背景:
攻防演练过程中,攻击者千方百计使用各种方法渗透目标。一般情况下攻击链包括:侦察、武器化、交付、利用、安装、命令和控制、窃取目标数据。在溯源中,安全人员对攻击者某个阶段的攻击特点进行分析,再结合已掌握的威胁情报数据将攻击特点和数据聚类,能够有效掌握攻击者的攻击手法和 IP 、域名资产等。
目标:
掌握攻击者的攻击手法(例如:特定木马、武器投递方法);掌握攻击者的 IP域名资产(例如:木马 C2、木马存放站点、资产特点);掌握攻击者的虚拟身份、身份;掌握攻击者武器的检测或发现方法,将捕获的数据形成新的线索。
方法论:
针对交付、利用、安装、命令和控制四个阶段捕获到的数据做深度分析,聚类提取数据特点形成规则。将规则应用于一些安全设备产出高可信度的告警用于防御,或者结合情报数据(如样本信息、域名信息、IP 信息等),将深度溯源的情报(如身份信息、攻击队伍等)产出。
(相关资料图)
环境搭建资料+工具包+全套视频
1. 攻击链部分可溯源的关键点:
2. 攻击链利用阶段可溯源的方法及利用点:
攻击回溯的关键点主要分为两类:
攻击分类:根据攻击者的漏洞利用数据包特点(如:字符串格式、特殊字符串)。攻击者信息:攻击者使用其公司(个人)特有的漏洞利用工具时,可能会在请求包中存在公司(个人)信息。
3. 钓鱼邮件可溯源方法及关键点:
发件 IP、发件账号、邮件内容(格式特点等)可用于将攻击者投递的邮件分类;
发件账号中可能存在个人信息,如:“账号@”、“昵称@” 等此类字符串,检索该字符串可用于挖掘身份信息;
邮件内容大致可分以下三类:
投递物(后门木马、其他攻击组件)
钓鱼网站,包含域名、IP 等信息
其他,需要研究邮件中的字符串,邮件可能存在攻击者的其他账号(在真实场景中出现过)发件 IP、发件服务器,属攻击者资产。
4. 后门木马可溯源方法及关键点:
代码逻辑,由于人的惰性,红队开发者可能会复用以前的一些代码。如代码特点比较明显,可用于分类和拓线。
字符串特点,用于将红队投递的样本分类和拓线更多的样本,将检索到的样本再进行分析,分析历史样本(如测试阶段的样本)看是否会暴露出更多信息。
元数据(投递的诱饵不同,得到的元数据不同。诱饵类型包括:LNK、EXE、DOCX等)。
EXE 文件:存在 PDB 信息,部分开发人员将项目存放在桌面,这会导致编译信息带入开发人员的终端名称(极大可能为个人昵称)。
LNK 文件:由于 LNK 文件在新建的时候会带入计算机名称,这可以用于样本的拓线和分类,极少情况下可找到个人昵称。
DOCX 文件:可能存在“最后编辑者名称”。
回连 C2,属攻击者资产。
5. 攻击者资产维度可溯源方法及关键点:
域名自身特点,如:昵称字符串
搭建网站(通过图中四种方法探测资产的现有数据和历史数据)
网站可能存在红队的其他攻击组件
网站存在个人昵称、简介等
网站备案信息
Whois 信息,可能包含:注册者邮箱、电话号码等
IP 信息需要考虑如下两点:
是否定位到某个安全公司的地理位置
是否标记为某个安全公司的网关
6.命令和控制阶段可产生的数据
用于防御,将掌握的流量规则部署在安全设备中积累数据,掌握更多的木马、资产,支撑上述中的各种溯源方法
7.身份信息溯源方向:
虚拟身份
攻击者资产暴露的信息,如:Whois 信息、个人网站简介、GitHub 个人简介
样本暴露的信息,如:PDB 信息、个人昵称、存放特马的 Github 账号
蜜罐捕获,如:百度 ID、新浪 ID 等
利用密码找回功能,如:阿里云IP找回、腾讯密码找回、邮箱密码找回
身份
社交平台(如百度贴吧、QQ 空间、新浪微博等)暴露真实姓名、手机号码
支付宝转账功能,搜索邮箱、手机号
已知的线索(邮箱、QQ、昵称等)在招聘网站搜索
利用搜索引擎,如:手机号和真实姓名存放一起的 XXX 学校表格
公司信息
IP资产定位、域名 Whois 信息
特有漏洞利用工具暴露的信息,如:User Agent、Cookie、Payload
社交平台,如:钉钉、企业微信等
攻击者个人简历中的工作经历
