(本文由小貂快跑代发,原作者为“面包and牛奶”)
众所周知,在现代战争中不对称战争被各国的军事研究员拿来研究。不对称战争,使得进攻方可以选择攻击的时间、目标、频率、方式等大大增加。攻击者只需要在漫长的边界上发现若干薄弱的漏洞,或最少发现单个数的漏洞,就可以制定相应的计划,使用钓鱼或者打点的手段突破边界防御,进行一场"不对称的闪电战"。而蓝队成员必须严格地覆盖所有的边界(因为谁也不知道边界上会不会存在未知的漏洞,只能加大力度去巡逻边界),但是这就导致了防御所需的时间和资源(人员和金钱),与进攻所需的资源严重不平等。为了转被动为主动,只能反制攻击者才能平衡竞争并提供长期的威慑。而反制攻击者的前提,就恰巧是溯源出攻击者的特征信息,方便蓝队进行合理的安排。
我们知道基于流量溯源的攻击的技术是较为原始的方法。现如今,就红队的隐藏手段和复杂的攻击架构而言,使得其几乎不可能被蓝队追踪到真正的来源。另外,攻击者利用信息全球化、不同国家的法律不同等现实因素,使得攻击匿名化,提高了溯源难度,构成了严重的威胁。这个时候,溯源分析就需要通过现象去发掘恶意攻击者背后的故事了。虽然大体上有固定的套路可循,但是在实际分析过程中,要合理地利用如AI何威胁情报画像等新的技术,通过大数据进行分析匹配。这是攻击者与防御者之间斗智斗勇的故事。
从上图可见,通过泄露的IOC和其资产特征(第一级)我们通过IP关联分析、泄露信息分析、同源分析等分析手段,为第三级和第四级的画像提供特征,使得消息事件更加精确。
通过恶意IP的域名和恶意IP的代理池,可以获得个人的注册名、注册邮箱、注册地址、电话等;通过提取其特征片段,分析它们与已知恶意IP的关联,进而对其他情报做交叉验证。
恶意软件在编译的过程中可能会泄露作者的文件路径或者用户名等相关特征,我们可以通过逆向分析的手段,定位出恶意软件作者自身的特征,进而通过AI分析,溯源到已知的作者或组织。
通过利用恶意软件家族之间的同源关系,挖掘出可溯源痕迹,比如常用的IP地址和解析的域名等,并根据它们出现的前后时间,确定其覆盖的范围和造成的损失。
通过以上的手段,我们可以获得一份较完善的威胁情报画像;从而明白:是哪个人/组织发动的攻击?攻击目的是什么?采用的攻击方法是什么?攻击的流程是什么?通过进一步研判分析、情报交叉确认,最终锁定攻击者的攻击身份。
我们需要先充分了解溯源所使用的基础方法,才能了解基于其之上的其他溯源技术。
接下来是使用数据包逐跳溯源的方法介绍,可以说是如今溯源大规模流量攻击的较好方法了。而且不仅仅针对大规模攻击流量的特殊时刻。当今互联网上最具破坏性的攻击类别就是分布式拒绝服务 (DDoS)攻击,这个时候数据包标溯源记攻击者是最好用的方法之一了。最后,讲一下蜜罐/蜂蜜Hash的技术实现和蓝队如何利用的可能性。
利用不间断追踪IP数据包的方法,定位攻击者的IP。由于攻击地址存在虚假,所以数据包可能也是虚假的。虽然该方法存在一定程度上的不足,但是它逐步追查的思维却被其他方法所继承。
当今溯源攻击的最常见和最基本的方法就是逐跳追踪。但是该方法仅适用于跟踪实时的、大型连续的数据包流量攻击。例如,由正在进行的拒绝服务数据包泛洪攻击生成的数据包流。在SYN洪水攻击中,源IP地址通常是假的,原因是可以通过插⼊到数据包的源地址字段中的伪造地址,来隐藏发起数据包的机器的真实IP地址,这个时候就需要通过溯源来发现真实的攻击IP。
逐跳IP溯源可以被认为是通过流量溯源真实IP的基础技巧。它的原理就是跟踪具有欺骗源地址的大数据包流,在现在存在许多的限制和缺点——比如追踪这些网络攻击的地址需要每个中间ISP的持续合作。因此,通过此过程追踪攻击IP不是不可能,成功几率也是极其渺茫的,因为攻击数据包有多个来源,并且每个来源的数据包数量可能相对较少。
