溯源学习

溯源学习

溯源大致上可以分为三个部分:

第一是信息的输入:攻击源捕获,

第二是信息的分析:溯源反制手段,

第三是信息的输出:攻击者画像。

攻击源捕获

攻击源的获取、甄别并不是一件容易的事,首先你得搞清楚自己的网络资产范围,很多公司或者组织架构庞杂,资产众多,如果连基本的网络资产台账都没有,想要做溯源简直事倍功半。因此,一份精心梳理并时常维护的网络资产台账是溯源的前提条件。

其次,理清自身的安全监测资源,包括有哪些安全设备,安全监测的环节是否完整,是否有相应的安全应急措施,以及相关的安全技术人员或支撑团队,有了这些,才可以说具备了捕获攻击源的能力和手段。

满足了上述两个条件,拿现在流行的词语说就是有效的识别了暴露面与攻击面,溯源算是有了眉目,一般有五大类攻击源捕获手段,分别是:

  • 安全设备报警,如EDR告警等。
  • 日志分析,获取攻击者指纹信息与攻击方式。
  • 服务器资源异常,如服务器上多了webshell文件或者计划任务。
  • 蜜罐告警,获取攻击者指纹信息。
  • 邮件钓鱼,其中一般有木马文件,通过对木马文件逆向分析获取攻击者信息。

当然,这几种方法也不是孤立的,往往会整体去分析考量各种攻击面的有用信息,如果有条件的企业,在这里还建议上一些集成的安全分析和预警系统,比如我们常听到的SOC、态势感知、安全大脑这些玩意,通常他们都会有这方面的功能。

邮件钓鱼

绝大多数攻击行为的开始都是从信息搜集做起,但是随着各企业的安全意识提高和安全设备越来越多,传统的通过搜索引擎或XSS、CSRF等技术手段越来越难获取到有价值的信息,信息的搜集越来越依靠社会工程,而社会工程里很重要的一点就是邮件钓鱼。因此,一旦发现有攻击行为,比如红蓝对抗一开始,作为红军(即防守方),首先应该检查的就是邮箱,目标重点是:恶意文件样本、钓鱼网站URL等。

安全设备

借用安全设备,我们可以监控系统和网络上发生的历史操作记录和当前状态详细信息,但这远远不够,还需要对不同来源的监控数据,例如防火墙、终端防护、IDS/IPS、APT监测设备以及其他安全设备的监控数据进行汇总、分析,用以描绘此刻驻留在网络中的攻击者及其活动轨迹,现在很多安全可视化分析工具可以帮助我们实现这个目的,但是如果企业没有这些工具,则对安全防护人员的技能和经验有较高的要求。

通过这些安全设备和必要的可视化工具,重点是要找出:扫描IP、威胁阻断、病毒木马、入侵事件等有用信息。

除此之外,网络间的流量分析也是必须的。流量分析着眼点在三方面,一是口令爆破,比如常见的ssh、rdp、smb等,二是命令执行,比如黑客常用的whoami、dir、ipconfig等命令,最后看是否有反弹数据,比如lcx、ps、 nc等,小技巧是多关注一些敏感的端口转发数据。

服务器

因为Linux和Windows系统占据了服务器的绝大部分市场份额,因此我们天然屏蔽其他操作系统,Linux和Windows在溯源检查时需要检查的项高度相似,主要从以下几个方面去一一排查:端口查询、进程查询、定时任务、自启动、历史命令、使用痕迹、登录用户及其时长、日志信息查询、异常文件,特别是病毒木马,另外Windows还有一个独特的地方就是注册表,有经验的同学都知道哪些地方要重点查看。

中间件

一旦攻击者从WEB站点入侵,极有可能在WEB中间件中留下痕迹,防护方则可以通过观察中间件的日志找出有用的信息,比如可以在Apache的/var/log/http中定位到日志文件,其他像IIS、Tomcat、Nginx等方法类似,目的是寻找这些日志中可疑的URI访问、来源ip、http请求以及连接数异常等信息。

