红蓝对抗溯源的基本思路

最新推荐文章于 2024-11-27 19:57:34 发布

Shanfenglan7

最新推荐文章于 2024-11-27 19:57:34 发布

阅读量2k

点赞数

分类专栏：红蓝对抗文章标签：安全

本文链接：https://blog.csdn.net/qq_41874930/article/details/115127805

版权

红蓝对抗专栏收录该内容

6 篇文章

订阅专栏

该文详细阐述了网络安全攻击的溯源流程，包括攻击源捕获、信息收集、攻击者画像输出等步骤。通过日志分析、蜜罐技术、公开信息查询等手段获取攻击者IP、邮箱、手机号等信息，并进行位置定位、ID收集，最终形成攻击者画像，以便于防御和后续调查。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

1. 概述

在这里插入图片描述

溯源整个流程我认为有三个部分。

攻击源捕获。
溯源信息
输出攻击者画像

攻击源的捕获是为了获得攻击者的ip、黑客id、手机号、邮箱等信息。

溯源信息是为了定位黑客到具体的人。

输出攻击者画像是为了给这个人一个格式化的档案方便下次查找与信息存储。

2. 攻击源捕获

攻击源捕获主要分为以下几个方法：

安全设备报警，如EDR告警等。
日志分析，获取攻击者指纹信息与攻击方式。
服务器资源异常，如服务器上多了webshell文件或者计划任务。
蜜罐告警，获取攻击者指纹信息。
邮件钓鱼，其中一般有木马文件，通过对木马文件逆向分析获取攻击者信息。

如果直接得到攻击者ip，那么直接到溯源信息阶段，如果无法得到攻击者ip则选择上机排查。

上机排查的时候如果是linux电脑，则查看history信息还有文件修改信息，这就涉及到了linux应急响应的知识。
如果是windows电脑，就查看登录日志4625，通过logontype的类型来分辨攻击者如何登陆的机器并回推攻击方法。

logontype对照表如下：

local WINDOWS_RDP_INTERACTIVE = “2”
local WINDOWS_RDP_UNLOCK = “7”
local WINDOWS_RDP_REMOTEINTERACTIVE = “10”
local WINDOWS_SMB_NETWORK = “3”

得到攻击者基础信息的方式：

看恶意邮件的邮件头获取恶意域名
逆向分析恶意木马获取恶意ip或者域名
查看机器回连ip获取恶意ip地址
查看日志获取恶意ip
查看蜜罐或其他安全设备告警信息获取恶意ip
如果黑客使用近源渗透如直接用手机号打电话，则可直接得到手机号
查看webshell的编写方式有可能直接获取黑客id，因为不少黑客喜欢将自己的id设为webshell链接密码

3. 溯源信息阶段

获得攻击者真实ip或者域名之后我们进行溯源信息阶段。

第一步：针对IP或者域名通过公网已有的开放信息进行查询

https://x.threatbook.cn/

https://ti.qianxin.com/

https://ti.360.cn/
https://www.reg007.com/ #通过手机号或者邮箱获取用户注册过的网站

https://www.venuseye.com.cn/

https://community.riskiq.com/

第二步：定位目标

利用精确ip定位进行目标的位置定位。

第三步：收集互联网侧的用户ID

收集手机号与互联网上的各种ID信息(利用google hacking)。

通过黑客ID进行信息收集：

(1) 百度信息收集：“id” （双引号为英文）
(2) 谷歌信息收集
(3) src信息收集（各大src排行榜）
(4) 微博搜索（如果发现有微博记录，可使用tg查询weibo泄露数据）
(5) 微信ID收集：微信进行ID搜索
(6) 如果获得手机号（可直接搜索支付宝、社交账户等）
注意：获取手机号如果自己查到的信息不多，直接上报工作群（利用共享渠道对其进行二次社工）
(7) 豆瓣/贴吧/知乎/脉脉你能知道的所有社交平台，进行信息收集
(8) CSDN ID，利用CSDN老用户的一个漏洞，爆破ID手机号

第四步：通过蜜罐设备指纹进行识别

前提是我方部署了蜜罐并且攻击者踩了蜜罐且获取到攻击者的设备指纹。

基本流程说明：
1、我方发现了攻击者的设备指纹ID
2、某参演单位1也部署了该厂家蜜罐，捕获到某攻击者设备指纹ID和百度ID
3、某参演单位2也部署了该厂家蜜罐，捕获到某攻击者设备指纹ID和新浪ID
4、某参演单位N也部署了该厂家蜜罐，捕获到某攻击者设备指纹ID和优酷ID
5、厂家经过查询比对，将相关社交ID反馈给我方