基于攻击者画像的特征和交叉验证的溯源信息

admin
admin
admin
139250
文章
114
评论
2024年5月19日02:35:11评论43 views字数 1958阅读6分31秒阅读模式

点击蓝字 关注我们

(本文由小貂快跑代发,原作者为“面包and牛奶”)

背景与目的

Q

APT攻击应该如何溯源?

A:行为存在异常,先从行为分析入手,不管是多么隐蔽的APT组织都会在服务器主机上留下痕迹。因为这是APT不可缺少的步骤,没有Persistent,不能算是APT攻击。它仅仅是Advanced Threat攻击或普通的Threat攻击,APT攻击是必须有Persistent的。

因此,我们最好从Persistent入手,从而根据事件的特征,并利用其中残留的信息差进行溯源。当我们拿到攻击者的"Persistent样本"后,利用样本打包残留的信息,例如:文件路径文件名、用户名等。如果想确认该信息的真实性,就需要进行信息的交叉认证了。这就像是一名经验丰富优秀的警察,我们知道警察办案,并不是他有多聪明,而且是他丰富的经验和监控的助力相结合的结果。如果只利用办案经验越或监控系统研判一种方式的时候,就很容易被"残留的信息"误导,导致警察做出错误的判断。警察只有进行信息的交叉确认后,才可以确定"嫌疑人"的特征,这和我们在溯源的时候是同样的。
而演习中情报共享是蓝队防守人员对抗红队攻击者的一个有效的防护手段。蓝队普遍的溯源手段也是通过攻击者泄露的敏感信息来达到反制的目的。但是确定敏感信息并不容易:存在攻击者故意留下大量的误导信息的现象,导致溯源失败。在这种实战情况下,如何高效地验证信息真假,从而进行溯源是一个难题。

交叉验证思路

该思路是利用企业微信默认允许别人找到当前企业身份的特征,结合社会工程学的手段,交进行叉验证,从而对攻击者进行溯源研判。该方法可以快速筛选和确定攻击者留下信息的真假和姓名及公司名称,帮助企业高效性针对性溯源。蓝队通过企业微信结合搜索引擎、"裤子"及相关的社工程学技巧,并调用企业微信的“添加好友”功能进行查询,对攻击者泄露的注册名、注册邮箱、注册地址、电话、注册时间、服务商等信息进行匹配。这样生成一份高可信的演习溯源报告后,公司可以直接将经过交叉研判对比后的结果,编写成为溯源分析报告进行提交。

通过企业微信溯源的流程

方法一:通过添加客户==>搜索手机号码/邮箱地址添加==>输入ID号/手机号码/邮箱号码==>查看==>点击实名,即可查看到完整姓名及所属组织;

方法二:添加客户==>搜索手机号码添加==>输入ID/手机号码/邮箱号码==>设置备注和描述==>投诉==>发布不适当内容对我造成骚扰==>违法犯罪及违禁品==>提交给企业微信团队审核==>点击聊天记录,即可查看到完整姓名及所属组织

攻防对抗过程

我们可以通过"裤子"确认和社会工程学的手段,也可以在各种攻防演练群加红队好友;再通过企业微信泄露的信息,确定其所在公司的名称;也可以对已经收集到的攻击者身份信息进行交叉验证,并将整个对比过程通过脚本自动化,批量生成对比报告,供安全人员分析研判。
与此同时,仅利用企业微信溯源或GitHub邮箱泄露溯源,都容易过于片面和死板。我们可以通过利用其他的已知信息进行交叉验证:例如IP是否关联域名、域名的注册名、注册邮箱、注册地址、电话、域名注册时间、服务商等。通过这些信息判定溯源价值,企业根据高价值溯源报告进行反制,进一步获取溯源加分。

应用效果

避免面对海量的IP,可以高效的准确的确定攻击者的身份信息及公司名称。在演习人员有限的情况下,面对海量的IP注册者信息无法快速进行一一识别,使用搭配自动化脚本可以初步确定攻击者的个人身份,突破了"裤子" 使用次数的限制。从而提升分析处置人员的资源,面对每天不间断的网络攻击者留下来的whois、注册名、注册邮箱、注册地址、电话、注册时间、服务商等信息,通过企业微信自动化进行实时交叉对比。
与此同时,我们还可以通过搜索引擎将攻击者姓名和公司进行匹配,或者通过社会工程学伪装成为乙方去验证信息的真假,减少安全人员的工作压力,可以让更多的人力资源加到分析溯源信息真假的工作中来,从而实现溯源得分。

作者点评

就目前攻防演练来说,所谓的攻击者"信息泄露"事件愈来愈多,但这并不代表溯源就变容易了。相反,攻击者可以通过故意留下伪造的虚假信息,误导蓝队溯源的方向,消耗蓝队精力。在攻击人员通过伪造虚假用户、虚假电话、虚假样本特征等方法,来隐藏自己的真实身份的时候,信息画像的交叉认证,就变的非常重要了。蓝队通过信息交叉确认,排除攻击留下的虚假信息,为接下来的溯源指明了方向。

  //  作者 面包and牛奶

大学在校生,曾获得绿盟1511PLAN网安特训营优秀学员称号,2022年FreeBuf年度十佳作家等荣誉等,曾在某安全大厂实习担任安服工程师(渗透方向)。有着比较丰富的项目经历,熟悉红队和免杀。

原文始发于微信公众号(赛博游民营):基于攻击者画像的特征和交叉验证的溯源信息

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月19日02:35:11
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   基于攻击者画像的特征和交叉验证的溯源信息http://cn-sec.com/archives/2499406.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息