溯源与反制

溯源与反制

目录

溯源与反制

成果

社工反制

技术反制

攻击源捕获

攻击者画像

Windows跳板溯源

linux跳板溯源

红队反制工具

cobalt strike反制批量上线

cobalt strike反制从XSS获取NTLM

从蜜罐中获取cs密码

dnslog反制httplog反制

病毒源码溯源

webshell反制

IP反制

---

通过对受害资产与内网流量进行分析一定程度上还原攻击者的攻击路径与攻击手法，有助于修复漏洞与风险，避免二次事件的发生。攻击姿势可转换成防御优势,如果能够做到积极主动且有预见性，就能更好地控制后果

成果

姓名/ID 攻击IP 地理位置 IP地址所属公司 IP地址关联域名 邮箱 人物照片 关联攻击事件跳板机 (可选) QQ 手机号 微信/微博/src/id证明

社工反制

技术支持QQ群号，为董事长A的邮件

技术反制

安全设备报警，如扫描IP、威胁阻断、病毒木马、入侵事件等 日志与流量分析，异常的通讯流量、攻击源与攻击目标等 服务器资源异常，异常的文件、账号、进程、端口，启动项、计划任务和服务等 邮件钓鱼，获取恶意文件样本、钓鱼网站URL等 蜜罐系统，获取攻击者行为、意图的相关信息

攻击源捕获

ip定位：根据IP定位物理地址—代理IP

id追踪：搜索引擎、社交平台、技术论坛、社工库匹配

url网站：域名Whois查询—注册人姓名、地址、电话和邮箱。

恶意样本：提取样本特征、用户名、ID、邮箱、C2服务器等信息

社交账户：基于JSONP跨域，获取攻击者的主机信息、浏览器信息、真实 IP及社交信息

攻击者画像

攻击目的：拿到权限、窃取数据、获取利益、DDOS等

网络代理：代理IP、跳板机、C2服务器等

攻击手法：鱼叉式邮件钓鱼、Web渗透、水坑攻击、近源渗透、社会工程

虚拟身份：ID、昵称、网名

真实身份：姓名、物理位置

联系方式：手机号、qq/微信、邮箱

组织情况：单位名称、职位信息

Windows跳板溯源

Windows security日志/rdp 日志: 里面能够拿到security或者rdp日志的ip信息，假如对方跳板是win 的话，顺藤摸瓜可以拿到对方真实连跳板的ip

Netstat 网络连接: netstat 里的ip 连接也可以提取出来，进行定位真实的ip定位

进程: tasklist命令获取运行的服务和程序，对定位运行的c2 的server端等信息比较有用

chrome 、firefox、ie、360浏览器等浏览器的密码等记录: 浏览器记录、以及保存的账号密码也可作为进一步进行社工的重要依据

密码管理类的凭据保存记录:比如一些密码管理类的工具里面保存的可以尝试进行提取然后进行分析

第三方应用的相关日志:一些第三方应用等的日志，里面或许有记录相关信息，比如python 或者某些ftp 等临时开启放一些中转的的文件，里面的一些web 日志也能够分析到相关红队成员真实ip 的信息，按照习惯会先访问下看服务和文件是否正常，除了受害者的信息就是红队人员自己的信息了。那么这里可以提取相关ip进行分析受害者有哪些、红队成员ip 有哪些。

frp 等代理的日志:比如一些代理等日志，里面会记录连接的ip信息

linux跳板溯源

进程和网络连接：linux 机器⾥，netstat 、进程与windows 分析⽅式类似 ，查看运⾏的进程和⽹络连接情况。

进程查看：ps auxwwfw ⽹络查看： netstat -anp

日志记录：每个⽤户下的history ⽇志： 记录了历史操作的命令

/var/log/lastlog : 最后成功登⼊的⽇志记录

/var/log/secure: 安全⽇志的记录

/var/log/btmp: 登⼊失败信息的记录

/var/log/wtmp： 所有⽤户的登⼊信息记录

第三⽅应⽤⽇志的记录、代理frp等的⽇志记录

红队反制工具

cobalt strike反制批量上线

第⼀步：找到主机内存⾥的cs 后⻔进程和下载配置⽂件的那个url 第⼆步：⽤parse_beacon_config.py 进⾏解析提取cs的配置⽂件下载地址的⽂件 第三步：知道了上线的cs server 和publish key ,还有修改的cookie 值，那么进⾏反制修改下cs_mock.py 第四步：任意进⾏虚假反制上线直接打满cs 列表也可以使用CS fakesubmit输入相应信息进行批量上线

cobalt strike反制从XSS获取NTLM

CS出现XSS漏洞的原因主要是因为CS的客户端页面的计算机名，username等地点可以对HTML渲染，因为再前面我们可以自定义上线，所以更改一下这些地方的信息进行xss攻击

从蜜罐中获取cs密码

mysql中有一个load data local infile函数能够读取本地文件到mysql数据库中，当攻击者用爆破mysql密码的扫描器扫描到我们的mysql并连接上的时候，客户端(攻击者)会自动发起一个查询，我们(服务端)会给与一个回应，我们在回应的数据包中加入load data local infile读取攻击者的本地文件到我们数据库中，达到反制的目的

dnslog反制httplog反制

针对dnslog和httplog 的反制，获取到对⽅的payload 的url ，然后批量使⽤站⻓之家进⾏批量ping或者使⽤腾讯云函数进⾏批量访问，对⽅列表会满满的都是请求

病毒源码溯源

样本⾥⾯很可能直接会有debug 信息、以及编译时未处理的编译信息，⾥⾯可以结合进⼀步进⾏溯源跟踪、以及结合VirusTotal 进⼀步进⾏追踪

webshell反制

以先关闭服务器进⾏隔离，然后在他的⼤⻢⾥进⾏“加料”隔离上线，当对⽅在连接进来的时候先获取对⽅的user-agent, 利⽤⼀些chrome 、fireofx 等⼀些常⻅浏览器的day ，构建shellcode 进⾏浏览器逃逸执⾏反制

IP反制

1/通过whois查询获取IP地址的归属地信息。 2/使用Traceroute（Windows下为tracert）命令来跟踪IP源头地址 3/利用网络流量分析工具，如Wireshark来进行流量捕获和分析 4/如果接收到的攻击是基于Web的攻击，例如DDoS攻击、SQL注入等，可以通过Web服务器日志文件来确定攻击来源