本文已参与「新人创作礼」活动,一起开启掘金创作之路
⬆️基本步骤
1.攻击源捕获
- 安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等
- 日志与流量分析,异常的通讯流量、攻击源与攻击目标等
- 服务器资源异常,异常的文件、账号、进程、端口,启动项、计划任务和服务等
- 邮件钓鱼,获取恶意文件样本、钓鱼网站 URL 等
- 蜜罐系统,获取攻击者 ID、电脑信息、浏览器指纹、行为、意图的相关信息
2.攻击者画像
-
攻击路径
攻击目的:拿到权限、窃取数据、获取利益、DDOS 等 网络代理:代理 IP、跳板机、C2 服务器等 攻击手法:鱼叉式邮件钓鱼、Web渗透、水坑攻击、近源渗透、社会工程等
-
攻击者身份画像
虚拟身份:ID、昵称、网名 真实身份:姓名、物理位置 联系方式:手机号、qq/微信、邮箱 组织情况:单位名称、职位信息
3.溯源反制手段
- IP 定位技术 根据IP定位物理地址--代理 IP 溯源案例:通过 IP 端口扫描,反向渗透服务器进行分析,最终定位到攻击者相关信息
- ID 追踪术 ID 追踪术,搜索引擎、社交平台、技术论坛、社工库匹配 溯源案例:利用 ID 从技术论坛追溯邮箱,继续通过邮箱反追踪真实姓名,通过姓名找到相关简历信息
- 网站 url 域名 Whois 查询--注册人姓名、地址、电话和邮箱 --域名隐私保护 溯源案例:通过攻击 IP 历史解析记录/域名,对域名注册信息进行溯源分析
- 恶意样本分析 提取样本特征、用户名、ID、邮箱、C2 服务器等信息--同源分析 溯源案例:样本分析过程中,发现攻击者的个人 ID 和 QQ,成功定位到攻击者
- 社交账号 基于 JSONP 跨域,获取攻击者的主机信息、浏览器信息、真实 IP 及社交信息等 利用条件:可以找到相关社交网站的 jsonp 接口泄露敏感信息,相关网站登录未注销
技巧
- 域名、ip 反查目标个人信息
- 支付宝转账,确定目标姓氏
- 淘宝找回密码,确定目标名字
- 企业微信手机号查公司名称
- REG007 查注册应用、网站
- 程序 PDB 信息泄露
主动防御
- 浏览器指纹技术
- 网络欺骗技术,蜜罐蜜网
流量溯源
可利用流量工具 wireshark 进行溯源:
- 查看 eval、 z0、 shell whoami 等关键字,查看出现次数过多的时候, 需要查看是哪个页面发起的请求,有可能是 webshell
- 通过 WireShark 工具快速搜索关键字,定位到异常流量包
- 找出异常 IP 和所上传的内容,查看是否为 webshell
如何定位到攻击IP:
-
首先通过选择 - 统计 - 对话查看流量的走向情况, 定位可疑的 IP 地址
-
根据定位到的 IP 地址,尝试对上传的 webshell 进行定位
ip.addr == ip && http matches "uploadllevallselectlxp_cmdshell" && http.request.method == "POST" -
查找到 webshell 后尝试溯源漏洞位置
http.request.uri contains "webshell.php"定位到最开始 webshell 执行或上传的时候
-
根据最开始的 HTTP 上传包或者其他漏洞特征定位漏洞类型
wireshark
wireshark 简单的过滤规则
-
过滤ip:
过滤源 ip 地址:ip.src1.1.1.1
目的 ip 地址:ip.dst1.1.1.1
-
过滤端口:
过滤80端口:tcp.port == 80
源端口:tcp.srcport == 80
目的端:tcp.dstport == 80
-
协议过滤:直接输入协议名即可,如 http 协议 http
-
http 模式过滤:过滤 get/post 包 httprequest.mothod == "GET/POST"
常用取证工具
Wireshark、xplico、 Volatility、 FastlR Collector、Autopsy、 Dumplt、 FTK Imager、Foremost、Scalpel、 Bulk_ exetractor 等
