溯源手册(一)

admin 2022年6月24日23:39:56应急响应评论18 views827字阅读2分45秒阅读模式
点击蓝字
溯源手册(一)
关注我们


×
技巧篇
溯源手册(一)
溯源手册(一)

通常情况下,接到溯源任务时,获得的信息如下

攻击时间

攻击IP

预警平台

攻击类型

恶意文件

受攻击域名/IP

其中攻击IP、攻击类型、恶意文件、攻击详情是溯源入手的点。

通过攻击类型分析攻详情的请求包,看有没有攻击者特征,通过获取到的IP地址进行威胁情报查询来判断所用的IP具体是代理IP还是真实IP地址。

  • 端口扫描大概率为个人vps或空间搜索引擎,在接到大量溯源任务时可优先溯源。

  • 如命令执行大概率为未经任何隐匿的网络、移动网络、接到脚本扫描任务的肉鸡,在接到大量溯源任务时可优先溯源。

  • 如爬虫大概率为空间搜索引擎,可放到最后溯源。

  • 如恶意文件可获得c2地址、未删除的带有敏感信息的代码(如常用ID、组织信息)、持续化控制代码(C2地址指在APT攻击里的命令与控制,若获取到C2地址可以使我们的溯源目标更有针对性)

  • 持续化控制代码需要详细分析,如采用DGA域名上线的方法,分析出域名算法,预测之后的域名可有效减少损失,增加溯源面

溯源结果框架

在受到攻击、扫描之后,进行一系列溯源操作后,理想情况下想要获得如下数据,来刻画攻击者画像。

姓名/ID:

攻击IP:

地理位置:

QQ:

微信:

邮箱:

手机号:

支付宝:

IP地址所属公司:

IP地址关联域名:

其他社交账号信息(如微博/src/id证明):

人物照片:

跳板机(可选):

在写溯源报告时,应避免单一面石锤,需要反复验证,避免中途溯源错人,各个溯源线索可以串起来,要具有逻辑性。

溯源手册(一)

团队简介

FCSQ安全团队(FCSQ-SEC)是一个商业性的民间技术机构,主要由计算机爱好者组成。FCSQ安全团队创立于2021年1月1日,由安静等人共同创建。


我们致力于网络安全、应用安全与WEB安全等领域的研究探索,并进行有计划有组织的计算机技术方面的研究、交流、整理和推广工作。


网络安全离不开你我的共同努力,维护网络安全是我们永恒不变的心愿!


溯源手册(一)
扫码关注
溯源手册(一)
溯源手册(一)
关注我们,及时接收福利不迷路!



原文始发于微信公众号(FCSQ安全团队):溯源手册(一)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月24日23:39:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  溯源手册(一) http://cn-sec.com/archives/1141642.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: