前言
攻防演练中防守方少不了要做的一件事就是溯源分析。在发现有入侵者后,快速由守转攻。接下来就来看看如何根据不同的场景去做溯源分析,最后生成攻击者的身份画像。
攻击方式
在攻防演练中攻击方主要通过下面的方式进行攻击:web网站,服务漏洞,钓鱼,还有近几年来比较流行的近源攻击。这些攻击方式都不是无迹可寻,会在各种设备上留下痕迹。溯源就是根据留下的痕迹去反向找到攻击者。
攻击源
再来看看我们能够获取到的攻击源都有哪些,这些就是我们进行溯源分析的原始数据。最常见的攻击源就是IP地址,域名,恶意样本,社交账号ID,邮箱/手机号。
溯源方式
从上面可以看到,我们获取到的攻击源可以分为三种:IP,域名,个人ID信息(手机号,社交名称,邮箱等)
IP方式溯源
得到攻击者的IP,可以通过下面的方式进行溯源
1)先判断IP的类型,看IP是代理IP,IDC机房/云主机,肉鸡,CDN IP。查看IP的类型可以通过威胁情报网站或者ipip.net这种类型的网站进行判断。
2)代理IP/CDN:如果攻击IP是代理IP或者CDN IP地址,那么一般是没有办法进行有效溯源的,可以先放弃。
3)肉鸡IP:这种IP一般是由于存在漏洞被攻击者拿到权限,进而用作跳板进行攻击,这种只能去攻击这台主机拿到权限以后,上去查找连接记录,进而获取真实IP,在进行溯源。这种方式比较难。
4)IDC机房或者云主机:这种有可能是攻击者自己的服务器,可以查看该IP的历史域名解析记录,根据域名信息去做whois查询,看是否能够获取到注册人信息,如姓名,邮箱,手机号等。如果可以拿到这些信息,可以去查社工库,或者各种论坛去完善攻击者画像。
5)真实IP:如果是真实IP,那么可以通过网站对攻击者的位置进行大概定位,在结合其它信息进行判断。
查询IP信息的常用网站
https://www.cz88.net/iplab
https://www.ipip.net/
https://www.ipuu.net/query/ip?search=
https://tool.lu/ip/
https://x.threatbook.com/
域名方式溯源
从恶意样本或者钓鱼邮件中可以提取到域名,可以根据域名去查找攻击者的相关信息。
ID方式溯源
通过下面的方式进行查询
1)如果有邮箱,手机号等信息,可以查找社工库去获取信息
2)进行ID同名搜索,在各个不同的社交网站进行查询,如淘宝,qq等
3)ID是手机号,可以通过手机号搜索相关信息,以及手机号使用者的姓名等
总结
溯源的关键还是你能获取到信息的多少,要通过蜜罐这类技术去尽可能的捕获攻击者的特征,然后再去进行反查。
本公众号云息信安所提供的信息以及工具仅供安全测试人员用于授权测试,禁止用于未授权测试,请勿非法使用!!!造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号云息信安及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
原文始发于微信公众号(云息信安):攻防演练之溯源分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论