溯源整個流程我認為有三個部分。
攻擊源捕獲。
溯源資訊
輸出攻擊者畫像
攻擊源的捕獲是為了獲得攻擊者的ip、黑客id、手機號、郵箱等資訊。
溯源資訊是為了定位黑客到具體的人。
輸出攻擊者畫像是為了給這個人乙個格式化的檔案方便下次查詢與資訊儲存。
攻擊源捕獲主要分為以下幾個方法:
安全裝置報警,如edr告警等。
日誌分析,獲取攻擊者指紋資訊與攻擊方式。
伺服器資源異常,如伺服器上多了webshell檔案或者計畫任務。
蜜罐告警,獲取攻擊者指紋資訊。
郵件釣魚,其中一般有木馬檔案,通過對木馬檔案逆向分析獲取攻擊者資訊。
如果直接得到攻擊者ip,那麼直接到溯源資訊階段,如果無法得到攻擊者ip則選擇上機排查。
上機排查的時候如果是linux電腦,則檢視history資訊還有檔案修改資訊,這就涉及到了linux應急響應的知識。
如果是windows電腦,就檢視登入日誌4625,通過logontype的型別來分辨攻擊者如何登陸的機器並回推攻擊方法。
logontype對照表如下:
local windows_rdp_interactive = 「2」local windows_rdp_unlock = 「7」
local windows_rdp_remoteinteractive = 「10」
local windows_smb_network = 「3」
得到攻擊者基礎資訊的方式:看惡意郵件的郵件頭獲取惡意網域名稱
逆向分析惡意木馬獲取惡意ip或者網域名稱
檢視機器回連ip獲取惡意ip位址
檢視日誌獲取惡意ip
檢視蜜罐或其他安全裝置告警資訊獲取惡意ip
如果黑客使用近源滲透如直接用手機號打**,則可直接得到手機號
檢視webshell的編寫方式有可能直接獲取黑客id,因為不少黑客喜歡將自己的id設為webshell鏈結密碼
獲得攻擊者真實ip或者網域名稱之後我們進行溯源資訊階段。
#通過手機號或者郵箱獲取使用者註冊過的**利用精確ip定位進行目標的位置定位。
收集手機號與網際網路上的各種id資訊(利用google hacking)。
通過黑客id進行資訊收集:
前提是我方部署了蜜罐並且攻擊者踩了蜜罐且獲取到攻擊者的裝置指紋。
如果有能力控制了紅隊的跳板機,則可進入跳板機進行資訊收集,檢視命令執行的歷史記錄與日誌等。
如果主機桌面沒有敏感資訊,可針對下列檔案進行資訊收集:
last:檢視登入成功日誌cat ~/.bash_history :檢視操作指令
ps -aux #檢視程序
cat /etc/passwd
(檢視是否有類似id的使用者
重點關注 uid 為500以上的登入使用者
nologin為不可登入)
攻擊者畫像模版如下:
姓名/id:攻擊路徑模版:攻擊ip:
地理位置:
手機號:
人物**:
跳板機(可選):
關聯攻擊事件:
攻擊目的:拿到許可權、竊取資料、獲取利益、ddos等安全攻擊溯源思路及案例網路**:**ip、跳板機、c2伺服器等
攻擊手法:魚叉式郵件釣魚、web滲透、水坑攻擊、近源滲透、社會工程等
Monte Carlo方法的基本思路
monte carlo方法的基本思路 1 針對實際問題建立乙個簡單且便於實現的概率統計模型,使所求的解恰好是所建模型的概率分布或其某個數字特徵,比如是某個事件的概率,或者是該模型的期望值。2 對模型中的隨機變數建立抽樣方法,在計算機上進行模擬試驗,抽取足夠的隨機數,並對有關的事件進行統計。3 對模擬...
弦截法的基本思路
1 對於乙個曲線方程,任意的取2個點,a a,f a b b,f b 如果f a f b 0 就可以繼續。2 求出連線a和b的直線方程,並可求出它與 軸的交點,a f a b a f b f a 如果f x 與f a 同號則使 a點成為 x,f x 如果f x 與f b 同號則使b點成為 x,f x...
使用Namp時的基本思路
使用nmap掃瞄主要會涉及到主機發現 埠掃瞄 獲取服務的banner資訊和作業系統識別這四個方面,下面詳細介紹其原理。根據nmap進行主機發現時,傳送的資料報在tcp ip協議七層模型中所屬的層數,把主機發現分為 二 三 四層主機發現。利用arp協議,一般是滲透進入一台內網主機後用於發現內網中存活主...