当前位置: 电话机 >> 电话机介绍 >> 网络攻击应急溯源的一些常见思路
分享的这篇文章,在20年国家hvv时,公司内部给首次参加的蓝队的新同事们作为补充知识的资料。由于目前已经离开那家公司,为了避免纠纷,很多资料都删了。
下面讲正文
被黑了就要知道为什么被黑了怎么被黑的,不能这么不明不白。
主体思路
常规出现的、容易被用户感知的异常点举例如下:
1.网页被篡改、被挂上了黑链、web文件丢失等
2.数据库被篡改、web系统运行异常影响可用性、web用户密码被篡改等
3.主机出现运行异常反应卡顿、文件被加密、主机系统出现其他用户等
4.主机流量层出现大量异常流量
根据用户现场的情况往往还需要做一些信息收集的工作比如,出现异常的时间点(非常重要)、异常服务器的主要业务情况、大致的一个网络拓扑是不是在DMZ区、是否可以公网访问、开放了那些端口、是否有打补丁、使用了怎么样的一个web技术、最近是否做过什么变更、有没有什么安全设备之类的。
1、攻击源捕获
安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等日志与流量分析,异常的通讯流量、攻击源与攻击目标等服务器资源异常,异常的文件、账号、进程、端口,启动项、计划任务和服务等邮件钓鱼,获取恶意文件样本、钓鱼网站URL等蜜罐系统,获取攻击者行为、意图的相关信息
根据用户现场的情况往往还需要做一些信息收集的工作比如,出现异常的时间点(非常重要)、异常服务器的主要业务情况、大致的一个网络拓扑是不是在DMZ区、是否可以公网访问、开放了那些端口、是否有打补丁、使用了怎么样的一个web技术、最近是否做过什么变更、有没有什么安全设备之类的。
2、溯源反制手段
IP定位技术
根据IP定位物理地址—代理IP溯源案例:通过IP端口扫描,反向渗透服务器进行分析,最终定位到攻击者相关信息
ID追踪术
ID追踪术,搜索引擎、社交平台、技术论坛、社工库匹配溯源案例:利用ID从技术论坛追溯邮箱,继续通过邮箱反追踪真实姓名,通过姓名找到相关简历信息
网站url
域名Whois查询—注册人姓名、地址、电话和邮箱。—域名隐私保护溯源案例:通过攻击IP历史解析记录/域名,对域名注册信息进行溯源分析
恶意样本
提取样本特征、用户名、ID、邮箱、C2服务器等信息—同源分析溯源案例:样本分析过程中,发现攻击者的个人ID和QQ,成功定位到攻击者。
社交账号
基于JSONP跨域,获取攻击者的主机信息、浏览器信息、真实IP及社交信息等利用条件:可以找到相关社交网站的jsonp接口泄露敏感信息,相关网站登录未注销
3、攻击者画像
攻击路径
攻击目的:拿到权限、窃取数据、获取利益、DDOS等网络代理:代理IP、跳板机、C2服务器等攻击手法:鱼叉式邮件钓鱼、Web渗透、水坑攻击、近源渗透、社会工程等
攻击者身份画像
虚拟身份:ID、昵称、网名真实身份:姓名、物理位置联系方式:手机号、qq/
转载请注明:http://www.aideyishus.com/lkyy/5376.html