环境搭建资料+工具包+全套视频
流程:
1.针对ip通过开源情报+开放端口分析查询
可利用网站:
/(主要)
/
/(主要)
/
/
当发现某些IP的攻击后,可以尝试通过此IP去溯源攻击者
首先通过网站或者其他接口,查询此IP为IDC的IP、CDN的IP还是普通运营商的出口IP。
如果IP反查到域名就可以去站长之家对其进行whois反查或者去/等网站去查询域名的注册信息、/查询备案信息等。
端口:可查看开放服务进行进一步利用
可考虑使用masscan快速查看开放端口:
masscan -p 1-65535 ip --rate=500
再通过nmap 对开放端口进行识别
nmap -p 3389,3306,6378 -Pn IP
发现相关有用端口,进行端口相关漏洞的挖掘及利用。
查询定位
ip定位工具:
高精度IP定位:/Data/IP/
rtbasia(IP查询):/
ipplus360(IP查询):/
IP地址查询在线工具:/ip/
在通过IP定位技术溯源过程,应注意以下情况:
假如IP反查到的域名过多,考虑就是CDN了,就没必要继续去查了。
假如是普通运营商的出口IP只能使用一些高精度IP定位工具粗略估计攻击者的地址,如果需要具体定位到人,则需要更多的信息。
3. ID跟踪、得到常用id信息收集
在通过IP定位后技术追踪攻击者,可通过指纹库、社工库等或其他技术手段抓取到攻击者的微博账号、百度ID等信息,一般通过以下技术手段实现:
进行QQ等同名方式去搜索、进行论坛等同名方式搜索、社工库匹配等。
如ID是邮箱,则通过社工库匹配密码、以往注册信息等。
如ID是手机号,则通过手机号搜索相关注册信息,以及手机号使用者姓名等。
其他方法:
(1) 百度信息收集:“id” (双引号为英文)
(2) 谷歌信息收集
(3) src信息收集(各大src排行榜)
(4) 微博搜索(如果发现有微博记录,可使用tg查询weibo泄露数据)
(5) 微信ID收集:微信进行ID搜索(直接发钉钉群一起查)
(6) 如果获得手机号(可直接搜索支付宝、社交账户等)
注意:获取手机号如果自己查到的信息不多,直接上报钉钉群(利用共享渠道对其进行二次社工)
豆瓣/贴吧/知乎/脉脉 你能知道的所有社交平台,进行信息收集
例如,当通过ID追踪技术手段定位到某攻击者的QQ号、QQ网名等信息,通过专业社工库可以进一步追踪攻击者使用的QQ号注册过的其它网络ID,从而获取更多攻击者信息,从而确定攻击者的身份。
注意:手机号、昵称ID均为重点数据,如查不到太多信息,直接上报指挥部。
4.预警设备信息取证
上方数据一无所获,可考虑对其发起攻击的行为进行筛查,尝试判断其是否有指纹特征。
攻击者如果在攻击过程中对攻击目标上传攻击程序(如钓鱼软件),可通过对攻击者上传的恶意程序进行分析,并结合IP定位、ID追踪等技术手段对攻击进行分析溯源,常用的恶意程序分析网站有:
Ø 微步在线云沙箱:/
Ø Virustotal:/gui/home/upload
Ø 火眼()
Ø Anubis()
Ø joe()
5.跳板机信息收集(触发)
进入红队跳板机查询相关信息,如果主机桌面没有敏感信息,可针对下列文件进行收集信息。
Last: 查看登录成功日志
Cat ~/.bash_history 查看操作指令
Ps -aux 查看进程
Cat /etc/passwd
查看是否有类似ID的用户
重点关注uid为500以上的登录用户
nologin为不可登录
环境搭建资料+工具包+全套视频
-
HVV蓝队溯源流程背景:攻防演练过程中,攻击者千方百计使用各种方法渗透目标。一般情况
-
新华全媒+丨这里的电力救援物资“即来即检 即检即送”位于河北省保定市清苑区的国网河北电力雄安检储配一体化物资中心,这里
-
2023工业互联网和大数据产业发展大会举行中新网8月12日电题:2023工业互联网和大数据产业发展大会举行中新财经
-
消防员返程前把课桌松动螺丝都拧紧了近日,河北涿州,在涿州市双语学校驻勤的山东消防增援队完成任务,准备
-
