?
?
導讀
- 沒有進攻和威脅的被動防守,是注定失敗的
- 關注全球威脅情報和學會網路攻擊溯源是特別重要的
- 在發現有入侵者后,快速由守轉攻,進行精準地溯源反制,收集攻擊路徑和攻擊者身份資訊,勾勒出完整的攻擊者畫像,
溯源思路
1、攻擊源捕獲
- ?安全設備報警,如掃描IP、威脅阻斷、病毒木馬、入侵事件等
- ?日志與流量分析,例外的通訊流量、攻擊源與攻擊目標等
- ?服務器資源例外,例外的檔案、賬號、行程、埠,啟動項、計劃任務和服務等
- ?郵件釣魚,獲取惡意檔案樣本、釣魚網站URL等
- ?蜜罐系統,獲取攻擊者行為、意圖的相關資訊
2、溯源反制手段
2.1 IP定位技術
根據IP定位物理地址—代理IP
?溯源案例:通過IP埠掃描,反向滲透服務器進行分析,最終定位到攻擊者相關資訊
2.2 ID追蹤術
?ID追蹤術,搜索引擎、社交平臺、技術論壇、社工庫匹配
?溯源案例:利用ID從技術論壇追溯郵箱,繼續通過郵箱反追蹤真實姓名,通過姓名找到相關簡歷資訊
2.3 網站url
域名Whois查詢—注冊人姓名、地址、電話和郵箱,—域名隱私保護
?溯源案例:通過攻擊IP歷史決議記錄/域名,對域名注冊資訊進行溯源分析
2.4 惡意樣本
?提取樣本特征、用戶名、ID、郵箱、C2服務器等資訊—同源分析
?溯源案例:樣本分析程序中,發現攻擊者的個人ID和QQ,成功定位到攻擊者,
2.5 社交賬號
基于JSONP跨域,獲取攻擊者的主機資訊、瀏覽器資訊、真實 IP及社交資訊等
?利用條件:可以找到相關社交網站的jsonp介面泄露敏感資訊,相關網站登錄未注銷
3、攻擊者畫像
3.1 攻擊路徑
攻擊目的:拿到權限、竊取資料、獲取利益、DDOS等
?網路代理:代理IP、跳板機、C2服務器等
?攻擊手法:魚叉式郵件釣魚、Web滲透、水坑攻擊、近源滲透、社會工程等
3.2 攻擊者身份畫像
? 虛擬身份:ID、昵稱、網名
? 真實身份:姓名、物理位置
? 聯系方式:手機號、qq/微信、郵箱
? 組織情況:單位名稱、職位資訊
4、安全攻擊溯源篇
4.1 案例一:郵件釣魚攻擊溯源
攻防場景:攻擊者利用社會工程學技巧偽造正常郵件內容,繞過郵件網關的查殺,成功投遞到目標郵箱,誘騙用戶點擊郵件鏈接或下載附件檔案,
資訊收集: 通過查看郵件原文,獲取發送方IP地址、域名后綴郵箱、釣魚網站或惡意附件樣本等資訊,
溯源方式:第一種,可以通過相關聯的域名/IP進行追蹤;第二種,對釣魚網站進行反向滲透獲取權限,進一步收集攻擊者資訊;第三種,通過對郵件惡意附件進行分析,利用威脅情報資料平臺尋找同源樣本獲取資訊,也能進一步對攻擊者的畫像進行勾勒,
4.2 案例二:Web入侵溯源
攻防場景:攻擊者通過NDAY和0DAY漏洞滲入服務器網段,Webshell 觸發安全預警或者威脅檢測阻斷了C&C域名的通訊,
溯源方式:隔離webshell樣本,使用Web日志還原攻擊路徑,找到安全漏洞位置進行漏洞修復,從日志可以找到攻擊者的IP地址,但攻擊者一般都會使用代理服務器或匿名網路(例如Tor)來掩蓋其真實的IP地址,
在入侵程序中,使用反彈shell、遠程下載惡意檔案、埠遠程轉發等方式,也容易觸發威脅阻斷,而這個域名/IP,提供一個反向資訊收集和滲透測驗的路徑,
4.3 案例三:蜜罐溯源
攻防場景:在企業內網部署蜜罐去模擬各種常見的應用服務,誘導攻擊者攻擊,
溯源方式:在攻擊者入侵蜜罐時,蜜罐可以記錄攻擊者的入侵行為,獲取攻擊者的主機資訊、瀏覽器資訊、甚至是真實 IP及社交資訊,
更多網路安全知識點,歡迎關注我
?
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/451276.html
標籤:其他
上一篇:從Refined獲取謂詞