默安科技全新出品的网络安全技术主题节目——安全芝士局,于近日正式播出第四期线上节目,默安科技安全研究员辉哥为大家分享了溯源与反制的前世今生。
本期芝士局的分享从溯源的前世、溯源与反制在网络安全中的应用、溯源与反制的未来及案例分享等方面展开。
戳下方观看直播回放↓
溯源的前世
先从社会工程学说起
在没有网络安全之前,大多数情况是通过社会工程学来进行溯源。在信息安全方面,社会工程学是指对人进行心理操纵术,使其采取行动或泄露机密信息。它是一种以信息收集、欺诈或系统访问为目的的信任骗局,与传统的“骗局”不同,它通常是更复杂的欺诈计划中的许多步骤之一。历史上,社会工程学隶属于社会学,不过其影响他⼈⼼理的效果引起了计算机安全专家的注意,它也被定义为“影响一个人采取可能或可能不符合其最佳利益的行动的任何行为”。
没有网络安全之前的溯源是什么
没有网络安全之前的溯源主要包括以下几类:一是网络诈骗溯源;二是通话定位溯源;三是犯罪事件溯源,比如说抓捕犯罪分子,通过调查监控看罪犯从哪里开始下手的,抓到之后,也会继续溯源找到其犯罪动机;四是照片溯源,比如女明星因自拍瞳孔倒影暴露住址惨遭跟踪、女主播私密照片暴露住址等即是典型例子。
溯源与反制在网络安全中的应用
在有网络安全之后,溯源便应用到网络安全上了。攻防演练中的溯源包含两个方面:首先是对事件的溯源:在发生网络安全事件之后,第一件事就是应急,应急完了之后就是溯源,有设备的可以通过态势感知或者全流量的设备进行溯源,没有设备的就只能翻日志进行溯源,但是日志有可能会被删除。
其次是对攻击者的溯源:安全事件溯源完了,最终会溯源到一个IP地址或者域名,接下来就是看这个域名是哪个⼈,这个IP是哪个机房的,开了什么端口等等,以上是没有蜜罐设备的,但是有蜜罐设备的,蜜罐能够通过jsonp技术获取到攻击者的社交指纹,比如微博ID、小红书ID等等,基于当前现有的ID,我们可以给攻击者做个画像,攻击者是学生还是在职⼈员?是男的还是女的?喜欢打球还是听歌……结合攻击者画像,再到各个平台去搜索。
攻防演练中的反制手段主要包括以下几种:
● 管理系统口令爆破
● 服务器口令爆破
● 组件漏洞
● nps未授权
● cs服务器弱口令
● cdnDDOS
这些都是应急完溯源之后的反制,并且用的反制手段和攻击者一样,存在一定的时差,有可能攻击者在做完一系列攻击之后销毁作案工具,或者攻击者根本没使用这些有漏洞的组件,或者都是强口令,这个时候反制基本无效了,最好的方式其实是在攻击者的攻击路径上埋地雷进行反制。就幻阵的部署方式而言,反制途径包括以下:
● cs反制
● dnslogDDOS
● gobyRCE
● 蚁剑RCE
● awvsRCE
● burpRCE
● sqlmapRCE
● mysql文件读取
溯源与反制的未来及案例分享
关于溯源与反制的未来,辉哥认为,其一,在很大程度上会依赖反制进行溯源,因为事后进行溯源,需要收集的信息太繁杂,很费时费力;其二,如果在对方进行网络攻击时,我们就获取到了对方电脑的权限,我需要什么信息,就可以慢慢搜索微信、钉钉、企业微信等等,根据这些信息溯源会达到更好的反制效果。
案例一:事后反制
在一次攻防演练客户现场,我方作为总防,在公网部署了Weblogic蜜罐,在内网也搭建了AD域和漏洞服务,在溯源时,发现了其中一个攻击者的百度ID进而找到对应的网络ID,并且通过nps未授权漏洞直接登录到nps后台,就可以看到攻击者当前在攻击的目标单位。
案例二:事中反制
一次,给客户做了一个类似数据客户端的东西,把它放到数据平台的用户手册里面,测试账号密码都罗列好了,攻击者先通过最外层的沙箱如Weblogic沙箱,对方攻击进来之后,成功下载了用户手册和mark木马,在对方上线之后,我们成功获取到了攻击者的微信ID等信息。
案例三:只有溯源,没有反制
在一次攻防演练的后期,我们通过jsonp技术成功溯源到攻击者的百度ID,并进而获取到手机号、姓名等信息,甚至溯源到求学以及工作相关的经历,这属于纯溯源的案例。
如想了解更多网络安全技术干货,欢迎小伙伴们移步公众号“默安玄甲实验室”、“默安逐日实验室”哦~
安全芝士局
安全芝士局是由默安科技全新出品的一档网络安全技术主题节目,节目将定期邀请行业大佬对近期关注的技术问题或网络安全热点进行分享,每期节目资料都能够在安全芝士局交流群中获取,欢迎各位小伙伴们加入交流群畅所欲言,与从业人员共同交流进步~
扫码进群
原文始发于微信公众号(默安科技):收藏 | 一文了解溯源与反制的“前世今生”
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论