今天看到朋友的一些回答,我想我忘了说点什么了。
通常有三种跟踪程序:
IP-& gt;域名-& gt;信息-& gt;社交网络信息——真实信息:这个套路对当下可能不是特别有用,但根据历史信息可以得出一些有启发性的结论。当然,这些威胁情报数据可能是有偿的。
IP-& gt;VPN-& gt;IP-社交网络信息:这种情况一般居多。解决方法是查询IP反向连接记录,分析操作,得到他的虚拟身份的一些信息。当然也是要收费的。
IP-& gt;IP-社交网络信息:这种肉鸡广泛分布于挖矿、刷票、DDoS。可以想办法截取样本进行反向分析,获取cc服务器地址,然后对服务器进行反向查询。是的,还是要收费的。
另外,估计黑禅哥会打断我的腿。
——————————
我最近只是在帮客户追查袭击者。先做记号,等时间回答。
——————————
追踪攻击源实际上是数据驱动企业内部安全运营的一部分,需要大量数据的支持和分析才能找到攻击者。而我们在企业内部看到的最多的数据无非是日志,所以对日志的分析和内网威胁信息的提取就显得非常重要。
就安全操作而言,我个人认为所有的攻击者都不可避免的会产生操作日志,内网中安全设备和非安全设备的日志肯定或多或少都有。
企业内部的日志大致可以分为四类:安全设备日志、非安全设备日志、传感器日志和外部数据。
安全日志:这些日志可以来自硬件或软件。首先,对于硬件,它们被注入到SIEM日志、硬件防火墙和其他日志中。软件日志包括防病毒软件、安全和访问系统等软件系统的日志。一般这些日志都是攻击者在攻击时被动触发的,这样可以检索到很多攻击信息,比如使用的IP、端口、工具指纹等等。
非安全设备日志:路由器、交换机、网关、网关等硬件设备,以及操作系统、应用软件、服务器软件日志等软件日志。这些日志可以分析攻击者的目的是单纯为了好玩而渗透,还是控制机器作为进一步渗透的跳板,或者只是安全部门扫描生成的日志。
传感器日志:一些蜜罐系统和流量传感器通常部署在企业中。这些设备一方面可以起到攻击预警和反水平渗透的作用,但也存在一些攻击者的行为。比如SSH蜜罐会把攻击者的操作存储在这台机器上,流量传感器会对数据包进行DPI分析,方便流量分析。这些数据中一定留下了一些有用的信息,可以帮助我们确定攻击者的行为和技能,甚至进一步判断攻击者的能力是脚本小子还是大黑大宽。
外部日志:一些常用服务的日志,如邮件、DNS等日常服务。这些日志可以帮助我们确定攻击者是APT攻击还是栽赃。还可以确定攻击者的动机。
说完了日志,我们马上就可以说攻击者动机的确定了。攻击者想要入侵一个系统,肯定会对系统进行调查,比如端口扫描、漏洞检测、exp测试等手段。很容易和安检部门例行安检的日志冲突,大部分公司都会把扫描车队放在白名单里。这样,类似的日志就会触发警报。我们可以进一步分析这些日志,提取一些攻击者的行为、动机等。以及他的目的甚至他的技能点。我们可以初步判断。
通过对上述日志的分析,我们基本可以确定攻击者是从什么途径进来的,用什么攻击手段获得机器权限,是否进行了什么敏感操作,是否有进一步渗透的趋势,是否在试图提升权力等等,这样就可以对攻击者有一个大概的了解。
接下来,我们需要借助外部威胁情报的力量来获取攻击者的身份。我个人比较喜欢国内的微步在线和国外的两个平台,尤其是后者,数据全面,覆盖面广。当然,不差钱的可以选择购买威胁情报服务,更专业。
下面简单说一下威胁情报能为我们做些什么。事实上,威胁情报是基于它获得被攻破的攻击者的完整图像。威胁情报一般可以得到攻击者有哪些共同的IP,这些IP是做什么用的,有没有社交信息,社交信息之间有什么关系。一个不恰当的例子是,你知道一个人的身份证号,然后警察用这个身份证号查出这个人有多少钱,有多少资产等等。(此处如有违规请提醒,谢谢)。这样就可以得到攻击者的完整画像。
到了这里,其实我们知道了攻击者的信息,可以选择如何解决。拆掉办公室玩jj10分钟是解决办法,交给警察也是。但需要提醒大家注意执法和执法手段,不要不知法犯法。
其实广大安全运营工程师只是想保护自己,并不关心这个。但对于安全研究者,尤其是想从事技术调查的人来说,黑产的结构其实很简单,上图不是bb:
其实和企业内部管理很像。有做整体规划的CEO(金主),有负责开发(写病毒木马)的CTO,有负责抓鸡的硬件采购首席运营官,有负责IT架构管理的CIO(外壳管理员),还有对外接单的销售总监(渠道)。这一整套的背后是金钱的交易,后面是倒霉的,也就是我们的网友。
黑产就跟传销一样。如果进不去出不去,建议你爱惜生命,远离黑产。
展开全文
本文链接:http://www.slxf119.com/17577.html 转载需授权!
网友评论