版权归作者所有,转载请注明出处
追踪溯源、深挖和定性
前言-使用场景
1、常规攻击:一般事件复杂度不高,杂音较低,线性且可直接推测出攻击目的。其中包括定向钓鱼,端口服务扫描,SQL 注入、文件上传,反序列化攻击等,能够得到的不是整条攻击链路,而只是攻击过程的一环,必要时可通过一环接一环形成完整攻击链路。
具体场景:常规应急响应,客户深究想找到攻击者(或可立案或想找到是谁攻击的我)、HW溯源找到攻击队(可加分)
APT(有专业的大哥们专业的方法),一般耗时长久,可参考大哥方法:
https://paper.seebug.org/1132/
前提-发现可疑点
通过安全防护设备(流量监测类、waf、蜜罐、失陷主机得到的攻击痕迹、失陷主机的样本分析、钓鱼邮件捕获的样本分析等信息)获取到攻击者的“能力”和“基础设施”。
常规得到的基础信息如下(IP、域名、邮箱等):
攻击者IP
扫描IP(企图但未攻击成功的IP):
漏洞扫描、webshell扫描、nmap/masscan扫描等各种发起扫描探测的IP,扫描过程中payload远程拉取的IP地址
入侵IP(成功进行攻击的IP)
连接webshell的IP、反弹shell的IP、CS上线的IP、钓鱼邮件的recieve_IP、钓鱼邮件附件样本的C&C地址IP、漏洞利用成功的直接攻击IP(文件上传成功的IP、反序列化或S2直接攻击成功的IP)
其他IP:
通过以上信息关联得到的可疑IP
域名
攻击者拥有域名:
命令执行尝试回连的测试域名【排除公共使用的dnslog平台:dnslog.cn,dnslog.io,ceye.boomeye.com,xss.me,xip.io,burpcollaborator.net,r87.me等】、webshell(黑产常见),样本文件(恶意软件常见),payload远程拉取域名地址
IP-域名之间的反查最为重要,需要确认时间对应情况,当前域名解析情况等多种因素,可在以下平台查询PDNS:
https://x.threatbook.cn/
https://www.virustotal.com/gui/
https://community.riskiq.com/(强烈推荐)
其他域名
公共站点,攻击者攻陷肉鸡等
邮箱(最为难找)
攻击者的邮箱(钓鱼使用邮箱)
域名反查找到的whois信息里面的邮箱
信息查找-本地告警+日志关联
以上的信息查找的基础是:本地提供高质量的威胁信息:
本地的流量溯源分析(常规的webshell连接行为进行分析):
确认事件有效性(即事件是不是真的成功了?)
这块其实最难判断,后面可能单独拉出来讨论做成专题研究。
溯源分析(找到漏洞点即怎么攻击成功的?)
行为分析(使用木马干了什么,下载了什么)
关联分析(攻击IP还做了什么其他行为?)
网络空间追寻(根据基础设置尽可能定位人员)
定性属性:
IP:终端电脑(家庭、热点)-攻击者家庭或者热点,追踪成本较高
VPS(腾讯云、阿里云、天地祥云):
开放服务信息(如:该IP开放端口对应服务:nessuss、FRP、CS、w12scan、博客信息等),通过开放服务信息找到可用信息,进一步反查域名,根据时间对应关系确认域名
PDNS、域名的对应情况(根据对方的IP和域名,看看ip下面有哪些域名,那些还活跃、是否有必然联系、这些域名下面有哪些IP是否同为攻击IP)
域名:根据域名可反查whois信息得到邮箱、电话、QQ等
邮箱:反查其github、域名、微信、知乎、贴吧、微博等平台找到个人信息(容易打篇)
举个例子(这个还是用这位大哥的吧,溯的很全,学习ing):
后面继续补全:
魔高一尺,道高一丈。
目前发现的很多都是最终只能定位到家庭电脑或广东移动,甚至有些更厉害的攻击者伪造假的攻击身份(丢下假的证据)进行攻击。
有一些通过攻击payload就能判断是恶意软件,可视情况进行溯源。
恶意软件:
