溯源(五)之攻击源的获取

已于 2023-03-30 19:49:49 修改
阅读量1.2k 收藏 9
点赞数 1
分类专栏: 溯源 文章标签: 网络安全 安全 网络
于 2023-03-30 19:46:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_64973687/article/details/129862005
版权

溯源(一)之溯源的概念与意义
溯源(二)之 windows-还原攻击路径
溯源(三)之Linux-入侵排查
溯源(四)之流量分析-Wireshark使用

溯源整体流程的思维导图

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

攻击源的获取

1、获取哪些数据?

我们溯源需要获取的数据有攻击者ip、域名、后门、攻击组件、webshell等等

2、通过什么方式去获取?

我们可以通过蜜罐、安全设备、钓鱼邮件、文件日志进程分析等操作去一步步分析获取

3、什么是蜜罐?

蜜罐的概念:

模拟各种常见的应用服务,诱导攻击者攻击,从而记录攻击者的入侵行为,获取攻击者的主机信息、浏览器信息、甚至是真实 IP及社交信息

蜜罐的工作原理流程图:

在这里插入图片描述

蜜罐溯源的常见两种方式:

1、网站上插入特定的js文件
2、网站上显示需要下载某插件

蜜罐的分类:

1、低交互蜜罐

模拟系统 能够获取信息比较少 但是安全

2、中交互蜜罐

比较真实的模拟系统, 比较安全

3、高交互蜜罐

真实的主机, 获取的信息比较多,配置难,维护难,威胁高,不安全

在这里插入图片描述

4、市面上常见的蜜罐系统

Hfish 开源免费的低交互蜜罐

在这里插入图片描述

观安魅影蜜罐

在这里插入图片描述

创宇蜜罐

在这里插入图片描述
谛听(长亭科技)
幻盾、幻阵(默安)
蜃景(360)
春秋云阵(永信至诚)
幻云(锦行科技)
明鉴迷网(安恒)
御阵(腾讯)
潜听(天融信)
幻影(非凡安全)
天燕(启明星辰)
等等

5、安全设备

从这些安全设备能获取哪些信息?

1、全流量平台
2、waf
3、EDR

全流量平台态势感知:

全面感知网络安全威胁态势、洞悉网络和应用运行的健康状态、通过全流量分析技术实现完整的网络攻击溯源取证

在这里插入图片描述
在这里插入图片描述

waf:

web应用防火墙,专注于网站及Web应用系统的应用层安全防护

EDR终端安全防护:

主动发现来自外部或内部的各类安全威胁。同时,基于端点的背景数据、恶意软件行为以及整体的高级威胁的生命周期的角度进行全面的检测和响应

6、钓鱼邮件

我们在做蓝队时,常常会遇到红队发起的钓鱼服务

在这里插入图片描述

1、通过钓鱼邮件获取到哪些信息?

发件人的id,IP地址,钓鱼的服务器,恶意样本,注册信息等等

2、溯源可以从哪些地方入手?