第四届全国生化教学青年论坛在开封成功举办2023年7月31日至8月3日,第四届全国生物化学与分子生物学教学青年论坛
-
土豆超好吃的做法,几个关键步骤全告诉你,喜欢土豆的别错过土豆超好吃的做法,几个关键步骤全告诉你,喜欢土豆的别错过。土豆是我
-
一年多达2000次,鲸爆是如何产生的?鲸鱼死亡后的2个结局鲸鱼死亡是海洋生态系统中不可避免的一个过程,但这些死亡鲸鱼对海洋的
-
限时抢购 Ergonor保友优旗舰2代家具 到手价2259Ergonor保友办公家具优旗舰2代是一款高品质的办公家具。产品以人体工程
-
海天瑞声:8月11日融资买入780.89万元,融资融券余额2.49亿元8月11日,海天瑞声(688787)融资买入780 89万元,融资偿还640 84万元
-
鼎阳科技:8月11日融资买入186.92万元,融资融券余额6450.75万元8月11日,鼎阳科技(688112)融资买入186 92万元,融资偿还225 95万元
-
持续推动长江流域生态修复 江苏再下达3亿元补助资金为进一步推进长江沿线生态环境系统综合整治,省财政近日联合相关部门下
-
欢太商城(欢太商城客服电话OPPO不知道在搞些什么,反反复复的之前把商城名改成欢太,现在又改回来
-
赶走泥蜂的方法(泥蜂怎么赶走)1、在旁边架火烧,烧完撒一点硫磺,就可以赶走泥蜂。2、膜翅目细腰亚目针
-
初级会计师《初级会计实务》真题(263)初级会计师《初级会计实务》真题(263) 网上课程学习请电话咨询:400-6
-
十面硬核抗摔、1.5K护眼屏、5800mAh大电池,荣耀X50值得买吗?【前言】随着科技的不断发展,数字化信息时代的全面到来,当下已是机不
-
榆林市人大常委会来榆阳区调研 氢能产业经济运行情况8月11日,市人大常委会党组书记、主任王国忠一行到榆林市榆阳产业园区
-
华为推动车BU独立?最新回应;中国互联网巨头豪掷50亿美金疯抢GPU?英伟达回应;酷狗音乐:“酷狗下架刀郎歌曲”属不实信息,已报案丨大公司动态【科技圈】华为:上半年公司实现销售收入3109亿元人民币,同比增长3 1%
-
小周天三关一桥 小周天1、小周天运行路线,问的朋友很多,就做了个简便的小周天图。2、其基本
-
《心灵杀手2》借鉴生化危机 让玩家感觉更脆弱Remedy正开发其首款成熟的生存恐怖游戏《心灵杀手2》,在这一游戏类型
-
云康集团(02325)发盈警 预计中期溢利同比减少78%-83%至3990万-5170万元之间智通财经讯,云康集团(02325)发布公告,集团预期截至2023年6月30日止六
-
赤子城科技(09911)发盈喜 预计中期股东应占利润同比增长约92.8%-141.0%至约1.60亿-2亿元智通财经APP讯赤子城科技09911发布公告该集团预期截至2023年6月30日止
-
乌方宣布强制撤离哈尔科夫州部分地区居民乌方宣布强制撤离一州部分地区居民
-
一带一路全球行丨驼铃悠悠,丝路奇珍鉴往来宁夏,是古丝绸之路的重要通道,也是丝绸之路经济带上的重要节点。新华
-
东方时评丨从“大小姐”勘灾,看民进党的蜕变台风“卡努”带来的暴雨重创台湾南投。而被称为“大小姐”的台湾地区领
-
欢迎进入亚洲象的世界!追云记 第028期每年的8月12日是世界大象日,旨在保护世界野生动物,以
-
小南海站(关于小南海站介绍)大家好,小万来为大家解答以上的问题。小南海站,关于小南海站介绍这个
-
中国电信(601728):利润双位数增长 云业务维持60%+高增速 剑指全年千亿目标中国电信(601728):利润双位数增长云业务维持60%+高增速剑指全年千亿目标
-
连锁药店“圈地战”不停歇:万店不是终点,四大民营巨头再掀并购潮连锁药店“圈地战”不停歇:万店不是终点,四大民营巨头再掀并购潮,零
-
救援人员奔赴一线,雅迪救援物资陆续送抵涿州等地受台风“杜苏芮”北上影响,京津冀地区连日来出现强降雨天气,多个地区
-
绝对剩余价值和相对剩余价值的共同点有哪些_绝对剩余价值和相对剩余价值的共同点1、绝对剩余价值。2、是指通过把工作日延长到超过必要劳动时间而生产的