hvv溯源

溯源

• 溯源分为对外溯源和对内溯源

对外溯源：确认攻击者的真实⾝份
对内溯源：确认攻击者的⾏为
​
#对外溯源
通过监测设备上⾯确定攻击IP，确定是攻击者发起的请求，那么就通过这个IP确定域名，通过该域名查找到关于攻击者注册域名的⼀些相关信息。通常会有QQ账号、QQ邮箱等个⼈真实信息，再借助这些有效信息去社⼯。
​
#对内溯源
如果攻击者已经攻击成功了，攻击者肯定要上传攻击⼯具的，看⼀下他上传的什么⼯具。第⼀时间对其进⾏
阻断，把shell先暂时⼲掉。⼲掉的同时，再去看外部⽇志Apache⽇志。通过攻击者上传shell的时间和攻击IP，去索引搜索整个⽇志，然后看攻击者做了哪些请求，如果是Get请求可以看对⽅请求的⼀个资源、地址以及请求的内容；如果说是Post请求，攻击者应该是做了⼀些上传的操作，但是具体上传了什么东西，是不知道的，只能看到⼀个上传数据包，，是不知道的，只能看到⼀个上传数据包， 不过可以通过防⽕墙去下载该完整的数据包，进⾏分析。
再之后，就进⼊了应急响应的⼀个流程。
溯源的本质是一个逆推的过程，逆推出红队是怎样攻击的，首先就是先找到被攻击的机器，然后通过查看这个机器的日志去查看他是怎么被攻击的（web漏洞 系统漏洞 弱口令）
​
​

 

溯源技巧

• 溯源获得信息,攻击IP，攻击类型，恶意文件，受攻击域名/IP是溯源入手的点

在接到溯源任务的时候，获得的信息有以下：攻击时间，攻击IP，预警平台，攻击类型，恶意文件，受攻击域名/IP

 

通过攻击类型分析

• 通过攻击类型分析攻击详情的请求包，看有没有攻击者特征，通过获取到的IP地址进行威胁情报查询来判断所用的IP具体是代理IP还是真是IP地址

• 端口扫描

大概率为个人Vps或空间搜索引擎，在接到大量溯源任务时可优先溯源

• 命令执行

大概率为未经任何隐匿的网络，移动网络，接到脚本扫描任务的肉鸡，在接到溯源任务时可优先溯源

• 爬虫

大概率为空间搜索引擎，可放到最后溯源

• 恶意文件

可获得c2地址，未删除的带有敏感信息的代码（如常用ID，组织信息），持续化控制代码（c2地址指在APT攻击里的命令与控制，若获取到c2地址可以使我们的溯源目标更有针对性）

• 持续化控制代码

持续化控制代码需要详细分析，如采用DGA域名上线的方法，分析出域名算法，预测之后的域名可有效减少损失，增加溯源面