我们可以对获取到的钓鱼服务器IP,然后我们可以对这台服务器发起渗透拿下权限,进一步获取信息

如果我们发现了对方留下的恶意文件,我们可以通过某些平台的在线云去分析恶意文件的 C2地址,以获取对方服务器的IP

在这里插入图片描述

千负
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
基于大数据和海量数据挖掘的攻击溯源技术
06-19
基于大数据和海量数据挖掘的攻击溯源技术基于大数据和海量数据挖掘的攻击溯源技术基于大数据和海量数据挖掘的攻击溯源技术
JSRC-攻击溯源.pdf
08-04
JSRC 安全小课堂第109期,邀请到来自湖南金盾的总工程师Focusstart作为讲师就攻击溯源为大家进行分享
溯源(二)之 windows-还原攻击路径
最新发布
qq_44005305的博客
03-12 903
我们可以通过这些敏感id去排查攻击者的一些操作,攻击者通过一些web漏洞,控制了我们的主机,那他会不会进行一些远程登录,或者是创建一些用户,留下一些后门,这些我们都可以通过Windows的安全日志去查看,我们在护网中,如果去溯源出了攻击者留下的账号或者后门,那这也是溯源的一部分,同时也是加分项,在日常的应急响应中,也需要我们去排查,排查攻击者对服务器做的一些权限维持等操作,我们需要去排查并清理这些出权限维持。这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。
中睿天下-睿眼WEB攻击溯源系统-产品白皮书.pdf
05-17
中睿天下-睿眼WEB攻击溯源系统-产品白皮书:「攻击溯源」是基于「攻击者视角」构建的新一代安全防护体系。凭借近15年攻防实 战经验,从攻击者的视角获取对抗未知威胁的洞察力,中睿天下为用户的安全团队赋能,追 踪溯源、深入洞察每次攻击的详细过程,实现有效的「精准防护」。
面向攻击溯源的威胁情报共享利用研究.pdf
08-27
网络空间安全形势日益复杂,攻击溯源成为安全防护体系面临的重要技术挑战,威胁情报的出现为攻击溯源提供了多来数据支撑,从而使得大范围的攻击溯源成为可能. 为实现有效的攻击溯源,基于结构化威胁信息表达方法,提出了一种精简模式的威胁情报共享利用框架,包含威胁情报表示、交换和利用3个方面,以实现对攻击行为的追踪溯源. 以有关C2信息为例描述了威胁情报的共享利用表达方式,对该共享利用框架进行了验证,表明相关结果具有实用性,可以为攻击溯源工作提供新的技术手段.另外,还基于对威胁情报的理解,提出了共享利用机制建设的若干思考.
安全攻击溯源追踪PowerShell.rar
02-11
安全攻击溯源追踪 包含png片和xmind文件 溯源三部曲 1.攻击捕获 3.攻击者画像 2.溯源反制手段
攻击溯源手段
mingyqf的博客
03-17 4690
转载至:https://www.eumz.com/2020-09/2000.html 攻击溯源手段 攻击溯源的技术手段,主要包括ip定位、ID定位与攻击者定位。 通过ip可定位攻击者所在位置,以及通过ip反查域名等手段,查询域名的注册信息,域名注册人及邮箱等信息。 通过ID定位可获取攻击者常用的网络ID,查询攻击者使用同类ID注册过的微博或者博客、论坛等网站,通过对网络ID注册以及使用情况的查询,定位攻击者所在公司、手机号、邮箱、QQ等信息。 或通过其他手段定位攻击者,如反制攻击者vps,获取攻击者vps中
安全攻击溯源思路及案例+思维导
mingyqf的博客
03-17 4186
安全攻击溯源思路及案例 在攻防的视角里,进攻方会占据比较多的主动性,而防守方则略显被动,因为作为防守方,你永远也不知道攻击会在什么时候发生。你所能做的是,做好自己该做的一切,准备好自己该准备的一切,耐心等待对手犯错的机会。 在发现有入侵者后,快速由守转攻,进行精准地溯源反制,收集攻击路径和攻击者身份信息,勾勒出完整的攻击者画像。 1、攻击捕获 1.安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等 ​ 2.日志与流量分析,异常的通讯流量、攻击攻击目标等 ​ 3.服务器资异常,异常的文件、账号
网络安全攻防渗透之溯源
ta737的博客
09-18 1155
对于攻防演练蓝军的伙伴们来说,最难的技术难题可能就是溯源,尤其在今天代理横行的时代更加难以去溯源攻击者。这里我就举两个溯源来帮助大家梳理溯源过程
网络安全学习之攻击溯源思路
shayebudon的博客
04-19 4470
溯源思路及案例 1、攻击捕获 安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等 ​ 日志与流量分析,异常的通讯流量、攻击攻击目标等 ​ 服务器资异常,异常的文件、账号、进程、端口,启动项、计划任务和服务等 ​ 邮件钓鱼,获取恶意文件样本、钓鱼网站URL等 ​ 蜜罐系统,获取攻击者行为、意的相关信息 2、溯源反制手段 IP定位技术 根据IP定位物理地址—代理IP ​ 溯源案例:通过IP端口扫描,反向渗透服务器进行分析,最终定位到攻击者相关信息 ID追踪术 ​ ID追踪术,搜索引擎、社交平台.
网络安全学习篇之攻击溯源思路及案例
徐咕咕
07-12 1万+
引言 在攻防的视角里,进攻方会占据比较多的主动性,而防守方则略显被动,因为作为防守方,你永远也不知道攻击会在什么时候发生。你所能做的是,做好自己该做的一切,准备好自己该准备的一切,耐心等待对手犯错的机会。 在发现有入侵者后,快速由守转攻,进行精准地溯源反制,收集攻击路径和攻击者身份信息,勾勒出完整的攻击者画像。 溯源思路及案例 1、攻击捕获 安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等 ​ 日志与流量分析,异常的通讯流量、攻击攻击目标等 ​ 服务器资异常,异常的文件、账号、进程、端口,
