BounceBack: Lá chắn bảo vệ hạ tầng C2/Phishing khỏi các cuộc tấn công

Việc bảo vệ hạ tầng khỏi các cuộc tấn công mạng ngày càng trở nên quan trọng. Đặc biệt đối với các hệ thống C2/Phishing, việc ẩn danh và bảo mật là yếu tố then chốt để duy trì hoạt động. BounceBack – một reverse proxy mạnh mẽ và linh hoạt – được thiết kế để đáp ứng nhu cầu này. Với khả năng tùy chỉnh cao, hệ thống lọc thông minh và tích hợp WAF, BounceBack là giải pháp tối ưu để bảo vệ hạ tầng của bạn khỏi sự dòm ngó và tấn công.

Giới thiệu về BounceBack

BounceBack là một reverse proxy mạnh mẽ, có khả năng tùy chỉnh cao và cấu hình linh hoạt, tích hợp chức năng WAF (Web Application Firewall) giúp che giấu hạ tầng C2/phishing của bạn khỏi sự dòm ngó của đội ngũ bảo mật (blue team), sandbox, các công cụ quét,… Nó sử dụng phân tích lưu lượng truy cập thời gian thực thông qua nhiều bộ lọc để ngăn chặn những truy cập bất hợp pháp.

Công cụ này được phân phối kèm theo danh sách các từ bị chặn, địa chỉ IP bị chặn và cho phép cấu hình sẵn. Để biết thêm thông tin về cách sử dụng công cụ, bạn có thể truy cập wiki của dự án dưới đây:

Link Github

Xem thêm: De digger: Công cụ tìm File của người khác trên Google Drive

Các tính năng nổi bật của BounceBack

BounceBack sở hữu nhiều tính năng ưu việt giúp bảo vệ hạ tầng của bạn một cách hiệu quả:

• Hệ thống lọc linh hoạt và tùy biến cao: Với khả năng kết hợp các quy tắc dựa trên boolean (and, or, not), BounceBack có thể che giấu hạ tầng của bạn khỏi những ánh mắt soi mói nhất của đội ngũ bảo mật.
• Cấu trúc dự án dễ dàng mở rộng: Mọi người đều có thể thêm quy tắc cho C2 của riêng mình, giúp tăng tính linh hoạt và khả năng tùy biến.
• Tích hợp danh sách đen IP khổng lồ: Danh sách này bao gồm các dải IP và pool IPv4 được biết là liên quan đến các nhà cung cấp bảo mật IT, kết hợp với bộ lọc IP để ngăn chặn họ sử dụng/tấn công hạ tầng của bạn.
• Trình phân tích cấu hình Malleable C2: BounceBack có thể xác thực lưu lượng HTTP(s) đến dựa trên cấu hình Malleable và từ chối các gói không hợp lệ.
• Hỗ trợ Domain Fronting: Tính năng này giúp bạn che giấu hạ tầng của mình hiệu quả hơn.
• Kiểm tra vị trí địa lý IP: BounceBack có thể kiểm tra địa chỉ IPv4 của yêu cầu so với dữ liệu tra cứu ngược/địa lý IP và so sánh nó với các biểu thức chính quy được chỉ định để loại trừ các kết nối từ bên ngoài các công ty, quốc gia, thành phố, miền, v.v. được phép.
• Bộ lọc thời gian hoạt động: Tất cả các yêu cầu đến có thể được cho phép/không cho phép trong bất kỳ khoảng thời gian nào, vì vậy bạn có thể cấu hình bộ lọc thời gian hoạt động.
• Hỗ trợ nhiều proxy: BounceBack hỗ trợ nhiều proxy với các pipeline lọc khác nhau trên cùng một instance.
• Cơ chế ghi nhật ký chi tiết: Cho phép bạn theo dõi tất cả các yêu cầu đến và sự kiện để phân tích hành vi của đội ngũ bảo mật và gỡ lỗi sự cố.

