本文转载自微信公众号《绕过》,作者绕过。转载本文请联系旁路公众号。从进攻和防守的角度来看,进攻方会更加主动,而防守方会略显被动,因为作为防守方,你永远不知道进攻会在什么时候发生。你能做的就是该做的都做好,该准备的都准备好,耐心等待对手失误的机会。发现入侵者后,迅速转守为攻,进行精准的溯源反制,收集攻击路径和攻击者身份信息,描绘出攻击者的完整画像。1、攻击源抓取安全设备告警,如扫描IP、威胁拦截、病毒木马、入侵事件等日志及流量分析、异常通信流量、攻击源、攻击目标等异常服务器资源、异常文件、账号、进程、端口、启动项、定时任务和服务等邮件钓鱼,获取恶意文件样本、钓鱼网站URL等蜜罐系统,获取攻击者行为和意图的相关信息——代理IP溯源案例:通过IP端口扫描,反向渗透服务器分析,最终定位攻击者相关信息从技术论坛追查邮箱,通过邮箱继续追查真实姓名,通过姓名--注册人姓名、地址Whois查询找到相关简历信息网站url域名Whois查询、电话号码和电子邮件地址。--域名隐私保护溯源案例:通过攻击IP历史分析记录/域名,对域名注册信息进行溯源分析恶意样本提取样本特征、用户名、ID、邮箱、C2服务器等信息--同源分析溯源case:samples在分析过程中,找到了攻击者的个人ID和QQ,成功定位到攻击者。社交账号基于JSONP跨域访问攻击者的主机信息、浏览器信息、真实IP、社交信息。使用条件:发现相关社交网站jsonp接口泄露敏感信息,相关网站未注销。3、攻击者画像攻击路径攻击目的:获取权限、窃取数据、获取利益、DDOS等网络代理:代理IP、跳板机、C2服务器等攻击方式:鱼叉式钓鱼、Web渗透、水坑攻击、近源渗透、社会工程学攻击者身份画像虚拟身份:ID、昵称、网名真实身份:姓名、物理位置联系方式:手机号、QQ/微信、邮箱组织:单位名称、职位信息攻击源溯源攻击及防御场景:攻击者利用社会工程技术,伪造正常的邮件内容,绕过邮件网关的查杀,成功投递到目标邮箱,诱使用户点击邮件链接或下载附件。信息收集:通过查看邮件原文获取发件人IP地址、域名后缀邮箱、钓鱼网站、恶意附件样本等信息。溯源方式:第一种方式可以通过关联的域名/IP进行溯源;第二种方法是对钓鱼网站进行反渗透,获取权限,进一步收集攻击者信息;第三种方法是分析邮件的恶意附件,利用威胁情报数据平台寻找同源样本获取信息,也可以进一步勾勒出攻击者的画像。例如,收到QQ空间钓鱼网站的邮件后,反手插入XSS语句,窃取后台cookie,在评论管理平台源代码中找到作者QQ联系方式等。案例二:Web入侵溯源攻防场景:攻击者通过NDAY和0DAY漏洞渗透到服务器网段,Webshel??l触发安全警告或威胁检测,阻断C&C域名的通信。溯源方式:隔离webshel??l样本,利用web日志还原攻击路径,查找安全漏洞位置进行漏洞修复,从日志中查找攻击者IP地址,但攻击者通常使用代理服务器或匿名网络(如作为Tor)来掩盖他们的真实IP地址。在入侵过程中,利用反向shell、远程下载恶意文件、远程端口转发等方式也很容易触发威胁拦截,而该域名/IP为反向信息收集和渗透测试提供了路径。案例三:蜜罐溯源攻防场景:在企业内网部署蜜罐,模拟各种常见的应用服务,诱导攻击者进行攻击。溯源方式:当攻击者入侵蜜罐时,蜜罐可以记录攻击者的入侵行为,获取攻击者的主机信息、浏览器信息,甚至真实IP和社交信息。
