🗒️溯源学习
2024-1-25
| 2024-1-25
字数 1574阅读时长 4 分钟
type
status
date
slug
summary
tags
category
icon
password
💡
参考链接: 攻击溯源思路https://www.eumz.com/2020-09/2000.html 案例学习(需要的时候看看):https://www.secrss.com/articles/27611 安全攻击溯源思路案例https://www.cnblogs.com/xiaozi/p/13817637.html 服务器日志追踪攻击者:https://www.anquanke.com/post/id/86391

攻击源获取

1.安全设备报警:如扫描IP、威胁阻断、病毒木马、入侵事件等
2.日志与流量分析:异常的通讯流量、攻击源与攻击目标等
3.服务器异常资源:异常的文件、账号、进程、端口,启动项、计划任务和服务等
4.邮件钓鱼:获取恶意文件样本、钓鱼网站URL等
5.蜜罐系统:获取攻击者行为、意图的相关信息

常见溯源手段

IP定位

通过ip定位攻击者所在位置,以及通过ip反查域名等手段,查询域名注册信息,域名注册人及邮箱等信息。
  • 通过安全设备的流量,日志等手段获取攻击者ip,查询此IP为IDC的IP、CDN的IP还是普通运营商的出口IP,通过IP反查可能会查询到攻击者使用的web域名、注册人、邮箱等信息。
      1. 高精度IP定位:https://www.opengps.cn/Data/IP/LocHighAcc.aspx
      1. rtbasia(IP查询):https://ip.rtbasia.com/
      1. ipplus360(IP查询):http://www.ipplus360.com/ip/
      1. IP信息查询:https://www.ipip.net/ip.html/
      1. IP地址查询在线工具:https://tool.lu/ip/
 
当具体发现某些IP的攻击后,可以尝试通过此IP去溯源攻击者,具体实现过程如下:
  • 首先通过ipip.net网站或者其他接口,查询此IP为IDC的IP、CDN的IP还是普通运营商的出口IP。
  • 如果IP反查到域名就可以去站长之家或者whois.domaintools.com等网站去查询域名的注册信息。
  • ip反查如果查询到vps中的攻击者网站,可反渗透vps,进行漏洞挖掘,获取攻击者敏感信息
 
注意:
  • 假如IP反查到的域名过多,考虑就是CDN了,就没必要继续去查了。
  • 假如是普通运营商的出口IP只能使用一些高精度IP定位工具粗略估计攻击者的地址,如果需要具体定位到人,则需要更多的信息。

ID定位

ID追踪手段:
  1. 蜜罐等安全设备中获取攻击者ID
  1. 业务功能日志中抓取ID
  1. IP反查域名获取攻击者ID
常规ID溯源手段:
  1. (同类ID不同平台搜索)进行QQ等同名方式去搜索、进行论坛等同名方式搜索、社工库匹配等。
  1. (社工库匹配)如ID是邮箱,则通过社工库匹配密码、以往注册信息等。
  1. 如ID是手机号,则通过手机号搜索相关注册信息,以及手机号使用者姓名等。
  1. (白帽子信息库配对)

攻击程序分析

攻击者如果在攻击过程中对攻击目标上传攻击程序(如钓鱼软件),可通过对攻击者上传的恶意程序进行分析,并结合IP定位、ID追踪等技术手段对攻击进行分析溯源,常用的恶意程序分析网站有:
例子:
通过上传文件到https://s.threatbook.cn进行代码分析,可得到以下信息,攻击者在攻击过程使用了以下三个域名:
  • wvwvw.aaaa.com 用来接收cookies
  • baidu-jaaaa.com 用来存放js恶意代码,伪造图片
  • flashaaaa.cn 用来存放木马病毒
这些域名即可使用IP定位中的域名反查方法。

案例(详情见参考链接)

邮件钓鱼攻击溯源

攻防场景:攻击者利用社会工程学技巧伪造正常邮件内容,绕过邮件网关的查杀,成功投递到目标邮箱,诱骗用户点击邮件链接或下载附件文件。 信息收集: 通过查看邮件原文,获取发送方IP地址、域名后缀邮箱、钓鱼网站或恶意附件样本等信息。 溯源方式:
第一种,可以通过相关联的域名/IP进行追踪;(IP,ID定位)
第二种,对钓鱼网站进行反向渗透获取权限,进一步收集攻击者信息;(vps站点反渗透)
第三种,通过对邮件恶意附件进行分析(类似恶意 附件/程序 分析),利用威胁情报数据平台寻找同源样本获取信息,也能进一步对攻击者的画像进行勾勒。

Web入侵溯源

攻防场景:攻击者通过NDAY和0DAY漏洞渗入服务器网段,Webshell 触发安全预警或者威胁检测阻断了C&C域名的通讯。 溯源方式:
1.隔离webshell样本,丢进Virustotal和微步云沙箱分析行为
2.使用Web日志还原攻击路径,找到安全漏洞位置进行漏洞修复,从日志可以找到攻击者的IP地址,但攻击者一般都会使用代理服务器或匿名网络(例如Tor)来掩盖其真实的IP地址。 在入侵过程中,使用反弹shell、远程下载恶意文件、端口远程转发等方式,也容易触发威胁阻断,而这个域名/IP,提供一个反向信息收集和渗透测试的路径。

蜜罐溯源

攻防场景:在企业内网部署蜜罐去模拟各种常见的应用服务,诱导攻击者攻击。 溯源方式:在攻击者入侵蜜罐时,蜜罐可以记录攻击者的入侵行为,获取攻击者的主机信息、浏览器信息、甚至是真实 IP及社交信息。

其他

日志分析攻击者行为:见参考链接
 
相关文章 :
网络安全
  • 安服
    • CTF刷点题HTB WayWitch详解
    Loading...
    目录
    0%