DDOS攻击如何溯源?怎么找到攻击者？

攻击溯源作为安全事故中事后响应的重要组成部分，通过对受害资产与内网流量进行分析一定程度上还原攻击者的攻击路径与攻击手法，有助于修复漏洞与风险避免二次事件的发生。攻击知识可转换成防御优势,如果能够做到积极主动且有预见性，就能更好地控制后果。
 

在溯源工作中，安全人员依据攻击事件获取的信息越多，攻击者的攻击画像就会越全面。对攻击者某个阶段的攻击特点进行分析后，再结合已掌握的威胁情报数据将攻击特点和数据聚类，能够有效掌握攻击者的攻击手法、IP&域名资产等信息。

在溯源工作中首先要明确我们溯源的目标是什么，以及如何通过现有信息挖掘出更多有价值的线索，便于后期更清晰的描绘攻击者画像，通常情况，溯源的主要目标如下：

攻击目的：拿到权限、窃取数据、获取利益、DDOS等

网络代理：代理IP、跳板机、C2服务器等

攻击手法：鱼叉式邮件钓鱼、Web渗透、水坑攻击、近源渗透、社会工程等

虚拟身份：ID、昵称、网名

真实身份：姓名、物理位置

联系方式：手机号、QQ/微信、邮箱    

组织情况：单位名称、职位信息

• 攻击分类：根据攻击者的漏洞利用数据包特点（字符串格式、特殊字符串）。

• 攻击者信息：攻击者使用其公司（个人）特有的漏洞利用工具时，可能会在请求包中存在公司（个人）信息。

• 发件 IP、发件账号、邮件内容（格式特点）可用于将攻击者投递的邮件分类；  

• 发件账号中可能存在个人信息，如：“账号@qq.com”、“昵称@gmail.com” 等此类字符串，检索账号或昵称ID可用于挖掘身份信息；

• 邮件内容大致可分以下三类：投递物（后门木马、其他攻击组件）；钓鱼网站，包含域名、IP 等信息；其他，需要研究邮件中的字符串，邮件可能存在攻击者的其他账号；

• 发件 IP、发件服务器（此类属攻击者资产）。

• 代码逻辑：由于人天生的惰性，红队开发者可能会复用以前的一些代码。如果代码特点比较明显，可依此进行分类拓线。

• 字符串特点：字符串特点用于将红队投递的样本分类及拓线出更多的样本，将检索到的样本再进行分析并分析历史样本（如测试阶段的样本）查找更多暴露信息。    

• 元数据：（投递的诱饵不同，得到的元数据不同。诱饵类型包括：LNK、EXE、DOCX等）。EXE 文件：存在 PDB 信息，部分开发人员会将项目存放在桌面，这会导致编译信息带入开发人员的终端名称（极大可能为个人昵称）；LNK 文件：由于 LNK 文件在新建的时候会带入计算机名称，这可以用于样本的拓线和分类，极少情况下可找到个人昵称；DOCX 文件：可能存在“最后编辑者名称”。

• 回连C2：C2属攻击者资产。

• 域名自身特点（昵称字符串）；

• 搭建网站（通过图中四种方法探测资产的现有数据和历史数据）。网站可能存在红队的其他攻击组件；网站存在个人昵称、简介等；网站备案信息；

• Whois信息，可能包含：注册者邮箱、电话号码等；

• IP信息需要考虑如下两点：是否定位到某个安全公司的地理位置；是否标记为某个安全公司的网关。