蓝队分析、溯源、反制总结

监测 / 分析经验小结

在护网期间，蓝队主要就是通过安全设备看告警信息，后续进行分析研判得出结论及处置建议，在此期间要注意以下内容。

内网攻击莫忽视

内网攻击告警需格外谨慎，可能是进行内网渗透。

1. 攻击 IP 是内网 IP，攻击行为不定，主要包括：扫描探测行为、爆破行为、命令执行等漏扫行为。
2. 资产属性 - 内网攻击 IP 资产属性。
3. 研判告警行为是否为攻击动作，如弱口令、SQL 注入漏洞可能是业务行为。
4. 上级排查与客户一起进一步确认设备问题。

企图告警需排查

企图类告警需格外谨慎，可能是 “已经成功”。

1. 告警主要包括：后门程序、代码行为、命令执行行为。
2. 资产属性 + 流量确认。
3. 综合判断告警是否成功（成功的话就需要提供证据给规则反馈）。
4. 上级排查与客户一起进一步确认设备问题。

爆破行为也要看

爆破攻击告警需格外谨慎，可能是 “正在进行时”。

1. 告警主要包括：客户对外端口的服务对外开放。
2. 资产属性 + 流量确认。
3. 综合判断业务是否对外开放（及时确认是否需要规避风险点）。

成功失陷追仔细

成功失陷追仔细，可能是” 溯源不够细致，遗漏蛛丝马迹 “。

1. 告警主要包括：成功 + 失陷的告警。
2. 资产属性 + 流量确认 + 告警确认 + 数据分析 + 兄弟产品跟进。
3. 协助客户上机排查，书写防守或溯源报告。

常见溯源方式

在发现资产被攻击之后，防守方需要及时进行溯源和排查，通常情况下，溯源需要获取到目标攻击者的一部分个人信息，比如手机号，邮箱，QQ 号，微信号等，通过这些信息在互联网可以进一步追溯攻击者的更多暴露信息。方便进一步溯源，下述介绍了一些整理了一些常见的方法和工具。

1. 域名、ip 反查目标个人信息

首先通过威胁情报平台确认攻击 ip 是否为威胁 ip，常用的平台通常有如下

https://x.threatbook.cn/ 微步在线威胁情报社区

https://ti.qianxin.com/ 奇安信威胁情报中心

https://ti.360.cn/ 360 威胁情报中心

https://www.venuseye.com.cn/ VenusEye 威胁情报中心

当发现 IP 的为攻击 IP 后，可以尝试通过此 IP 去溯源攻击者，具体实现过程通常会用到下述方法：

1. ip 反查域名
2. 域名查 whois 注册信息
3. 域名查备案信息、反查邮箱、反查注册人
4. 邮箱反查下属域名
5. 注册人反查下属域名

IP / 域名定位常用网址

站长之家 IP 查询网址：https://ip.tool.chinaz.com/ipbatch

IP138 查询网：https://www.ip138.com/

高精度 IP 定位：https://www.opengps.cn/Data/IP/LocHighAcc.aspx

IP 信息查询：https://www.ipip.net/ip.html/

IP 地址查询在线工具：https://tool.lu/ip/

多地 Ping 检测：http://ping.chinaz.com/

Whois 查询：https://whois.chinaz.com/

2. 攻击者 ID 等方式追踪

定位到攻击者 ip 后，可以通过社工库、社交软件、指纹库等其它方式捕获到攻击者个人社交账号捕获到更精准的敏感信息，可以采取以下思路。

1. 支付宝转账，确定目标姓氏
2. 进行 QQ 账号、论坛、贴吧、等同名方式去搜索
3. 淘宝找回密码，确定目标名字
4. 企业微信手机号查公司名称
5. REG007 通过邮箱、手机号查注册应用、网站
6. 度娘、谷歌、src、微博、微信、知乎、脉脉等知道的各大平台上搜索

3. 通过攻击程序分析

攻击者如果在恶意攻击过程中对目标资产上传攻击程序（如后门、恶意脚本、钓鱼程序等），我们可通过对攻击者上传的恶意程序进行分析，并通过 IP 定位等技术手段对攻击进行分析溯源，常用的恶意程序分析网站有：