蜜罐系统

蜜罐系统严格意义上说也是安全设备的一种,但是为什么单独拎出来呢?原因是蜜罐系统本身一个重大的使命就是溯源,它能帮助我们去找到攻击者的一些蛛丝马迹,甚至顺藤摸瓜,找到始作俑者。例如,世界上首例蜜罐事件:1995年当时世界上头号黑客米特尼克入侵了圣地亚哥超级电脑中心,而管理员巧妙的设置了蜜罐,让米特尼克中计,成功得追踪到了米特尼克,让他进了监狱。由此可见,运用好蜜罐技术,可以及早发现获取攻击者意图和他的指纹信息,包括ip、攻击方法、代理地址等,最终锁定攻击者的个人信息。

溯源反制手段

捕获到攻击源的信息之后,通常我们可以把这些信息分成消息来源、受攻击的网络资产、攻击时间、攻击IP、攻击类型、恶意文件、攻击者指纹(id、域名等)、攻击详情等几个方面,通过这些信息,就可对此进行溯源处置。溯源技术发展到今天,其实基本上可以借助第三方平台完成大部分的工作,下文介绍的几个溯源处置手段常用的第三方平台有以下网站,供大家参考:

威胁情报平台

通过威胁情报平台我们可以获取域名解析记录、历史 whois、子域名、SSL 证书等

域名查询

利用一些在线平台可以获取域名解析的记录、历史 whois、子域名、SSL 证书、ID、姓名、邮箱等有用信息。

IP信息查询

通过IP可以反查域名、IP 信息,例如是否为移动网络、IDC、CDN节点等、IP段所属城市、企业等信息。

批量ip归属

反查域名

ip whois查询

是否为移动网络、IDC 等

IP精准定位

攻击者信息查询

通过对方的身份信息中的一部分信息,利用一些手段可以勾勒出整个完整身份,例如可以通过手机号支付宝转账,验证姓名;过注册的一些平台账号找回密码,可猜手机号;通过手机号添加微信QQ添加好友获取信息;甚至利用微博、贴吧、抖音、脉脉等搜索对方身份进而获取有价值信息。

手机号/邮箱

  • 社工库
  • 谷歌/百度
  • 查支付宝转账,验证姓名
  • 通过部分平台账号找回密码,可猜手机号。
  • QQ 添加好友搜索,微信添加好友搜索,钉钉添加好友搜索
  • https://www.reg007.com/
  • 社交平台查找(抖音、脉脉搜索等)
  • http://zy.xywlapi.cc/

ID/姓名

  • 社工库
  • 谷歌/百度
  • src
  • 搜索:微博搜索,贴吧搜索
  • 社交平台查找(抖音、脉脉搜索等)

攻击者画像

描绘攻击者的画像,主要目的有两方面,一个是摸清楚攻击者的攻击路径,好立即采取相应的缓解措施应对,另一个是实锤攻击者的身份信息,好去找他们的麻烦,当然如果只是红蓝演练的话这步可以省略了,LOL。

掌握攻击者的攻击路径是应急响应的关键所在,具体攻击路径的构成有三个方面:

攻击目的:

这个我们可以从遭受攻击后网络资产表现出来的伤害类型去判断,比如是否已被拿到权限、数据库是否已被窃取数据、是否正常的业务已被中断,例如服务器是否收到大量的数据包或连接请求,即可判断遇到DDOS、CC攻击了!

网络代理:

一般黑客为了避免被溯源追踪,都会通过代理,此时就需要溯源者具备一定的经验去判断,对方的IP是否为代理IP,如果是,那么可以进行反向渗透,进一步挖掘出其所在跳板机,其实当掌握足够多的信息后,我们可以很轻松的判断出哪些代理IP实际上是肉鸡或者CC服务器等。

攻击手法:

这个可以从防护边界去进行判断,比如社会工程入口中的鱼叉式邮件钓鱼,网站的Web渗透,无线网络的近源渗透,以中断业务为目的的拒绝服务攻击等。

攻击者身份画像

攻击者的身份画像,由四个部分组成,分别是:

  • 虚拟身份:ID、昵称、网名
  • 真实身份:姓名、家庭/办公物理位置
  • 联系方式:手机号、QQ/微信、邮箱
  • 组织情况:单位名称、职位信息
posted @ 2022-02-21 09:44  tomyyyyy  阅读(545)  评论(0编辑  收藏  举报