​

​

導讀

• 沒有進攻和威脅的被動防守，是註定失敗的
• 關注全球威脅情報和學會網路攻擊溯源是特別重要的
• 在發現有入侵者後，快速由守轉攻，進行精準地溯源反制，收集攻擊路徑和攻擊者身份資訊，勾勒出完整的攻擊者畫像。

溯源思路

1、攻擊源捕獲

• ​安全裝置報警，如掃描IP、威脅阻斷、病毒木馬、入侵事件等
• ​日誌與流量分析，異常的通訊流量、攻擊源與攻擊目標等
• ​伺服器資源異常，異常的檔案、賬號、程序、埠，啟動項、計劃任務和服務等
• ​郵件釣魚，獲取惡意檔案樣本、釣魚網站URL等
• ​蜜罐系統，獲取攻擊者行為、意圖的相關資訊

2、溯源反制手段

2.1 IP定位技術

根據IP定位實體地址—代理IP

​溯源案例：通過IP埠掃描，反向滲透伺服器進行分析，最終定位到攻擊者相關資訊

2.2 ID追蹤術

​ID追蹤術，搜尋引擎、社交平臺、技術論壇、社工庫匹配

​溯源案例：利用ID從技術論壇追溯郵箱，繼續通過郵箱反追蹤真實姓名，通過姓名找到相關簡歷資訊

2.3 網站url

域名Whois查詢—註冊人姓名、地址、電話和郵箱。—域名隱私保護

​溯源案例：通過攻擊IP歷史解析記錄/域名，對域名註冊資訊進行溯源分析

2.4 惡意樣本

​提取樣本特徵、使用者名稱、ID、郵箱、C2伺服器等資訊—同源分析

​溯源案例：樣本分析過程中，發現攻擊者的個人ID和QQ，成功定位到攻擊者。

2.5 社交賬號

基於JSONP跨域，獲取攻擊者的主機資訊、瀏覽器資訊、真實 IP及社交資訊等

​利用條件：可以找到相關社交網站的jsonp介面洩露敏感資訊，相關網站登入未登出

3、攻擊者畫像

3.1 攻擊路徑

攻擊目的：拿到許可權、竊取資料、獲取利益、DDOS等

​網路代理：代理IP、跳板機、C2伺服器等

​攻擊手法：魚叉式郵件釣魚、Web滲透、水坑攻擊、近源滲透、社會工程等

3.2 攻擊者身份畫像

​ 虛擬身份：ID、暱稱、網名

​ 真實身份：姓名、物理位置

​ 聯絡方式：手機號、qq/微信、郵箱

​ 組織情況：單位名稱、職位資訊

4、安全攻擊溯源篇

4.1 案例一：郵件釣魚攻擊溯源

攻防場景：攻擊者利用社會工程學技巧偽造正常郵件內容，繞過郵件閘道器的查殺，成功投遞到目標郵箱，誘騙使用者點選郵件連結或下載附件檔案。

資訊收集： 通過檢視郵件原文，獲取傳送方IP地址、域名字尾郵箱、釣魚網站或惡意附件樣本等資訊。

溯源方式：第一種，可以通過相關聯的域名/IP進行追蹤；第二種，對釣魚網站進行反向滲透獲取許可權，進一步收集攻擊者資訊；第三種，通過對郵件惡意附件進行分析，利用威脅情報資料平臺尋找同源樣本獲取資訊，也能進一步對攻擊者的畫像進行勾勒。

4.2 案例二：Web入侵溯源

攻防場景：攻擊者通過NDAY和0DAY漏洞滲入伺服器網段，Webshell 觸發安全預警或者威脅檢測阻斷了C&C域名的通訊。

溯源方式：隔離webshell樣本，使用Web日誌還原攻擊路徑，找到安全漏洞位置進行漏洞修復，從日誌可以找到攻擊者的IP地址，但攻擊者一般都會使用代理伺服器或匿名網路（例如Tor）來掩蓋其真實的IP地址。

在入侵過程中，使用反彈shell、遠端下載惡意檔案、埠遠端轉發等方式，也容易觸發威脅阻斷，而這個域名/IP，提供一個反向資訊收集和滲透測試的路徑。

4.3 案例三：蜜罐溯源

攻防場景：在企業內網部署蜜罐去模擬各種常見的應用服務，誘導攻擊者攻擊。

溯源方式：在攻擊者入侵蜜罐時，蜜罐可以記錄攻擊者的入侵行為，獲取攻擊者的主機資訊、瀏覽器資訊、甚至是真實 IP及社交資訊。

更多網路安全知識點，歡迎關注我

​