网络安全-溯源
2023-09-30 10:16:06 0 举报AI智能生成
在实际的网络安全工作中,溯源是很常见的事情,该思维导图提供了常见的溯源的方式方法,希望对大家有帮助
作者其他创作
大纲/内容
介绍
溯源反制:
主要是在防守过程中对入侵事件的应急排查和反向追踪
溯源:
溯源分析,找到攻击者的入侵途径、入侵操作以及攻击者信息
反制:
反制,对攻击者的攻击源头进行专业的技术测试,获取更多有效信息
主要是在防守过程中对入侵事件的应急排查和反向追踪
溯源:
溯源分析,找到攻击者的入侵途径、入侵操作以及攻击者信息
反制:
反制,对攻击者的攻击源头进行专业的技术测试,获取更多有效信息
流程
前期准备(丰富知识储备)
了解防守单位的网络拓扑,了解网络地址的分配和网络策略的要求
了解哪些设备用于安全防护:哪些厂家的流量分析设备,这些设备有什么特点能有什么效果,在溯源反制的时候能获取到哪些信息;(例如:设备是否为全流量设备,是否可以看到req与resp的流量信息等等)
了解内网IP地址的分布和走向:要了解安全设备接入的位置,镜像了哪部分流量,是否包含办公网等等
了解该单位的正常的业务功能,用于误报流量的筛选(sso登录、网上办理、域等等)
了解常规的安全设备以及内网一些常用的设备和名词:天眼、雷池、IPS、IDS、IDC、负载、F5、办公网、核心网、专网、应用服务器、前置机、CDN、代理服务器、终端安全软件(edr/天擎)、AD服务器、DC服务器、邮件网关、防毒墙等等
了解了以上信息后,对后续的分析会有很大的帮助,会让你很快的分辨该流量是否为业务告警还是真实的攻击,也可以让你快速的定位受害位置(是直接到应用服务器还是到了负债均衡,地址转换等等,了解后可以很快的跟客户沟通下一步排查的方位);除此之外,就是对漏洞量的储备,要可以分辨出哪些是黑产的日常扫描,哪些是红队攻击扫描,此处考验对一些攻击流量特征的了解程度:awvs、nessus、xray等扫描特征,蚁剑、冰蝎等webshell的连接特征等等(此处一般安全设备都会有识别,不过需要自身知识储备过关,能够跟客户沟通清楚是什么地方触发的告警,特征点是什么等等)
以上的内容是前期需要做好的准备,基于这些准备,在后续的防守中沟通以及操作就会比较轻松
了解哪些设备用于安全防护:哪些厂家的流量分析设备,这些设备有什么特点能有什么效果,在溯源反制的时候能获取到哪些信息;(例如:设备是否为全流量设备,是否可以看到req与resp的流量信息等等)
了解内网IP地址的分布和走向:要了解安全设备接入的位置,镜像了哪部分流量,是否包含办公网等等
了解该单位的正常的业务功能,用于误报流量的筛选(sso登录、网上办理、域等等)
了解常规的安全设备以及内网一些常用的设备和名词:天眼、雷池、IPS、IDS、IDC、负载、F5、办公网、核心网、专网、应用服务器、前置机、CDN、代理服务器、终端安全软件(edr/天擎)、AD服务器、DC服务器、邮件网关、防毒墙等等
了解了以上信息后,对后续的分析会有很大的帮助,会让你很快的分辨该流量是否为业务告警还是真实的攻击,也可以让你快速的定位受害位置(是直接到应用服务器还是到了负债均衡,地址转换等等,了解后可以很快的跟客户沟通下一步排查的方位);除此之外,就是对漏洞量的储备,要可以分辨出哪些是黑产的日常扫描,哪些是红队攻击扫描,此处考验对一些攻击流量特征的了解程度:awvs、nessus、xray等扫描特征,蚁剑、冰蝎等webshell的连接特征等等(此处一般安全设备都会有识别,不过需要自身知识储备过关,能够跟客户沟通清楚是什么地方触发的告警,特征点是什么等等)
以上的内容是前期需要做好的准备,基于这些准备,在后续的防守中沟通以及操作就会比较轻松
定位事件(确定告警事件,定位攻击)
设备告警问题
防守厂商的流量分析设备均为旁路镜像流量(串联可能会将业务流量拦截,但是不排除有串联接入的单位)旁路接入并不会拦截流量,所以需要人工去筛选安全事件的真实性