邮件钓鱼攻击溯源.pdf
07-05
邮件钓鱼攻击溯源
溯源(七)之利用AntSword RCE进行溯源反制黑客
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
04-03 1162
在之前文章中我们学习了如何通过Web日志,系统日志,安全设备去获取攻击,然后再通过获取攻击的信息再去寻找攻击者的身份,这些方式都是被动的去寻找攻击者的身份 但这些方法不是万能的,实际入侵中,攻击者都会挂一个代理,或者是对自己的流量进行一个加密,所以如果攻击者在攻击过程中进行了以上的行为,那我们通过Web日志或者安全设备得到攻击很大概率上都不是真实的 所以,我们要化被动为主动,去主动获取攻击者的身份,主动去寻找攻击者是一个什么样的思路呢?
网络安全护网中,溯源是什么?
vivlol918的博客
11-29 2300
溯源可以应用于多种场景,例如网络入侵调查、恶意软件分析、数据泄露事件、计算机犯罪等。其主要目标是通过收集和分析数字证据,找出攻击事件的起、路径和影响,并对犯罪活动进行追踪。
溯源系列:溯源)之攻击获取
weixin_54626591的博客
01-05 761
溯源)之攻击获取
[论文阅读] (10)基于溯源的APT攻击检测安全顶会总结
热门推荐
杨秀璋的专栏
10-11 2万+
《娜璋带你读论文》系列主要是督促自己阅读优秀论文及听取学术讲座,并分享给大家,希望您喜欢。前一篇文章分享了S&P2019《HOLMES: Real-time APT Detection through Correlation of Suspicious Information Flows》,基于可疑信息流的实时APT检测。这篇文章将详细介绍和总结基于溯源的APT攻击检测安全顶会内容,花了作者一个多月时间。希望这篇文章对您有所帮助,这些大佬是真的值得我们去学习,献上小弟的膝盖~fighting!
攻击溯源
世间繁华梦一出
03-08 979
一、溯源 在攻防演练中我们作为防守方,在看到安全设备报出自身主机收到黑客攻击后,我们之后要做的一件非常重要的事情就是溯源——即根据此攻击者的ip,找出攻击者的身份 二、步骤及常用方法 1、针对ip 通过开情报和开放端口进行分析查询 拿到域名,可对其进行whois反查 拿到所开放的端口,可查看这些端口所开放的服务进行进一步的利用 可考虑使用msscan来快速查看开放端口 再通过nmap对开放端口进行识别 然后找端口对应的漏洞 2、查询定位 通过蜜罐等设备获取攻击者真实ip,对ip进行定位,可定位具体位置。
APT 攻击溯源方法
qq_16334741的博客
11-21 2644
概述:当今世界正值百年未有之大变局,网络空间成为继陆、海、空、天之后的第大疆域,安全威胁也随之延伸至网络空间。没有网络安全就没有国家安全,在新时代网络空间安全已经上升至国家安全的高度。高级持续性威胁(Advanced Persistent Threat,APT)攻击网络空间中威胁最大的一种攻击,其危害性大、隐蔽性强、持续时间长。考虑到APT攻击溯源一直是网络空间攻防中极为重要的一环,提出了一种基于网络流量风险数据聚类的APT攻击溯源方法。首先介绍了所提方法的工作流程,其次对流程中的风险数据聚类算法进行
网络安全溯源技术:追寻攻击的关键步骤
diaobusi的博客
06-23 3261
网络安全防御中,溯源技术扮演着重要角色,它能够追踪和追溯恶意攻击头,帮助我们分析和应对网络威胁。漏洞利用分析:通过溯源技术,可以分析恶意软件利用的漏洞和攻击方法,并将相关反馈提供给系统管理员和软件开发者,以加强安全防护和修补漏洞。攻击追踪和溯源:通过溯源技术,可以追踪黑客攻击和其他网络攻击头和攻击者。恶意域名和钓鱼网站识别:溯源技术可以用于识别恶意域名和钓鱼网站,并及时采取相应的安全措施,以保护用户的信息和资产安全。通过追踪域名的注册信息和所有者,可以揭示攻击背后的黑手。二、溯源技术的实现原理。
请绘制安全攻击溯源的思维导
03-26
很抱歉,我只是一个语言模型AI,无法提供像输出。但可以为您提供思路指导: 一、攻击溯源的原则及概念 1.攻击溯源的主要原则是收集、分析、整合、推测和验证相关信息,以确定攻击、方式、目的和影响。 2.攻击溯源的概念是指在网络和信息安全领域中,通过收集、分析和处理有关攻击事件所产生的数据和信息,追溯和确认攻击事件的信息头、评估其操作行为和目的,进而确定合理的防御和安全策略。 二、攻击溯源的基本步骤 1.数据收集:通过网络设备、日志收集工具或其他渠道获取攻击事件相关的数据和信息,包括攻击方式、来、时间、目标等。 2.数据清理:对收集到的数据进行清洗、筛选,剔除噪音数据和不必要的信息,保留有价值的信息。 3.数据分析:对清洗过的数据进行深入分析,从中提取关键信息并进行归纳、总结、分类和梳理。 4.数据推测:利用数据和信息推测攻击者的意和行为模式,探测攻击行为的特征、规律和趋势。 5.数据验证:通过比对、回溯、模拟等手段进行数据和信息的验证,保证分析得到的结论和推论是正确合理的。 三、攻击溯源的关键技能和方法 1.网络安全基础知识:掌握网络和信息安全基本理论、技术和方法,了解攻击方式和攻击手段,具有较强的技术储备和安全观念。 2.数据采集和分析技能:熟练掌握网络安全日志分析工具、数据挖掘工具、分析工具等,具备数据采集、处理、分析和挖掘的能力。 3.攻击溯源方法:根据攻击事件的特征和情况,灵活运用防御和溯源技术,包括主机取证、网络取证、行为分析、威胁情报、漏洞挖掘等。 4.交叉学科技能:攻击溯源涉及到多个领域的知识,如计算机科学、网络工程、数据科学、犯罪心理学等,需要具备跨领域交叉学科知识的掌握和应用能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

千负

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值