微步在线云沙箱：https://s.threatbook.cn/

腾讯哈勃：https://habo.qq.com/

Virustotal：https://www.virustotal.com/gui/home/upload

火眼：https://fireeye.ijinshan.com

魔盾安全分析：https://www.maldun.com/analysis/

4. 蜜罐

简介：

蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

蜜罐溯源的两种常见方式：

一种是在伪装的网站上插入特定的 js 文件，该 js 文件使用攻击者浏览器中缓存的 cookies 去对各大社交系统的 jsonp 接口获取攻击者的 ID 和手机号等。另一种是在伪装的网站上显示需要下载某插件，该插件一般为反制木马，控制了攻击者的主机后查询敏感文件、浏览器访问记录等个人敏感信息从而锁定攻击者。

5. 常见案例链接分享

整理了一下常见的溯源案例链接，希望能对大家起到帮助

https://www.freebuf.com/articles/web/246060.html  // 记一次蜜罐溯源

https://www.freebuf.com/articles/web/254538.html  // 从溯源中学到新姿势

https://www.secpulse.com/archives/141438.html // 蓝队实战溯源反制手册分享

https://blog.csdn.net/u014789708/article/details/104938252 // 记一次溯源恶意 ip 僵尸网络主机的全过程

https://mp.weixin.qq.com/s/xW2u4s8xCTnLCkpDoK5Yzw // 记一次反制追踪溯本求源

常见反制方式

通过蜜罐反制

主要就是下述反制手段做操作

1. 可克隆相关系统页面，伪装 “漏洞” 系统
2. 互联网端投饵，一般会在 Github、Gitee、Coding 上投放蜜标（有可能是个单独的网站地址、也有可能是个密码本引诱中招）
3. 利用 JSONP、XSS、CSRF 等前端类漏洞获取访问蜜标的攻击者网络身份（网络画像）

邮件钓鱼反制

安全防护基础较好的厂商，一般来说除了出动 0day，物理近源渗透以外，最常见的就是邮件钓鱼了，在厂商收到邮件钓鱼的情况下，我们可以采取化被动为主动的方式，假装咬钩，实际上诱导攻击者进入蜜网。

渗透工具漏洞

可以尝试挖掘蚁剑、冰蝎、菜刀、BurpSuite、SQLmap、AWVS 的 0day 漏洞（需要一定的技术水平），或利用历史漏洞部署相关环境进行反打

OpenVPN 配置后门

OpenVPN 配置文件（OVPN 文件，是提供给 OpenVPN 客户端或服务器的配置文件）是可以修改添加命令的。

盲打攻击反制

攻击者可能通过盲打漏洞方式来获取权限，一般盲打都具备一个数据回传接口（攻击者需要接收 Cookie 之类的数据），接口在 JavaScript 代码中是可以寻找到的，我们可以利用数据回传接口做以下两件事情，并后续引导攻击者进入我们部署好的蜜罐。

1. 打脏数据回传给 XSS 平台
2. 打虚假数据回传给 XSS 平台

通过攻击服务器端口 / web 等漏洞

攻击者可能是通过自己搭建的公网服务器进行攻击的，或者是通过此服务器与后门进行通讯。其中服务器可能运行诸多服务，且未打补丁或设置强密码，导致防守方可以进行反打。

应急响应工具箱

在 hvv 期间，或者是在平常工作时间段，难免会碰到一些应急场景，这里推荐 GitHub 上一个大佬的应急工具箱，整合了诸多的分析文章和常见工具。

地址链接：https://github.com/No-Github/1earn/blob/master/1earn/Security/BlueTeam/%E5%BA%94%E6%80%A5.md

参考及部分引用资料

天眼分析经验总结

https://www.cnblogs.com/123456ZJJ/p/13261049.html

2021HW 之蓝队溯源手册

https://mp.weixin.qq.com/s/AsiPMJmDl6J1XPO8B0m0xg

浅谈蓝队反制手段

https://mp.weixin.qq.com/s/qjM7Fh0u0Edsz5C7L_ErGQ