告警流量中会存在大量的境内外黑产组织的扫描告警
红队会在外网搭建漏扫工具(Nessus、AWVS),在进行有效的攻击的时候进行漏洞扫描,从而迷惑防守人员
由于各个厂商设备的特点不一样,可能告警的内容以及告警的结果会有差别,有的设备是基于算法的模型训练、有的是基于规则校验,模型没有训练到的加密流量可能就无法识别告警,绕过规则的流量也无法识别告警;
辅助设备
内网蜜罐
用于迷惑攻击者,减缓内网其它系统被入侵的时间,还可以更快的定位内网沦陷的主机
外网蜜罐
一般会部署与该单位相关且存在漏洞的web站点,只要有人通过漏洞进入后台,就可以通过jsonp跨域获取个人信息,通过获取的个人信息进行溯源
防守厂商的流量分析设备均为旁路镜像流量(串联可能会将业务流量拦截,但是不排除有串联接入的单位)旁路接入并不会拦截流量,所以需要人工去筛选安全事件的真实性
告警流量中会存在大量的境内外黑产组织的扫描告警
红队会在外网搭建漏扫工具(Nessus、AWVS),在进行有效的攻击的时候进行漏洞扫描,从而迷惑防守人员
由于各个厂商设备的特点不一样,可能告警的内容以及告警的结果会有差别,有的设备是基于算法的模型训练、有的是基于规则校验,模型没有训练到的加密流量可能就无法识别告警,绕过规则的流量也无法识别告警;
辅助设备
内网蜜罐
用于迷惑攻击者,减缓内网其它系统被入侵的时间,还可以更快的定位内网沦陷的主机
外网蜜罐
一般会部署与该单位相关且存在漏洞的web站点,只要有人通过漏洞进入后台,就可以通过jsonp跨域获取个人信息,通过获取的个人信息进行溯源
安全设备告警告警事件
查看告警事件详情,主要是查看请求包和响应包的内容,并且判断攻击是否成功(通过攻击事件和响应内容来判定)
收集有效信息,如攻击的Payload、请求中携带的个人信息、是否存在身份绑定等等 (案例:注册信息处测试注入,携带注入语句以及个人手机号提交信息,从而成功追踪到该攻击队员 )
应急响应
内网发生入侵,需要进行应急响应,详情参考应急响应文档
收集有效信息:入侵IP、回连地址、恶意文件、恶意操作、遗留的信息,这些信息都可以收集起来用于后期的信息分析;
查看告警事件详情,主要是查看请求包和响应包的内容,并且判断攻击是否成功(通过攻击事件和响应内容来判定)
收集有效信息,如攻击的Payload、请求中携带的个人信息、是否存在身份绑定等等 (案例:注册信息处测试注入,携带注入语句以及个人手机号提交信息,从而成功追踪到该攻击队员 )
应急响应
内网发生入侵,需要进行应急响应,详情参考应急响应文档
收集有效信息:入侵IP、回连地址、恶意文件、恶意操作、遗留的信息,这些信息都可以收集起来用于后期的信息分析;
收集信息(通过定位事件来收集有效的信息)
IP
源IP(一般为攻击者代理地址或者运营商地址)
目的IP(记录筛选对此IP的攻击)
XFF地址(本质上记录的是请求的客户端地址,但是高匿代理或者XFF伪造均可绕过该记录)
CDN-SRC-IP地址(cdn地址记录的上一跳请求的地址,一般情况下和XFF地址相同)
备注
云服务器IP需要特别关注
高匿代理,可能无法找到真实的攻击地址;参考:https://www.jianshu.com/p/7e1fbcbd3c5e
域名
告警漏洞的远程访问、下载、回连地址
恶意文件的远程回连地址
手机号和邮箱
攻击流量中泄露的手机号和邮箱
备案信息遗漏的手机号和邮箱
匿称信息
入侵遗留的测试信息(例如:上传测试文件,内容为:test by C0cy1)
源IP(一般为攻击者代理地址或者运营商地址)
目的IP(记录筛选对此IP的攻击)
XFF地址(本质上记录的是请求的客户端地址,但是高匿代理或者XFF伪造均可绕过该记录)
CDN-SRC-IP地址(cdn地址记录的上一跳请求的地址,一般情况下和XFF地址相同)
备注
云服务器IP需要特别关注
高匿代理,可能无法找到真实的攻击地址;参考:https://www.jianshu.com/p/7e1fbcbd3c5e
域名
告警漏洞的远程访问、下载、回连地址
恶意文件的远程回连地址
手机号和邮箱
攻击流量中泄露的手机号和邮箱
备案信息遗漏的手机号和邮箱
匿称信息
入侵遗留的测试信息(例如:上传测试文件,内容为:test by C0cy1)
IP信息分析:
IP历史解析
旁站/同站查询
证书反查
搜索引擎
威胁平台(只有IP时的主要分析手段)
端口扫描
IP历史解析
旁站/同站查询
证书反查
搜索引擎
威胁平台(只有IP时的主要分析手段)
端口扫描
备案信息
简介:通过备案信息来获取备案时的真实信息(也可能是伪造、因为非国内云的域名绑定不需要实名制)
微步在线: https://x.threatbook.cn/
V站:https://www.virustotal.com/gui/home/search
站长之家ICP: http://icp.chinaz.com/
sojson: https://www.sojson.com/beian/
爱站ICP: https://icp.aizhan.com/
icplishi:https://icplishi.com/
域名信息
简介:通过域名信息的查询,可以获取到域名注册时候的一些信息,但是大部分为运营商的技术支持人员信息
阿里云whois:https://whois.aliyun.com/
站长之家whois:http://whois.chinaz.com/
简介:通过备案信息来获取备案时的真实信息(也可能是伪造、因为非国内云的域名绑定不需要实名制)
微步在线: https://x.threatbook.cn/
V站:https://www.virustotal.com/gui/home/search
站长之家ICP: http://icp.chinaz.com/
sojson: https://www.sojson.com/beian/
爱站ICP: https://icp.aizhan.com/
icplishi:https://icplishi.com/
域名信息
简介:通过域名信息的查询,可以获取到域名注册时候的一些信息,但是大部分为运营商的技术支持人员信息
阿里云whois:https://whois.aliyun.com/
站长之家whois:http://whois.chinaz.com/
信息分析(对获取到的信息进行分析和拓展)
个人信息分析:
支付宝
钉钉
社工库
微博
贴吧
网盘
企业信息
微信
QQ/QQ空间
搜索引擎
社工
支付宝
钉钉
社工库
微博
贴吧
网盘
企业信息
微信
QQ/QQ空间
搜索引擎
社工
信息分析-反制
简介:全端口探测,获取IP开放服务,通过开放的服务来进行反制
思路:
对开放服务的IP地址进行反制,通过漏洞利用或者遗留的后门等等来获取主机权限,然后再通过对主机进行下一步分析(后续类似于应急响应操作)
反制的IP为僵尸主机
大多数是存在漏洞的机器,被其他人利用然后实施攻击,但此处大概率为黑产行为,但也不排除红队攻击
反制的IP为国内外VPS主机
红队大多数用来反弹shell或者远程下载,此处更偏向于域名备案信息,但是不排除在上面部署服务的情况
反制的IP为运营商动态IP
此IP没有分析的意义
简介:全端口探测,获取IP开放服务,通过开放的服务来进行反制
思路:
对开放服务的IP地址进行反制,通过漏洞利用或者遗留的后门等等来获取主机权限,然后再通过对主机进行下一步分析(后续类似于应急响应操作)
反制的IP为僵尸主机
大多数是存在漏洞的机器,被其他人利用然后实施攻击,但此处大概率为黑产行为,但也不排除红队攻击
反制的IP为国内外VPS主机
红队大多数用来反弹shell或者远程下载,此处更偏向于域名备案信息,但是不排除在上面部署服务的情况
反制的IP为运营商动态IP
此IP没有分析的意义
整理结果(对所掌握的信息进行归纳汇总,查漏补缺)
职业:网络安全与Java项目经理
0 条评论
下一页
