基于ESXI部署防溯源的攻击环境

最近这几年攻防对抗愈演愈烈，攻击队被溯源反制的案例也越来越多。我本身从事应急响应，想站在蓝队的视角，基于ESXI实现一套防溯源的攻击环境，本文的所有操作只需要在ESXI和Openwrt上配置。实现在隔离网段中创建的新机器无需任何配置，开机即用的效果。

自计算机系统出现以来，网络攻击者一直利用当时可用的各种攻击向量对系统实施入侵。在早期，由于数字环境规模小、结构简单，攻击方式也相对直接、易于理解。随着时间推移，数字系统不断扩展并演化成庞大而复杂的数字基础设施，随之而来的攻击手法也日趋高级和隐蔽，使得攻击分析与检测变得愈加困难。

在应急响应的实际工作中，要全面理解一次网络入侵事件，必须对攻击者的行为路径、操作步骤和关键决策点进行结构化、标准化的建模。满足这一需求的重要方法之一，就是 MITRE ATT&CK 框架。

python -c import pty; pty.spawn("/bin/bash")

做过渗透的小伙伴对这个命令都不会陌生，通常利用web漏洞进行反弹shell后，都会执行python的pty.spawn得到一个功能相对完善的伪终端，比如支持命令补全、使用vim等需要终端控制的程序。但是这也会导致攻击者执行过的命令被写入到当前用户的.bash_history中。

【标题】:xxxxx 发现 DNS 恶意请求
【客户名称】:xxxxxxx
【风险等级】:高
【告警时间】:2025-06-12 
【事件类型】:恶意请求行为
【受影响资产】:xxxxxxx 【详情】:[机器:xxxxxxx，请求恶意域名:mst2.mymst007.info，进程: C:\Windows\System32\wbem\scrcons.exe，请求次数:5，首次请求时间:2025-06-12 23:03:43， 最近请求时间:2025-06-12 23:03:43]

最近MSS运营中收到一条主机安全的告警，某客户的机器触发DNSLOG告警。但是这台机器本身也不提供服务，也没有公网ip，甚至已经很长时间都没人登录过，查看记录已经稳定运行几年时间了。这样的机器为什么会突然产生DNSLOG告警？

收集整理了互联网上IDA Pro 9.1多个平台的破解版本，为方便使用整理成了一键安装脚本。

通常在docker run 时可能会忘记添加必要的端口映射，但是在运行成功后，想要添加新的端口映射。网上给出的方案基本都是要先stop容器再重新commit，这种方式非常麻烦，对于没有volume挂载的容器，容器内部运行时的数据可能会丢失。