官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
Notadmin- 关注
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
本文由
Notadmin 创作,已纳入「FreeBuf原创奖励计划」,未授权禁止转载
前言
攻防演练中防守方少不了要做的一件事就是溯源分析。在发现有入侵者后,快速由守转攻。接下来就来看看如何根据不同的场景去做溯源分析,最后生成攻击者的身份画像。
攻击方式
在攻防演练中攻击方主要通过下面的方式进行攻击:web网站,服务漏洞,钓鱼,还有近几年来比较流行的近源攻击。这些攻击方式都不是无迹可寻,会在各种设备上留下痕迹。溯源就是根据留下的痕迹去反向找到攻击者。
攻击源
再来看看我们能够获取到的攻击源都有哪些,这些就是我们进行溯源分析的原始数据。最常见的攻击源就是IP地址,域名,恶意样本,社交账号ID,邮箱/手机号。
溯源方式
从上面可以看到,我们获取到的攻击源可以分为三种:IP,域名,个人ID信息(手机号,社交名称,邮箱等)
IP方式溯源
得到攻击者的IP,可以通过下面的方式进行溯源
1)先判断IP的类型,看IP是代理IP,IDC机房/云主机,肉鸡,CDN IP。查看IP的类型可以通过威胁情报网站或者ipip.net这种类型的网站进行判断。
2)代理IP/CDN:如果攻击IP是代理IP或者CDN IP地址,那么一般是没有办法进行有效溯源的,可以先放弃。
3)肉鸡IP:这种IP一般是由于存在漏洞被攻击者拿到权限,进而用作跳板进行攻击,这种只能去攻击这台主机拿到权限以后,上去查找连接记录,进而获取真实IP,在进行溯源。这种方式比较难。
4)IDC机房或者云主机:这种有可能是攻击者自己的服务器,可以查看该IP的历史域名解析记录,根据域名信息去做whois查询,看是否能够获取到注册人信息,如姓名,邮箱,手机号等。如果可以拿到这些信息,可以去查社工库,或者各种论坛去完善攻击者画像。
5)真实IP:如果是真实IP,那么可以通过网站对攻击者的位置进行大概定位,在结合其它信息进行判断。
查询IP信息的常用网站
https://www.cz88.net/iplab https://www.ipip.net/ https://www.ipuu.net/query/ip?search= https://tool.lu/ip/ https://x.threatbook.com/
域名方式溯源
从恶意样本或者钓鱼邮件中可以提取到域名,可以根据域名去查找攻击者的相关信息。
ID方式溯源
通过下面的方式进行查询
1)如果有邮箱,手机号等信息,可以查找社工库去获取信息
2)进行ID同名搜索,在各个不同的社交网站进行查询,如淘宝,qq等
3)ID是手机号,可以通过手机号搜索相关信息,以及手机号使用者的姓名等
总结
溯源的关键还是你能获取到信息的多少,要通过蜜罐这类技术去尽可能的捕获攻击者的特征,然后再去进行反查。
由于本人水平有限,文章中可能会出现一些错误,欢迎各位大佬指正,感激不尽。如果有什么好的想法也欢迎交流,谢谢大家了~~
已在FreeBuf发表 87 篇文章
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
kkk
- 87 文章数
- 154 关注者