电话机

网络攻击应急溯源的一些常见思路

发布时间:2023/6/28 15:26:24   
儿童白癜风能治得好吗 https://m-mip.39.net/baidianfeng/mipso_6905531.html

分享的这篇文章,在20年国家hvv时,公司内部给首次参加的蓝队的新同事们作为补充知识的资料。由于目前已经离开那家公司,为了避免纠纷,很多资料都删了。

下面讲正文

被黑了就要知道为什么被黑了怎么被黑的,不能这么不明不白。

主体思路

常规出现的、容易被用户感知的异常点举例如下:

1.网页被篡改、被挂上了黑链、web文件丢失等

2.数据库被篡改、web系统运行异常影响可用性、web用户密码被篡改等

3.主机出现运行异常反应卡顿、文件被加密、主机系统出现其他用户等

4.主机流量层出现大量异常流量

根据用户现场的情况往往还需要做一些信息收集的工作比如,出现异常的时间点(非常重要)、异常服务器的主要业务情况、大致的一个网络拓扑是不是在DMZ区、是否可以公网访问、开放了那些端口、是否有打补丁、使用了怎么样的一个web技术、最近是否做过什么变更、有没有什么安全设备之类的。

1、攻击源捕获

安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等日志与流量分析,异常的通讯流量、攻击源与攻击目标等服务器资源异常,异常的文件、账号、进程、端口,启动项、计划任务和服务等邮件钓鱼,获取恶意文件样本、钓鱼网站URL等蜜罐系统,获取攻击者行为、意图的相关信息

根据用户现场的情况往往还需要做一些信息收集的工作比如,出现异常的时间点(非常重要)、异常服务器的主要业务情况、大致的一个网络拓扑是不是在DMZ区、是否可以公网访问、开放了那些端口、是否有打补丁、使用了怎么样的一个web技术、最近是否做过什么变更、有没有什么安全设备之类的。

2、溯源反制手段

IP定位技术

根据IP定位物理地址—代理IP溯源案例:通过IP端口扫描,反向渗透服务器进行分析,最终定位到攻击者相关信息

ID追踪术

ID追踪术,搜索引擎、社交平台、技术论坛、社工库匹配溯源案例:利用ID从技术论坛追溯邮箱,继续通过邮箱反追踪真实姓名,通过姓名找到相关简历信息

网站url

域名Whois查询—注册人姓名、地址、电话和邮箱。—域名隐私保护溯源案例:通过攻击IP历史解析记录/域名,对域名注册信息进行溯源分析

恶意样本

提取样本特征、用户名、ID、邮箱、C2服务器等信息—同源分析溯源案例:样本分析过程中,发现攻击者的个人ID和QQ,成功定位到攻击者。

社交账号

基于JSONP跨域,获取攻击者的主机信息、浏览器信息、真实IP及社交信息等利用条件:可以找到相关社交网站的jsonp接口泄露敏感信息,相关网站登录未注销

3、攻击者画像

攻击路径

攻击目的:拿到权限、窃取数据、获取利益、DDOS等网络代理:代理IP、跳板机、C2服务器等攻击手法:鱼叉式邮件钓鱼、Web渗透、水坑攻击、近源渗透、社会工程等

攻击者身份画像

虚拟身份:ID、昵称、网名真实身份:姓名、物理位置联系方式:手机号、qq/

转载请注明:http://www.aideyishus.com/lkyy/5376.html

------分隔线----------------------------