HISTFILE 清除历史记录的环境变量