今天看到一些朋友的回答,感觉忘了说什么。
跟踪一般有三种套路:
IP->域名->Whois 信息->社交网络信息->真实信息:这个套路目前是可能的 不是特别有用,但是可以根据历史 Whois 信息得出一些启发性的结论,当然这些威胁情报数据可能需要付费。
IP->VPN->IP->社交网络信息:一般是这样的。解决方法是通过查询IP反连接记录、解析操作和一些指纹来获取他的虚拟身份信息。当然,也是要收费的。
IP->botnet->IP->社交网络信息:这种肉鸡类型广泛分布于挖矿、刷票、DDoS等。你可以想办法截取僵尸网络样本进行反向分析,获取其c&c服务器地址,然后对服务器进行反向连接查询。是的,还是要收费的。
我要多说几句了,我估计黑人大哥会打断我的腿
—————————
最近刚好在帮一个客户追踪攻击者,先标记,有时间再回答
—————————
攻击溯源其实是数据驱动的企业内部安全操作,其中一部分需要大量数据的支持和分析才能找到攻击者,而我们在企业内部看到的数据最多也不过是日志,所以日志分析和内网威胁情报的提取非常重要。
对于安全操作,我个人认为,所有的攻击者都难免会产生操作日志,无论是针对内网的安全设备还是非安全设备,都或多或少。存在日志。
对于企业内部的日志,大致可以分为四类:安全设备日志、非安全设备日志、传感器日志和外部数据。
安全设备日志:这些日志的来源可以是硬件或软件。首先,就硬件而言,注入IDS/WAF或SIEM中的日志,硬件防火墙等日志。软件日志包括杀毒软件、安全代理、准入系统等软件系统的日志。这些日志一般是攻击者在攻击时被动触发的,这样就可以检索到很多攻击信息,比如使用的IP、端口、工具指纹等。
非安全设备日志:路由器、交换机、网关、网守等硬件设备,以及操作系统、应用软件、服务器软件日志等软件日志。这些日志可以分析攻击者的目的。为了简单的渗透和玩,你是想把控制机作为进一步渗透工作的跳板,还是只是安全部门扫描产生的日志。
传感器日志:一些蜜罐系统、流量传感器等通常部署在企业内部。这些设备一方面可以起到攻击预警和防横向渗透的作用没有注入点的网站如何入侵,但也会有一些攻击者的行为。比如SSH蜜罐会保存攻击者在本机上的操作,流量传感器会对数据包进行DPI分析,方便流量分析。这些数据中一定还留下了一些有用的信息,可以帮助我们判断攻击者的行为和技能。点,你甚至可以进一步判断攻击者的能力,是脚本小子还是大黑。
外部日志:一些常见服务的日志,比如邮件、DNS等日常服务的日志,这些日志可以帮助我们判断攻击者是APT攻击,还是种下僵尸网络。攻击者的动机也可以确定。
说完日志,我们就可以说下攻击者的动机了。如果攻击者要入侵一个系统,肯定会对系统进行排查,比如端口扫描、漏洞检测、exp测试等,很容易和安全部门的安全例行检查的日志冲突,而且大多数公司会将扫描车队列入白名单。这样会产生类似的日志,会触发告警。我们可以进一步分析这些日志来提取一些攻击者的行为、动机等,以及他的目的甚至他的技能点。我们可以做出初步判断。
通过对以上日志的分析,我们基本可以判断出攻击者是如何进来的,通过什么样的攻击方式获取机器权限,是否进行了敏感操作,是否有进一步渗透的趋势,他们是否试图提权等,让我们对攻击者有一个大致的了解。
接下来,我们需要利用外部威胁情报的力量来获取攻击者的身份。我个人更喜欢国内的微博在线和国外的PassiveTotal平台没有注入点的网站如何入侵,尤其是后者。数据比较 完整而广泛的覆盖范围。当然,不穷的可以选择购买威胁情报服务,比较专业。
简单谈谈威胁情报可以为我们做什么。威胁情报实际上是基于上面获得的破碎攻击者画像完成的。威胁情报一般可以获取该攻击者的常用IP。这些IP分别是在做什么,有没有社交信息,社交信息之间有什么关系。一个不恰当的例子是你知道一个人的身份证号码,然后警察用这个身份证号码来检查这个人有多少钱,有多少资产等(如果你在这里违法,请提醒我,谢谢)。这样您就可以更全面地了解攻击者。
此时,我们其实已经知道了攻击者的信息,所以我们可以选择如何解决它。拉倒办公室10分钟是解决办法,把它送到警察局也是解决办法,但需要提醒大家注意执法。而执法手段,不懂法律就违法(逃跑。
其实大部分安全运维工程师只是想保护自己,他们并不关心这个,但是对于安全研究人员,尤其是从事技术调查的人来说,想要破解其实黑产的结构很简单,上图不是bb:
其实和企业的内部管理很相似。 main)、CTO负责开发(写病毒木马)、硬件采购COO负责抓鸡(chasing chickens)、CIO(shell管理员)负责IT架构管理、销售总监(渠道) ,这么一整套都是靠金钱交易做的,然后倒霉的就是我们的网友了。
黑色产品就像传销一样,进不去。建议你珍惜生命,远离它。黑色产品。
