溯源思路:
1.安全设备告警分析;2.流量和日志分析;3.服务器资源异常;4.IP反查;5.网站url;6.恶意样本等
溯源方法:
日志分析:
分析系统、应用程序和网络设备的日志,查找异常活动和迹象,比如非授权访问、存储盗窃、恶意软件下载等。
网络流量分析:
通过监控网络流量,查找异常的通信行为和数据包传送路径来判断攻击来源和目标。比如使用Wireshark等网络抓包工具分析数据包。
磁盘取证分析:
对受攻击的系统进行取证分析,查找磁盘上的恶意程序、日志和其他证据,以找到攻击者的身份和操作方式。
内存取证分析:
对受攻击的系统进行内存取证分析,检查系统内存中的运行程序和恶意代码,以找到一些不能在磁盘上找到的文件和信息。
恶意代码分析:
对发现的恶意程序进行分析,确定攻击模式和攻击者的行为,甚至可以找到攻击者的IP地址、邮箱、域名等信息。
操作系统和应用程序审计:
分析系统和应用程序的配置、文件权限、门户权限等安全设置,以找出漏洞和缺陷,防止攻击者利用这些漏洞渗透到系统内部。
溯源工具
Wireshark:Wireshark是一款网络流量分析工具,可以对网络上的数据包进行详细的分析和捕获。通过分析网络数据包,可查看网络流量情况,排查网络故障,溯源恶意攻击等。
FTK Imager:FTK Imager是一款磁盘取证工具,可以帮助分析人员获取硬盘数据以及还原损坏的分区和数据。
Autopsy Forensic Browser:Autopsy Forensic Browser是一个免费和开源的磁盘取证分析平台,主要用于查找和分析磁盘上的安全问题和警告。
Encase:Encase是一款商用的磁盘取证工具,可以追踪网络犯罪,查找数据泄露和行业间谍活动等。
IDA Pro:IDA Pro是一款反汇编工具,可用于恶意代码的分析、调试、反编译等,支持多种CPU架构和文件格式。
确定被攻击的目标IP地址
在进行溯源前,需要先确定被攻击的目标IP地址。这可以通过审查攻击日志或被攻击主机的网络流量来确定。
使用IDA Pro打开恶意代码
使用IDA Pro打开恶意代码,并分析其中的函数和代码。特别是要关注恶意代码中存在的与网络连接相关的函数和代码。
搜寻网络连接相关的函数和代码
在IDA Pro中,可以使用字符串搜索功能查找与网络连接相关的函数和代码。常见的与网络连接相关的函数和代码包括socket()、connect()、sendto()、recv()等。
分析网络连接函数和代码
分析网络连接相关的函数和代码,了解与攻击有关的详细信息,包括攻击者使用的IP地址、端口号以及所使用的协议等。
溯源攻击者IP
通过分析网络连接代码,可以获取攻击者的IP地址。然后,可以使用常见的溯源工具如Whois和NSLOOKUP等来进一步获取攻击者的详细信息。可以使用Whois工具查找攻击者的IP地址和域名信息,并使用NSLOOKUP工具来查找域名服务器。
Yara:Yara是一种基于规则的分类+分析系统,可用于查找特定的威胁行为和恶意软件样本,加速恶意代码分析过程。
Nessus:Nessus是一款漏洞扫描和漏洞管理工具,可以扫描系统和应用程序的安全问题,包括缓冲区溢出、SQL注入等常见漏洞。
溯源方法通常分为以下几个步骤:
-
定位威胁:使用日志、流量和其他数据来源来确定威胁并查找潜在源头。
-
收集证据:从目标系统(包括服务器、客户端、存储设备等)中获取证据,包括恶意软件样本、被入侵的系统日志、流量数据等。
-
分析恶意代码:对恶意代码进行反汇编、调试、分析,查找恶意代码的运行行为、控制服务器地址等信息,分析恶意代码的目的和策略。
-
追踪攻击者来源:使用IP地址、DNS查询等网络信息,查找攻击者身份、位置以及所利用的漏洞和技术。
-
报告结果:总结分析结果,生成报告,描述威胁和风险,并建议相应措施。
3286
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