Cơ chế hoạt động của quy tắc

Ý tưởng chính của các quy tắc là cách BounceBack khớp lưu lượng truy cập. Công cụ hiện hỗ trợ các loại quy tắc sau:

• Kết hợp quy tắc dựa trên Boolean (and, or, not)
• Phân tích IP và subnet
• Kiểm tra các trường vị trí địa lý IP
• Tra cứu ngược miền
• Khớp biểu thức chính quy gói thô
• Xác thực lưu lượng truy cập cấu hình Malleable C2
• Quy tắc giờ làm việc (hoặc không làm việc)
• Quy tắc tùy chỉnh: Có thể dễ dàng thêm các quy tắc tùy chỉnh bằng cách đăng ký RuleBaseCreator hoặc RuleWrapperCreator của bạn. Xem các RuleBaseCreator và RuleWrapperCreator đã được tạo sẵn trong dự án.

Bạn có thể tìm thấy trang cấu hình quy tắc TẠI ĐÂY

Cấu hình Proxy và các giao thức được hỗ trợ

Phần proxy được sử dụng để cấu hình nơi lắng nghe và proxy lưu lượng truy cập, giao thức nào sẽ sử dụng và cách liên kết các quy tắc với nhau để lọc lưu lượng truy cập. Hiện tại, BounceBack hỗ trợ các giao thức sau:

• HTTP(s): Dành cho hạ tầng web của bạn.
• DNS: Dành cho các đường hầm DNS của bạn.
• TCP thô (có hoặc không có tls) và UDP: Dành cho các giao thức tùy chỉnh.
• Giao thức tùy chỉnh: Có thể dễ dàng thêm các giao thức tùy chỉnh bằng cách đăng ký loại mới của bạn trong trình quản lý. Bạn có thể tìm thấy các ví dụ về proxy tại đây.

Bạn có thể tìm thấy trang cấu hình proxy tại trang này.

Hướng dẫn cài đặt BounceBack

Cách 1: Cài đặt từ bản phát hành

Tải xuống bản phát hành mới nhất từ trang này > Giải nén thư mục > Chỉnh sửa file cấu hình > Khởi chạy BounceBack.

Cách 2: Cài đặt từ mã nguồn

Clone dự án (đừng quên GitLFS) > Cài đặt goreleaser > Chạy lệnh:

goreleaser release --clean --snapshot

Cách sử dụng BounceBack

Bước 1 (tùy chọn): Cập nhật danh sách banned_ips.txt:

list:bash scripts/collect_banned_ips.sh > data/banned_ips.txt

Bước 2: Chỉnh sửa config.yml cho nhu cầu: Cấu hình các quy tắc để khớp lưu lượng truy cập, proxy để phân tích lưu lượng truy cập bằng các quy tắc và các biến toàn cục để cấu hình quy tắc chuyên sâu.

Bước 3: Chạy BounceBack: ./bounceback

Các tùy chọn dòng lệnh:

• -c, –config string: Đường dẫn đến tệp cấu hình ở định dạng YAML (mặc định là “config.yml”).
• -l, –log string: Đường dẫn đến tệp nhật ký (mặc định là “bounceback.log”).
• -v, –verbose count: Ghi nhật ký chi tiết (0 = thông tin, 1 = gỡ lỗi, 2+ = theo dõi).

Xem thêm: DNS Spy: Công cụ phân tích DNS của Domain bất kỳ

Lời Kết

BounceBack là một công cụ linh hoạt giúp bảo vệ hạ tầng C2/phishing. Với khả năng tùy chỉnh cao, hệ thống lọc linh hoạt và hỗ trợ đa dạng các giao thức, BounceBack là một lựa chọn lý tưởng để nâng cao an ninh cho hệ thống của bạn.

Câu hỏi thường gặp

BounceBack bảo vệ hạ tầng C2/Phishing như thế nào?

BounceBack hoạt động như một reverse proxy mạnh mẽ, sử dụng hệ thống lọc thông minh và tích hợp WAF để che giấu hạ tầng của bạn khỏi các cuộc tấn công và sự dòm ngó của các công cụ bảo mật. Nó cho phép tùy chỉnh cao và hỗ trợ nhiều giao thức.

Tôi có thể tùy chỉnh BounceBack để phù hợp với nhu cầu của mình không?

Hoàn toàn có thể! BounceBack cho phép tùy chỉnh cao thông qua các quy tắc dựa trên Boolean, khả năng thêm các quy tắc tùy chỉnh, và hỗ trợ nhiều proxy với các pipeline lọc khác nhau.

BounceBack hỗ trợ những giao thức nào?

BounceBack hỗ trợ HTTP(s), DNS, TCP/UDP thô, và cho phép thêm các giao thức tùy chỉnh.