没有合适的资源?快使用搜索试试~ 我知道了~
背景: 授权授权攻防演练过程中,攻击者千方百计使用各种方法渗透目标。一般情况下攻击链包括:侦察、武器化、交付、利用、安装、命令和控制、窃取目标数据。在溯源中,安全人员对攻击者某个阶段的攻击特点进行分析,再结合已掌握的威胁情报数据将攻击特点和数据聚类,能够有效掌握攻击者的攻击手法和 IP 、域名资产等。 目标: 掌握攻击者的攻击手法(例如:特定木马、武器投递方法); 掌握攻击者的 IP域名资产(例如:木马 C2、木马存放站点、资产特点); 掌握攻击者的虚拟身份、身份; 掌握攻击者武器的检测或发现方法,将捕获的数据形成新的线索。 方法论: 针对交付、利用、安装、命令和控制四个阶段捕获到的数据做深度分析,聚类提取数据特点形成规则。将规则应用于一些安全设备产出高可信度的告警用于防御,或者结合情报数据(如样本信息、域名信息、IP 信息等),将深度溯源的情报(如身份信息、攻击队伍等)产出。 1. 攻击链部分可溯源的关键点: 图片 2. 攻击链利用阶段可溯源的方法及利用点: 图片 攻击回溯的关键点主要分为两类: 攻击分类:根据攻击者的漏洞利用数据包特点(如:字符串格式、特殊字符串)
资源推荐
资源详情
资源评论
溯源手册
本溯源手册,分技巧与实战两大篇幅旨在帮助大家可以快速上手并在实战中运用,
也可充当字典的作用,在溯源过程中可以翻一翻,更全面的溯源,故某些内容可
能会简化。
技巧篇
通常情况下,接到溯源任务时,获得的信息如下
攻击时间
攻击 IP
预警平台
攻击类型
恶意文件
受攻击域名/IP
其中攻击
IP
、攻击类型、恶意文件、攻击详情是溯源入手的点。
通过攻击类型分析攻击详情的请求包,看有没有攻击者特征,通过获取到的 IP
地址进行威胁情报查询来判断所用的 IP 具体是代理 IP 还是真实 IP 地址。
如端口扫描大概率为个人 vps 或空间搜索引擎,在接到大量溯源任务时可优先溯
源。
如命令执行大概率为未经任何隐匿的网络、移动网络、接到脚本扫描任务的肉鸡,
在接到大量溯源任务时可优先溯源。
如爬虫大概率为空间搜索引擎,可放到最后溯源。
如恶意文件可获得 c2 地址、未删除的带有敏感信息的代码(如常用 ID、组织信
息)、持续化控制代码(C2 地址指在 APT 攻击里的命令与控制,若获取到 C2 地
址可以使我们的溯源目标更有针对性)
持续化控制代码需要详细分析,如采用 DGA 域名上线的方法,分析出域名算法,
预测之后的域名可有效减少损失,增加溯源面。
溯源结果框架
在受到攻击、扫描之后,进行一系列溯源操作后,理想情况下想要获得如下数据,
来刻画攻击者画像。
姓名
/ID
:
攻击
IP
:
地理位置:
QQ:
微信:
邮箱:
手机号:
支付宝:
IP
地址所属公司:
IP
地址关联域名:
其他社交账号信息(如微博
/src/id
证明):
人物照片:
跳板机(可选):
(
ps
:以上为最理想结果情况,溯源到名字公司加分最高)
在写溯源报告时,应避免单一面石锤,需要反复验证,避免中途溯源错人,各个
溯源线索可以串起来,要具有逻辑性。
溯源常用手法
本节将按照获取到的数据展开分来来讲,最后可能融会贯通,互相适用。
威胁情报平台
https://x.threatbook.cn/
https://ti.qianxin.com/
https://ti.360.cn/
https://www.venuseye.com.cn/
不要过于依赖威胁情报,仅供参考 平台大多为社区维护,存在误报以及时效性
问题,可能最后跟真正攻击者毫无关系。
已知域名获取信息
历史 whois
通过威胁情报平台我们可以获取域名解析记录、历史 whois、子域名、SSL 证书等如图:
https://whois.chinaz.com/reverse?ddlSearchMode=4
https://community.riskiq.com/
可获得
ID
姓名
邮箱
SSL 证书
可获得
ID
邮箱
解析记录
通过解析记录可以获得域名 A 记录从而获取到域名后的 IP 地址。
A 记录 —— 映射域 bai 名到一个或多个 IP
CNAME—— 映射域名到另一个域名(子域名)
域名解析记录:http://www.jsons.cn/nslookup/
全球 ping,查看现绑定 ip,看是否域名使用了 CDN 技术。
http://ping.chinaz.com/
fofa
剩余38页未读,继续阅读
资源评论
吉吉说安全
- 粉丝: 689
- 资源: 151
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功