1. 概述
溯源整个流程我认为有三个部分。
攻击源捕获。
溯源信息
输出攻击者画像
攻击源的捕获是为了获得攻击者的ip、黑客id、手机号、邮箱等信息。
溯源信息是为了定位黑客到具体的人。
输出攻击者画像是为了给这个人一个格式化的档案方便下次查找与信息存储。
2. 攻击源捕获
攻击源捕获主要分为以下几个方法:
安全设备报警,如EDR告警等。
日志分析,获取攻击者指纹信息与攻击方式。
服务器资源异常,如服务器上多了webshell文件或者计划任务。
蜜罐告警,获取攻击者指纹信息。
邮件钓鱼,其中一般有木马文件,通过对木马文件逆向分析获取攻击者信息。
如果直接得到攻击者ip,那么直接到溯源信息阶段,如果无法得到攻击者ip则选择上机排查。
上机排查的时候如果是linux电脑,则查看history信息还有文件修改信息,这就涉及到了linux应急响应的知识。
如果是windows电脑,就查看登录日志4625,通过logontype的类型来分辨攻击者如何登陆的机器并回推攻击方法。
logontype对照表如下:
local WINDOWS_RDP_INTERACTIVE = “2”local WINDOWS_RDP_UNLOCK = “7”local WINDOWS_RDP_REMOTEINTERACTIVE = “10”local WINDOWS_SMB_NETWORK = “3”
如果黑客使用近源渗透如直接用手机号打电话,则可直接得到手机号查看webshell的编写方式有可能直接获取黑客id,因为不少黑客喜欢将自己的id设为webshell链接密码获得攻击者真实ip或者域名之后我们进行溯源信息阶段。第一步:针对IP或者域名通过公网已有的开放信息进行查询https://www.reg007.com/ #通过手机号或者邮箱获取用户注册过的网站https://www.venuseye.com.cn/https://community.riskiq.com/收集手机号与互联网上的各种ID信息(利用google hacking)。(4) 微博搜索(如果发现有微博记录,可使用tg查询weibo泄露数据)(6) 如果获得手机号(可直接搜索支付宝、社交账户等)注意:获取手机号如果自己查到的信息不多,直接上报工作群(利用共享渠道对其进行二次社工)(7) 豆瓣/贴吧/知乎/脉脉 你能知道的所有社交平台,进行信息收集(8) CSDN ID,利用CSDN老用户的一个漏洞,爆破ID手机号前提是我方部署了蜜罐并且攻击者踩了蜜罐且获取到攻击者的设备指纹。2、某参演单位1也部署了该厂家蜜罐,捕获到某攻击者设备指纹ID和百度ID3、某参演单位2也部署了该厂家蜜罐,捕获到某攻击者设备指纹ID和新浪ID4、某参演单位N也部署了该厂家蜜罐,捕获到某攻击者设备指纹ID和优酷ID如果有能力控制了红队的跳板机,则可进入跳板机进行信息收集,查看命令执行的历史记录与日志等。如果主机桌面没有敏感信息,可针对下列文件进行信息收集:last:查看登录成功日志cat ~/.bash_history :查看操作指令攻击目的:拿到权限、窃取数据、获取利益、DDOS等攻击手法:鱼叉式邮件钓鱼、Web渗透、水坑攻击、近源渗透、社会工程等https://www.cnblogs.com/xiaozi/p/13817637.html博客:blog.csdn.net/qq_41874930
文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650507545&idx=3&sn=76dceab1301368db4bf008495390a049&chksm=83baecfdb4cd65eb4155820654194f41ea6be08bc00abd6dad78b5d8e7ad9b3bfdc7e98976db#rd
如有侵权请联系:admin#unsafe.sh