2020年度HW平安夜 09/19 攻击溯源

admin 2021年4月4日16:00:50评论130 views字数 2225阅读7分25秒阅读模式

“满当当的昨天,
富意义的今天~”

今日主题:01 HW日记、02 攻击溯源手段



01 HW日记


2020年度HW平安夜 09/19 攻击溯源


HW日记

2020919  周六  小雨转阴

HW第二轮的第二天,HW进入倒计时阶段,还有五天!


今年的HW尤其特别,特别到让人摸不着头脑。

·防守方安安静静、无报警、无应急、无溯源。互相打探、互相讨论:攻击队伍在干嘛?来了吗?怎么还没来?

2020年度HW平安夜 09/19 攻击溯源


====最高端的黑客,往往采用最朴素的溯源方式。
====防守方:这个人你认识不?微信,手机号多少?


·攻击方小心翼翼,不用扫描器、不用脚本、重装电脑、清浏览器缓存、访问下网站判断是蜜罐立马就撤离,仿佛人间蒸发一般的招数。

2020年度HW平安夜 09/19 攻击溯源

往年防守方不扣分就是赢,今年防守方不抓到人就如同输。


蜜罐成了今年的重头反制武器,攻击方小心翼翼,清空浏览器缓存、不敢用自己电脑。防守方也因为蜜罐的部署解决了往年被疯狂扫描的想象,由被动变为主动。蜜罐溯源反制终将成为一个常态化趋势~~~


总之今年,一切都是静悄悄的~



02 攻击溯源手段


2020年度HW平安夜 09/19 攻击溯源


开局一张图:

 

2020年度HW平安夜 09/19 攻击溯源


攻击溯源的技术手段,主要包括ip定位、ID定位与攻击者定位。


通过ip可定位攻击者所在位置,以及通过ip反查域名等手段,查询域名的注册信息,域名注册人及邮箱等信息。


通过ID定位可获取攻击者常用的网络ID,查询攻击者使用同类ID注册过的微博或者博客、论坛等网站,通过对网络ID注册以及使用情况的查询,定位攻击者所在公司、手机号、邮箱、QQ等信息。


或通过其他手段定位攻击者,如反制攻击者vps,获取攻击者vps中的敏感信息、反钓鱼、恶意程序分析溯源等手段。



2020年度HW平安夜 09/19 攻击溯源

0x01 ip定位技术



通过安全设备或其他技术手段抓取攻击者的IP,对IP进行定位,查询此IP为IDC的IP、CDN的IP还是普通运营商的出口IP,通过IP反查可能会查询到攻击者使用的web域名、注册人、邮箱等信息。一般常用的IP查询工具有:


  1. 高精度IP定位:https://www.opengps.cn/Data/IP/LocHighAcc.aspx

  2. rtbasiaIP查询):https://ip.rtbasia.com/

  3. ipplus360IP查询):http://www.ipplus360.com/ip/

  4. IP信息查询:https://www.ipip.net/ip.html/

  5. IP地址查询在线工具:https://tool.lu/ip/


当发现某些IP的攻击后,可以尝试通过此IP去溯源攻击者,具体实现过程如下:

  • 首先通过ipip.net网站或者其他接口,查询此IP为IDC的IP、CDN的IP还是普通运营商的出口IP。

  • 如果IP反查到域名就可以去站长之家或者whois.domaintools.com等网站去查询域名的注册信息。

 

通过收集到的这些信息,就比较容易定位到人。


    在通过IP定位技术溯源过程,应注意以下情况:

  • 假如IP反查到的域名过多,考虑就是CDN了,就没必要继续去查了。

  • 假如是普通运营商的出口IP只能使用一些高精度IP定位工具粗略估计攻击者的地址,如果需要具体定位到人,则需要更多的信息。



2020年度HW平安夜 09/19 攻击溯源

0x02 ID追踪技术



在通过IP定位后技术追踪攻击者,可通过指纹库、社工库等或其他技术手段抓取到攻击者的微博账号、百度ID等信息,一般通过以下技术手段实现:

  1. 进行QQ等同名方式去搜索、进行论坛等同名方式搜索、社工库匹配等。

  2. 如ID是邮箱,则通过社工库匹配密码、以往注册信息等。

  3. 如ID是手机号,则通过手机号搜索相关注册信息,以及手机号使用者姓名等。


例如,当通过ID追踪技术手段定位到某攻击者的QQ号、QQ网名等信息,通过专业社工库可以进一步追踪攻击者使用的QQ号注册过的其它网络ID,从而获取更多攻击者信息,从而确定攻击者的真实身份。



2020年度HW平安夜 09/19 攻击溯源

0x03 攻击程序分析



攻击者如果在攻击过程中对攻击目标上传攻击程序(如钓鱼软件),可通过对攻击者上传的恶意程序进行分析,并结合IP定位、ID追踪等技术手段对攻击进行分析溯源,常用的恶意程序分析网站有:

Ø  微步在线云沙箱:https://s.threatbook.cn/

Ø  Virustotal:https://www.virustotal.com/gui/home/upload

Ø  火眼(https://fireeye.ijinshan.com)

Ø  Anubis(http://anubis.iseclab.org)

Ø  joe(http://www.joesecurity.org)


例如,当发现某攻击者利用263邮箱系统0DAY(xss漏洞)进行钓鱼攻击,通过以下方式可追踪攻击者身份:

1)对恶意程序分析

通过上传文件到https://s.threatbook.cn进行代码分析,可得到以下信息,攻击者在攻击过程使用了以下三个域名:

  • wvwvw.aaaa.com  用来接收cookies

  • baidu-jaaaa.com 用来存放js恶意代码,伪造图片

  • flashaaaa.cn 用来存放木马病毒


然后对域名进行反查。


以上祝各位用的上、抓到人。

2020年度HW平安夜 09/19 攻击溯源

2020年度HW平安夜 09/19 攻击溯源


2020年度HW平安夜 09/19 攻击溯源

HW平安夜: 09/12 漏洞PAYlOAD

HW平安夜: 09/14 漏洞PAYlOAD

HW平安夜: 09/15  红队渗透手册之弹药篇

HW平安夜: 09/17 红队手册之代理转发与隧道

HW平安夜 09/18 新一轮的踩点(一)

攻防演练中红队如何识别蜜罐保护自己

2020HW红方漏洞利用总结(一)
2020HW红方漏洞利用总结(二)



扫描关注LemonSec

2020年度HW平安夜 09/19 攻击溯源


2020年度HW平安夜 09/19 攻击溯源


本文始发于微信公众号(LemonSec):HW平安夜 09/19 攻击溯源

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年4月4日16:00:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   2020年度HW平安夜 09/19 攻击溯源http://cn-sec.com/archives/304281.html

发表评论

匿名网友 填写信息