1. 概述
溯源整个流程我认为有三个部分。
-
攻击源捕获。
-
溯源信息
-
输出攻击者画像
攻击源的捕获是为了获得攻击者的ip、黑客id、手机号、邮箱等信息。
溯源信息是为了定位黑客到具体的人。
输出攻击者画像是为了给这个人一个格式化的档案方便下次查找与信息存储。
2. 攻击源捕获
攻击源捕获主要分为以下几个方法:
-
安全设备报警,如 EDR 告警等。
-
日志分析,获取攻击者指纹信息与攻击方式。
-
服务器资源异常,如服务器上多了 webshell 文件或者计划任务。
-
蜜罐告警,获取攻击者指纹信息。
-
邮件钓鱼,其中一般有木马文件,通过对木马文件逆向分析获取攻击者信息。
如果直接得到攻击者 ip,那么直接到溯源信息阶段,如果无法得到攻击者 ip 则选择上机排查。
上机排查的时候如果是 linux 电脑,则查看 history 信息还有文件修改信息,这就涉及到了 linux 应急响应的知识。
如果是 windows 电脑,就查看登录日志 4625,通过 logontype 的类型来分辨攻击者如何登陆的机器并回推攻击方法。
logontype 对照表如下:
local WINDOWSRDPINTERACTIVE = “2”
local WINDOWSRDPUNLOCK = “7”
local WINDOWSRDPREMOTEINTERACTIVE = “10”
local WINDOWSSMBNETWORK = “3”
得到攻击者基础信息的方式:
-
看恶意邮件的邮件头获取恶意域名
-
逆向分析恶意木马获取恶意 ip 或者域名
-
查看机器回连 ip 获取恶意 ip 地址
-
查看日志获取恶意 ip
-
查看蜜罐或其他安全设备告警信息获取恶意 ip
-
如果黑客使用近源渗透如直接用手机号打电话,则可直接得到手机号
-
查看 webshell 的编写方式有可能直接获取黑客 id,因为不少黑客喜欢将自己的 id 设为 webshell 链接密码
3. 溯源信息阶段
获得攻击者真实 ip 或者域名之后我们进行溯源信息阶段。
第一步:针对 IP 或者域名通过公网已有的开放信息进行查询
https://x.threatbook.cn/
https://ti.qianxin.com/
https://ti.360.cn/
https://www.reg007.com/ #通过手机号或者邮箱获取用户注册过的网站https://www.venuseye.com.cn/
https://community.riskiq.com/
第二步:定位目标
利用精确 ip 定位进行目标的位置定位。
第三步:收集互联网侧的用户 ID
收集手机号与互联网上的各种 ID 信息 (利用 google hacking)。
通过黑客 ID 进行信息收集:
(1) 百度信息收集:“id” (双引号为英文)
(2) 谷歌信息收集
(3) src 信息收集(各大 src 排行榜)
(4) 微博搜索(如果发现有微博记录,可使用 tg 查询 weibo 泄露数据)
(5) 微信 ID 收集:微信进行 ID 搜索
(6) 如果获得手机号(可直接搜索支付宝、社交账户等)
注意:获取手机号如果自己查到的信息不多,直接上报工作群(利用共享渠道对其进行二次社工)
(7) 豆瓣 / 贴吧 / 知乎 / 脉脉 你能知道的所有社交平台,进行信息收集
(8) CSDN ID,利用 CSDN 老用户的一个漏洞,爆破 ID 手机号
第四步:通过蜜罐设备指纹进行识别
前提是我方部署了蜜罐并且攻击者踩了蜜罐且获取到攻击者的设备指纹。
基本流程说明:
1、我方发现了攻击者的设备指纹 ID
2、某参演单位 1 也部署了该厂家蜜罐,捕获到某攻击者设备指纹 ID 和百度 ID
3、某参演单位 2 也部署了该厂家蜜罐,捕获到某攻击者设备指纹 ID 和新浪 ID
4、某参演单位 N 也部署了该厂家蜜罐,捕获到某攻击者设备指纹 ID 和优酷 ID
5、厂家经过查询比对,将相关社交 ID 反馈给我方
第五步:进入跳板机进行信息收集
如果有能力控制了红队的跳板机,则可进入跳板机进行信息收集,查看命令执行的历史记录与日志等。
如果主机桌面没有敏感信息,可针对下列文件进行信息收集:
last:查看登录成功日志 cat ~/.bash_history :查看操作指令
ps -aux #查看进程
cat /etc/passwd
(查看是否有类似 ID 的用户
重点关注 uid 为 500 以上的登录用户
nologin 为不可登录)
4. 输出攻击者画像与攻击路径
攻击者画像模版如下:
姓名 / ID:
攻击 IP:
地理位置:
QQ:
IP 地址所属公司:
是否挂代理:IP 地址关联域名:
邮箱:
手机号:
微信 / 微博 / src/id 证明:
人物照片:
跳板机(可选):
关联攻击事件:
攻击路径模版:
攻击目的:拿到权限、窃取数据、获取利益、DDOS 等
网络代理:代理 IP、跳板机、C2 服务器等
攻击手法:鱼叉式邮件钓鱼、Web 渗透、水坑攻击、近源渗透、社会工程等
5. 参考文章
安全攻击溯源思路及案例(https://www.cnblogs.com/xiaozi/p/13817637.html)
原创作者: Shanfenglan7
转自: https://blog.csdn.net/qq_41874930
赠书福利
一:深入浅出TCP/IP和VPN
本书是一本图文并茂的网络技术书籍,旨在让读者理解TCP/IP的基本知识和原理,掌握TCP/IP的基本技术及应用。本书主要内容包括:第1章为TCP/IP 概述;第2章具体讲述IP协议;第3章主要讲解路由协议;第4章具体讲述TCP协议;第5章主要讲解UDP;第6章主要讲解GRE;第7章主要讲解IPSec;第8章主要讲解MPLS;第9章主要讲解BGP;第10章主要讲解MP-BGP、MPLS、L3VPN;第10章主要讲解VXLAN;第11章主要讲解SDN;第12章主要讲解CloudVPN与SD-WAN;第13章主要讲解应用场景及组网,以及基于native IP(IP协议)、VPN、SDN/SD-WAN 的基本应用。本书既适合计算机网络的开发人员阅读,也可作为大专院校相关专业的教学参考用书。
二:Python爬虫与反爬虫开发从入门到精通
随着网络技术的迅速发展,如何有效地提取并利用信息,以及如何有效地防止信息被爬取,已成为一个巨大的挑战。本书从零开始系统地介绍了Python网络爬虫与反爬虫的开发与实战技能,全书共分为4篇,具体内容安排如下。
第1篇:基础篇(~3章)。系统地讲解了Python爬虫与反爬虫开发环境的搭建、爬虫与反爬虫通用基础知识、Python编程基础。
第2篇:爬虫篇(第4~8章)。这部分讲解了网络爬虫的相关知识与技能,主要包括网络爬虫快速入门、XPath匹配网页数据、re正则匹配数据、WebSocket数据抓取、Scrapy爬虫框架应用与开发等。
第3篇:反爬虫篇(第9~16章)。这部分讲解了网络反爬虫的相关知识与技能,主要包括爬虫与反爬虫的区别与认识、反爬—Header信息校验、反爬—IP、反爬—动态渲染页面、反爬—文本混淆、反爬—特征识别、反爬—验证码识别、反爬—APP数据抓取等。
第4篇:实战篇(7章)。本篇主要列举了4个案例,综合讲解Python爬虫与反爬虫项目的实战应用。
本书从零基础开始讲解,系统全面,案例丰富,注重实战,既适合Python程序员和爬虫爱好者阅读学习,也可以作为广大职业院校相关专业的教材或参考用书。
三:MATLAB智能优化算法:从写代码到算法思想
为了感谢大家一直以来的关注与支持,会有三本书籍免费赠送。
规则如下:
1. 本文末点‘在看’,不需要转发朋友圈,点个‘在看’就可以。
2. 私聊文末公众号发送“抽奖”即可扫描参与抽奖,注意看是发送暗号“抽奖”。
3. 中奖者不满足条件1,视为放弃中奖资格。
4. 活动截止时间5月11日 16:00点,到时候还要中奖者及时联系号主发送你的中奖核验二维码、收货地址、姓名、手机号以及想要的书籍,好给您发送书籍哦!24小时内未联系号主视为自动放弃!骗书行为出版社会永久拉黑!
先点“再看”,然后点击下方公众号私聊发送“抽奖” 即可马上扫描参与抽奖
原文始发于微信公众号(LemonSec):红蓝对抗溯源的基本思路【文末赠书】
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论