在发现有入侵者后,快速由守转攻,进行精准地溯源反制,收集攻击路径和攻击者身份信息,勾勒出完整的攻击者画像。
对内溯源与对内溯源
对内溯源:确认攻击者的行为 ,分析日志 数据包等;
对外溯源:确认攻击者的真实身份,确定攻击 ip,进一步确实域名及注册信息等。
溯源整体思路
常规出现的异常点
- 网页被篡改、被挂上了黑链、web文件丢失等
- 数据库被篡改、web系统运行异常影响可用性、web用户密码被篡改等
- 主机出现运行异常反应卡顿、文件被加密、主机系统出现其他用户等
- 主机流量层出现大量异常流量
信息收集
- 攻击时间、攻击ip、恶意文件、攻击详情(重要)
- 异常服务器的主要业务
- 网络拓扑,是否可以公网访问,开放端口,是否有补丁,使用的 web 技术等
- 是否有安全设备
往往得到的一些可能:“一个web服务器公网可以访问出现了被挂黑链的事件使用了s2框架,那么初步可以怀疑是s2-045 s2-046之类的命令执行漏洞了;如果一台公网服务器没有安装补丁又没有防火墙防护,administrator的密码为P@sswrod那么有很大的可能性是被暴力破解成功;后面的工作主要就是收集各种资料证明这一猜想即可。”
案例
1.邮件钓鱼攻击溯源
- 攻防场景:攻击者利用社会工程学技巧伪造正常邮件内容,绕过邮件网关的查杀,成功投递到目标邮箱,诱骗用户点击邮件链接或下载附件文件。
- 信息收集:通过查看邮件原文,获取发送方IP地址、域名后缀邮箱、钓鱼网站或恶意附件样本等信息。
- 溯源方式:
第一种,可以通过相关联的域名/IP进行追踪;
第二种,对钓鱼网站进行反向渗透获取权限,进一步收集攻击者信息;
第三种,通过对邮件恶意附件进行分析,利用威胁情报数据平台寻找同源样本获取信息,也能进一步对攻击者的画像进行勾勒。
2.Web入侵溯源
- 攻防场景:攻击者通过NDAY和0DAY漏洞渗入服务器网段,Webshell 触发安全预警或者威胁检测阻断了C&C域名的通讯。
- 溯源方式:隔离webshell样本,使用Web日志还原攻击路径,找到安全漏洞位置进行漏洞修复,从日志可以找到攻击者的IP地址,但攻击者一般都会使用代理服务器或匿名网络(例如Tor)来掩盖其真实的IP地址。 在入侵过程中,使用反弹shell、远程下载恶意文件、端口远程转发等方式,也容易触发威胁阻断,而这个域名/IP,提供一个反向信息收集和渗透测试的路径。
3.蜜罐溯源
- 攻防场景:在企业内网部署蜜罐去模拟各种常见的应用服务,诱导攻击者攻击。
- 溯源方式:在攻击者入侵蜜罐时,蜜罐可以记录攻击者的入侵行为,获取攻击者的主机信息、浏览器信息、甚至是真实 IP及社交信息。