高级蓝队溯源手册(实战指南)
需积分: 0 126 浏览量
2024-03-11
09:35:26
上传
评论 1
收藏 4.96MB PDF 举报
溯源手册
本溯源手册,分技巧与实战两大篇幅旨在帮助大家可以快速上手并在实战中运用,
也可充当字典的作用,在溯源过程中可以翻一翻,更全面的溯源,故某些内容可
能会简化。
技巧篇
通常情况下,接到溯源任务时,获得的信息如下
攻击时间
攻击 IP
预警平台
攻击类型
恶意文件
受攻击域名/IP
其中攻击
IP
、攻击类型、恶意文件、攻击详情是溯源入手的点。
通过攻击类型分析攻击详情的请求包,看有没有攻击者特征,通过获取到的 IP
地址进行威胁情报查询来判断所用的 IP 具体是代理 IP 还是真实 IP 地址。
如端口扫描大概率为个人 vps 或空间搜索引擎,在接到大量溯源任务时可优先溯
源。
如命令执行大概率为未经任何隐匿的网络、移动网络、接到脚本扫描任务的肉鸡,
在接到大量溯源任务时可优先溯源。
如爬虫大概率为空间搜索引擎,可放到最后溯源。
如恶意文件可获得 c2 地址、未删除的带有敏感信息的代码(如常用 ID、组织信
息)、持续化控制代码(C2 地址指在 APT 攻击里的命令与控制,若获取到 C2 地
址可以使我们的溯源目标更有针对性)
持续化控制代码需要详细分析,如采用 DGA 域名上线的方法,分析出域名算法,
预测之后的域名可有效减少损失,增加溯源面。
剩余38页未读,继续阅读
资源评论
