close

一、前言

對於攻防演練藍軍的夥伴們來說,最難的技術難題可能就是溯源,尤其在今天代理橫行的時代更加難以去溯源攻擊者。這裡我就舉兩個溯源來幫助大家梳理溯源過程,一個是只溯源到公司,一個是溯源到個人。


二、溯源實例
2.1IP反查域名

2.1.1 態勢感知發現攻擊截圖

2.1.2 對嘗試弱口令進行詳細研判,確實為弱口令嘗試

2.1.3 對IP進行威脅情報中心查詢,發現風險評估為高,IP反查到域名

2.1.4 將域名進行備案查詢,發現為北京某某科技有限公司。

2.2 社交賬戶追查到個人

2.2.1 事件描述

129.226.xxx.xxx在5月30日早上4點43分嘗試對192.168.128.4進行SQL注入攻擊,目錄遍歷等攻擊行為。竊取數據庫信息,網頁篡改,遠程控制等。

2.2.2 微步查詢IP綁定域名

通過微步查詢ip綁定的域名信息。

3個域名實時解析均為129.226.xxx.xxx。

發現該ip關聯域名,訪問獲取到該人姓肖。

2.2.3訪問域名

通過訪問域名,獲取關鍵信息

獲取QQ信息為8888888,電話為188888888,郵箱為8888888@gmail.com。通過支付寶轉賬郵箱地址,驗證姓氏叫肖,驗證通過。姓名為肖**。

2.2.4 百度搜索人名相關信息

通過百度郵箱地址搜索信息發現該作者的姓名的全稱為肖**。

訪問主頁,點擊立即獲取。下載文件提示為後門病毒文件。通過主頁放置病毒文件誘導他人下載,植入後門木馬,說明該人具有非常強的攻擊水準。

主頁其他的信息,有PHP開源shell工具。

訪問其主頁

個人簡介中熱愛編程,QQ為8888888,QQ為同一個,信息準確。通過常用id為88888888搜索github,

Github上發現有愛特PHP的信息,信息上一致。

2.2.5 發現技術論壇

通過愛特的鏈接,發現該作者的技術論壇

該人的技術論壇涉及php,linux.golang,android

百度姓名查找到畢業院校,百度貼吧很多發帖是關於PHP,安卓開發。

通過百度貼吧發帖紀錄查到籍貫是四川達州市。


三、 溯源技巧

註:此部分內容摘選自

https://www.cnblogs.com/xiaozi/p/13817637.html,個人覺得總結的非常不錯。

3.1常見攻擊源

安全設備報警,如掃描IP、威脅阻斷、病毒木馬、入侵事件等

日誌與流量分析,異常的通訊流量、攻擊源與攻擊目標等

服務器資源異常,異常的文件、賬號、進程、端口,啟動項、計劃任務和服務等

郵件釣魚,獲取惡意文件樣本、釣魚網站URL等

蜜罐系統,獲取攻擊者行為、意圖的相關信息

3.2 常用溯源技術

3.2.1 IP定位技術

根據IP定位物理地址—代理IP

溯源案例:通過IP端口掃描,反向滲透服務器進行分析,最終定位到攻擊者相關信息

3.2.2 ID追蹤術

ID追蹤術,搜索引擎、社交平台、技術論壇、社工庫匹配

溯源案例:利用ID從技術論壇追溯郵箱,繼續通過郵箱反追蹤真實姓名,通過姓名找到相關簡歷信息

3.3.3 網站url

域名Whois查詢—註冊人姓名、地址、電話和郵箱。—域名隱私保護

溯源案例:通過攻擊IP歷史解析記錄/域名,對域名註冊信息進行溯源分析

3.3.4 惡意樣本

提取樣本特徵、用戶名、ID、郵箱、C2服務器等信息—同源分析

溯源案例:樣本分析過程中,發現攻擊者的個人ID和QQ,成功定位到攻擊者。

3.3.5 社交賬號

基於JSONP跨域,獲取攻擊者的主機信息、瀏覽器信息、真實 IP及社交信息等

利用條件:可以找到相關社交網站的jsonp接口泄露敏感信息,相關網站登錄未註銷

3.3攻擊者畫像

3.3.1 攻擊路徑

攻擊目的:拿到權限、竊取數據、獲取利益、DDOS等

網絡代理:代理IP、跳板機、C2服務器等

攻擊手法:魚叉式郵件釣魚、Web滲透、水坑攻擊、近源滲透、社會工程等

3.3.2 攻擊者身份畫像

虛擬身份:ID、暱稱、網名

真實的身份:姓名、物理位置

聯繫方式:手機號、qq/微信、郵箱

組織情況:單位名稱、職位信息

3.4 常見溯源場景

3.4.1 案例一:郵件釣魚攻擊溯源

攻防場景:攻擊者利用社會工程學技巧偽造正常郵件內容,繞過郵件網關的查殺,成功投遞到目標郵箱,誘騙用戶點擊郵件鏈接或下載附件文件。

信息收集:通過查看郵件原文,獲取發送方IP地址、域名後綴郵箱、釣魚網站或惡意附件樣本等信息。

溯源方式:第一種,可以通過相關聯的域名/IP進行追蹤;第二種,對釣魚網站進行反向滲透獲取權限,進一步收集攻擊者信息;第三種,通過對郵件惡意附件進行分析,利用威脅情報數據平台尋找同源樣本獲取信息,也能進一步對攻擊者的畫像進行勾勒。

3.4.2 案例二:Web入侵溯源

攻防場景:攻擊者通過NDAY和0DAY漏洞滲入服務器網段,Webshell 觸發安全預警或者威脅檢測阻斷了C&C域名的通訊。

溯源方式:隔離webshell樣本,使用Web日誌還原攻擊路徑,找到安全漏洞位置進行漏洞修復,從日誌可以找到攻擊者的IP地址,但攻擊者一般都會使用代理服務器或匿名網絡(例如Tor)來掩蓋其真實的IP地址。

在入侵過程中,使用反彈shell、遠程下載惡意文件、端口遠程轉發等方式,也容易觸發威脅阻斷,而這個域名/IP,提供一個反向信息收集和滲透測試的路徑。

3.4.3 案例三:蜜罐溯源

攻防場景:在企業內網部署蜜罐去模擬各種常見的應用服務,誘導攻擊者攻擊。

溯源方式:在攻擊者入侵蜜罐時,蜜罐可以記錄攻擊者的入侵行為,獲取攻擊者的主機信息、瀏覽器信息、甚至是真實 IP及社交信息。

免責聲明:

作者所發布的文章及工具只限交流學習,作者不承擔任何責任!如有侵權,請告知我們立即刪除。



精彩推薦






arrow
arrow
    全站熱搜
    創作者介紹
    創作者 鑽石舞台 的頭像
    鑽石舞台

    鑽石舞台

    鑽石舞台 發表在 痞客邦 留言(0) 人氣()