更多优质技术资料可前往无问社区查看
社区网址:
监测/分析经验小结
在护网期间,蓝队主要就是通过安全设备看告警信息,后续进行分析研判得出结论及处置建议,在此期间要注意以下内容。
内网攻击莫忽视
内网攻击告警需格外谨慎,可能是进行内网渗透。
1. 攻击IP是内网IP,攻击行为不定,主要包括:扫描探测行为、爆破行为、命令执行等漏扫行为。
2. 资产属性-内网攻击IP资产属性。
3. 研判告警行为是否为攻击动作,如弱口令、SQL注入漏洞可能是业务行为。
4. 上级排查与客户一起进一步确认设备问题。
企图告警需排查
企图类告警需格外谨慎,可能是“已经成功”。
1. 告警主要包括:后门程序、代码行为、命令执行行为。
2. 资产属性+流量确认。
3. 综合判断告警是否成功(成功的话就需要提供证据给规则反馈)。
4. 上级排查与客户一起进一步确认设备问题。
爆破行为也要看
爆破攻击告警需格外谨慎,可能是“正在进行时”。
1. 告警主要包括:客户对外端口的服务对外开放。
2. 资产属性+流量确认。
3. 综合判断业务是否对外开放(及时确认是否需要规避风险点)。
成功失陷追仔细
成功失陷追仔细,可能是”溯源不够细致,遗漏蛛丝马迹“。
1. 告警主要包括:成功+失陷的告警。
2. 资产属性+流量确认+告警确认+数据分析+兄弟产品跟进。
3. 协助客户上机排查,书写防守或溯源报告。
常见溯源方式
在发现资产被攻击之后,防守方需要及时进行溯源和排查,通常情况下,溯源需要获取到目标攻击者的一部分个人信息,比如手机号,邮箱,QQ 号,微信号等,通过这些信息在互联网可以进一步追溯攻击者的更多暴露信息。方便进一步溯源,下述介绍了一些整理了一些常见的方法和工具。
1. 域名、ip 反查目标个人信息
首先通过威胁情报平台确认攻击ip是否为威胁ip,常用的平台通常有如下
微步在线威胁情报社区
奇安信威胁情报中心
360威胁情报中心
VenusEye威胁情报中心
当发现IP的为攻击IP后,可以尝试通过此IP去溯源攻击者,具体实现过程通常会用到下述方法:
1.ip 反查域名
2.域名查whois 注册信息
3.域名查备案信息、反查邮箱、反查注册人
4.邮箱反查下属域名
5.注册人反查下属域名
IP/域名定位常用网址
站长之家IP查询网址:
IP138查询网:
高精度IP定位:
IP信息查询:
IP地址查询在线工具:
多地Ping检测:
Whois查询:
2.攻击者ID等方式追踪
定位到攻击者ip后,可以通过社工库、社交软件、指纹库等其它方式捕获到攻击者个人社交账号捕获到更精准的敏感信息,可以采取以下思路。
1.支付宝转账,确定目标姓氏
2.进行QQ账号、论坛、贴吧、等同名方式去搜索
3. 淘宝找回密码,确定目标名字
4. 企业微信手机号查公司名称
5. REG007 通过邮箱、手机号查注册应用、网站
6.度娘、谷歌、src、微博、微信、知乎、脉脉等知道的各大平台上搜索
3.通过攻击程序分析
攻击者如果在恶意攻击过程中对目标资产上传攻击程序(如后门、恶意脚本、钓鱼程序等),我们可通过对攻击者上传的恶意程序进行分析,并通过IP定位等技术手段对攻击进行分析溯源,常用的恶意程序分析网站有:
微步在线云沙箱:
腾讯哈勃:
Virustotal:
火眼:
魔盾安全分析:
4.蜜罐
简介:
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
蜜罐溯源的两种常见方式:
一种是在伪装的网站上插入特定的js文件,该js文件使用攻击者浏览器中缓存的cookies去对各大社交系统的jsonp接口获取攻击者的ID和手机号等。另一种是在伪装的网站上显示需要下载某插件,该插件一般为反制木马,控制了攻击者的主机后查询敏感文件、浏览器访问记录等个人敏感信息从而锁定攻击者。