攻击溯源与反制策略
一、攻击后溯源
所谓的攻击后溯源,是指当我们的系统已经被攻击者入侵后,利用攻击者留下的痕迹,如木马文件、访问日志、防火墙日志等,来追溯攻击者的来源和行动轨迹。
1. IP地址定位
关于IP地址,它是攻击者最容易留下的数据痕迹之一。IP地址可能遗留在中间件的日志中、Windows的RDP远程连接日志、Linux的SSH远程连接日志或是防火墙、态势感知系统中的攻击行为IP地址。
以防火墙捕获的IP地址为例,这个IP地址可能是某个视频厂商远程调试时留下的,具体是某康还是某视的暂时无法确定。
对于IP地址的定位,更多的是为了找到攻击者的位置。但在很多情况下,只有在出现大问题时才会去寻找具体的攻击者,而攻击者通常会隐藏自己的IP地址。对IP地址的定位很多时候并不那么实用。更有效的方法是对IP地址进行分析,如是否存在域名等。例如,可以使用微步查看该IP是否曾经被打过标签,是否有备案过的域名。如果使用的是云服务器,大概率会对其备案域名进行分析。
但由于真实的溯源反制过程很复杂,没有真实的IP地址很难进行分析。也不能使用他人的博客地址等来进行分析,这涉及到隐私侵犯问题。
2. 域名分析
3. 手机号和QQ的获取
比如访问某个IP地址所属的域名,可能在网站中找到例如打赏、微信号、QQ号等。如果能获取到QQ号更好,可以根据QQ号进行反差。获取手机号相对较难,而QQ号或微信号是最容易获取的。如果能加上好友,那么溯源就相对容易了。拿到QQ号可以在一些平台上搜索,通常也能获取到手机号。获取手机号后,基本上就可以随意进行反制操作了。
4. ID的追踪
有些人会在各大网站使用同一个ID,可以直接百度搜索这个ID,包括在圈子内询问是否有人认识。当然也要注意保护自己的ID不被恶搞。
5. 木马样本分析
在木马样本中也可能找到一些相关数据。例如使用某工具生成一个木马,然后通过分析木马的IP地址来获取相关信息。
二、攻击中的反制
攻击中的反制是指在攻击者还在攻击阶段就进行反制。这涉及很多蓝队的知识。首先要准确定位被攻击的服务器、主机、人员等,及时登录涉事主机进行排查,例如依靠态势感知、服务器、蜜罐等设备获取异常的主机IP。主要关注RDP日志、SSH登录日志、中间件日志等来获取IP地址、跳板机IP、木马文件等。接下来是一些具体的反制手段:
1.钓鱼邮件反制:可以通过钓鱼邮件的附件进行逆向分析、查看源码等方式获取到IP地址,对IP地址进行渗透攻击或者直接进行DDOS攻击等。如果攻击者使用的是云服务器,通常会选择配置不高的服务器进行攻击。
