没有产品在购物车中。
"DDoS攻击如何溯源?了解如何通过IP追踪、数据包分析和网络流量监控等方法,识别和定位发起DDoS攻击的源头。保护您的网络安全,防范未来的网络攻击风险。"
攻击溯源作为安全事故中事后响应的重要组成部分,通过对受害资产与内网流量进行分析一定程度上还原攻击者的攻击路径与攻击手法,有助于修复漏洞与风险避免二次事件的发生。攻击知识可转换成防御优势,如果能够做到积极主动且有预见性,就能更好地控制后果。
在溯源工作中,安全人员依据攻击事件获取的信息越多,攻击者的攻击画像就会越全面。对攻击者某个阶段的攻击特点进行分析后,再结合已掌握的威胁情报数据将攻击特点和数据聚类,能够有效掌握攻击者的攻击手法、IP&域名资产等信息。
01
攻击者画像
在溯源工作中首先要明确我们溯源的目标是什么,以及如何通过现有信息挖掘出更多有价值的线索,便于后期更清晰的描绘攻击者画像,通常情况,溯源的主要目标如下:
攻击路径
攻击目的:拿到权限、窃取数据、获取利益、DDOS等
网络代理:代理IP、跳板机、C2服务器等
攻击手法:鱼叉式邮件钓鱼、Web渗透、水坑攻击、近源渗透、社会工程等
攻击者身份画像
虚拟身份:ID、昵称、网名
真实身份:姓名、物理位置
联系方式:手机号、QQ/微信、邮箱
组织情况:单位名称、职位信息
02
溯源方法
2.1漏洞利用可溯源的思路
在攻击者通过已有漏洞攻击成功的安全事件中,通过回溯攻击可以获得一些有效信息,主要可以分为以下几类:
攻击分类:根据攻击者的漏洞利用数据包特点(字符串格式、特殊字符串)。
攻击者信息:攻击者使用其公司(个人)特有的漏洞利用工具时,可能会在请求包中存在公司(个人)信息。
2.2钓鱼邮件可溯源的思路
在攻击者通过邮件钓鱼攻击成功的安全事件中,通过分析钓鱼邮件可以获得一些有效信息,主要可以分为以下几类:
发件 IP、发件账号、邮件内容(格式特点)可用于将攻击者投递的邮件分类;
发件账号中可能存在个人信息,如:“账号@qq.com”、“昵称@gmail.com” 等此类字符串,检索账号或昵称ID可用于挖掘身份信息;
邮件内容大致可分以下三类:投递物(后门木马、其他攻击组件);钓鱼网站,包含域名、IP 等信息;其他,需要研究邮件中的字符串,邮件可能存在攻击者的其他账号;
发件 IP、发件服务器(此类属攻击者资产)。
2.3后门木马可溯源的思路
后门木马及攻击组件也是重要的溯源线索,在已有信息有限的情况下,分析遗留的攻击文件往往可以取得不错的效果,主要思路如下:
代码逻辑:由于人天生的惰性,红队开发者可能会复用以前的一些代码。如果代码特点比较明显,可依此进行分类拓线。
字符串特点:字符串特点用于将红队投递的样本分类及拓线出更多的样本,将检索到的样本再进行分析并分析历史样本(如测试阶段的样本)查找更多暴露信息。
元数据:(投递的诱饵不同,得到的元数据不同。诱饵类型包括:LNK、EXE、DOCX等)。EXE 文件:存在 PDB 信息,部分开发人员会将项目存放在桌面,这会导致编译信息带入开发人员的终端名称(极大可能为个人昵称);LNK 文件:由于 LNK 文件在新建的时候会带入计算机名称,这可以用于样本的拓线和分类,极少情况下可找到个人昵称;DOCX 文件:可能存在“最后编辑者名称”。
回连C2:C2属攻击者资产。
2.4攻击者资产可溯源的思路
域名自身特点(昵称字符串);
搭建网站(通过图中四种方法探测资产的现有数据和历史数据)。网站可能存在红队的其他攻击组件;网站存在个人昵称、简介等;网站备案信息;
Whois信息,可能包含:注册者邮箱、电话号码等;
IP信息需要考虑如下两点:是否定位到某个安全公司的地理位置;是否标记为某个安全公司的网关。
03
安全溯源案例
案例一:邮件钓鱼攻击溯源
攻防场景:攻击者利用社会工程学技巧伪造正常邮件内容,绕过邮件网关的查杀,成功投递到目标邮箱,诱骗用户点击邮件链接或下载附件文件。
信息收集:通过查看邮件原文,获取发送方IP地址、域名后缀邮箱、钓鱼网站或恶意附件样本等信息。
溯源方式:第一种,可以通过相关联的域名/IP进行追踪;第二种,对钓鱼网站进行反向渗透获取权限,进一步收集攻击者信息;第三种,通过对邮件恶意附件进行分析,利用威胁情报数据平台寻找同源样本获取信息,也能进一步对攻击者的画像进行勾勒。
案例二:Web入侵溯源
攻防场景:攻击者通过NDAY和0DAY漏洞渗入服务器网段,Webshell 触发安全预警或者威胁检测阻断了C&C域名的通讯。
溯源方式:隔离webshell样本,使用Web日志还原攻击路径,找到安全漏洞位置进行漏洞修复,从日志可以找到攻击者的IP地址,但攻击者一般都会使用代理服务器或匿名网络(例如Tor)来掩盖其真实的IP地址。
在入侵过程中,使用反弹shell、远程下载恶意文件、端口远程转发等方式,也容易触发威胁阻断,而这个域名/IP,提供一个反向信息收集和渗透测试的路径。
案例三:蜜罐溯源
攻防场景:在企业内网部署蜜罐去模拟各种常见的应用服务,诱导攻击者攻击。
溯源方式:在攻击者入侵蜜罐时,蜜罐可以记录攻击者的入侵行为,获取攻击者的主机信息、浏览器信息、甚至是真实 IP及社交信息。
通过以上的手段,我们可以获得一份较完善的威胁情报画像;从而明白:是哪个人/组织发动的攻击?攻击目的是什么?采用的攻击方法是什么?攻击的流程是什么?通过进一步研判分析、情报交叉确认,最终锁定攻击者的攻击身份。