基于穷举出不同的路径,利用可定位网络负载源,通过路由器进行回溯,观察数据包速率变化的方法,排查出攻击路径。这种方法的优势是,避免逐跳跟踪错误的情况,针对其他的恶意攻击,也有不错的应对效果。
我们首先使用已知的映射技术创建从目标到每个网络的路线图。然后,从最近的路由器开始,我们使用UDP chargen服务对连接到它的每个链路应用进行短暂的负载突发。如果加载的链接是攻击流路径的组成部分,我们引发的负载将扰乱攻击流。这时候,如果当我们加载链接时,流被更改,该链接可能沿着从攻击源主机到受害主机的路径;如果流的强度不受负载干扰,则攻击数据包流不太可能利用该链路,因此我们不需要检查该链路后面的网络。这样当我们再尝试将攻击源缩小到一个网络时,我们可以继续通过网络路由器进行回溯,修剪不会干扰攻击的分支,此时我们可以通过该方法进行多次迭代(该方法过于复杂这只是大致原理),就可以分析网络上传输的数据包来找出攻击背后的真正来源。该方法使用户能够以一种非常方便的方式通过更准确的源详细信息找出攻击者。事实证明,它是针对大规模流量攻击和许多其他攻击是有效的。
HoneyHash是被攻击者使用就会触发警报的虚假Hash。这种欺骗技术是一个陷阱,它是由于Hash位于沦陷主机上,因此攻击者会尝试获取主机上的Hash并在内网当中使用它来进行横向移动。
我们也可以利用攻击者处于劣势的情况,也就是攻击者第一次登陆主机进行mimikatz抓取Hash时:因为攻击者想要更多地了解网络基础设施以及进行横向移动,在内网环境下重要的工作就是抓取Hash;这个时候,攻击者还无法横向移动,因此我们只需要针对单台主机进行防御和处理即可。
蓝队监测到尝试传递哈希攻击的攻击者时,可以使用一种称为蜂蜜Hash的技术。它通过在端点的LSASS内存中植入虚构帐户的凭据。如果攻击者试图滥用凭证进行PTH攻击,那么该事件将被完整的记录下来以供蓝队分析。利用攻击者将浪费大量的时间,以及获得虚假的凭据后的攻击流程,可以提高蓝队溯源的成功几率。
蜜罐会通过仿真环境诱导攻击者实施攻击,以此同时为蓝队通过相关威胁特征和攻击流程,其中交互型蜜罐,还可以”定位”红队。蜜罐不仅有助于确定新出现的威胁和入侵的程度,还有助于了解攻击流程,为后期复盘和补救提供帮助。
使用配置合理的蜜罐可以达到欺骗攻击者,让其相信已获得真实系统的访问权限。蜜罐具备与真实系统相同的登录警告消息、相同的代码字段甚至相同的外观和近乎真实的"数据"。攻击者一旦蜜罐被采集"指纹",蓝队便可以乘机记录攻击者攻击特征,并通过蜜罐转移注意力,同时还可以通过蜜罐将错误的信息提供攻击者。蜜罐有助于确定新出现的威胁和入侵,攻击者在蜜罐上浪费精力帮助的时间越多,蓝队获取的数据就越多,溯源成功几率越大。
溯源的发展也是随着时代的进步而更新的,现在的溯源从IP逐跳分析到数据包标记,从HoneyHash发展到现在的靶场型蜜罐;从当初从根据IP抽丝剥茧,到现在根据不同的威胁信息,关联分析;再到AI加持,构建攻击者画像。溯源的技术和手段也变得多种多样,溯源也越来越体系化、流程化了。
大学在校生,曾获得绿盟1511PLAN网安特训营优秀学员称号,2022年FreeBuf年度十佳作家等荣誉等,曾在某安全大厂实习担任安服工程师(渗透方向)。有着比较丰富的项目经历,熟悉红队和免杀。
原文始发于微信公众号(赛博游民营):解决溯源问题的四种技巧
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/2499436.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论