[[347458]]

本文轉(zhuǎn)載自微信公眾號「 Bypass」，作者 Bypass 。轉(zhuǎn)載本文請聯(lián)系 Bypass公眾號。

在攻防的視角里，進攻方會占據(jù)比較多的主動性，而防守方則略顯被動，因為作為防守方，你永遠也不知道攻擊會在什么時候發(fā)生。你所能做的是，做好自己該做的一切，準備好自己該準備的一切，耐心等待對手犯錯的機會。

在發(fā)現(xiàn)有入侵者后，快速由守轉(zhuǎn)攻，進行精準地溯源反制，收集攻擊路徑和攻擊者身份信息，勾勒出完整的攻擊者畫像。

1、攻擊源捕獲

安全設備報警，如掃描IP、威脅阻斷、病毒木馬、入侵事件等

日志與流量分析，異常的通訊流量、攻擊源與攻擊目標等

服務器資源異常，異常的文件、賬號、進程、端口，啟動項、計劃任務和服務等

郵件釣魚，獲取惡意文件樣本、釣魚網(wǎng)站URL等

蜜罐系統(tǒng)，獲取攻擊者行為、意圖的相關信息

2、溯源反制手段

IP定位技術

根據(jù)IP定位物理地址--代理IP

溯源案例：通過IP端口掃描，反向滲透服務器進行分析，最終定位到攻擊者相關信息

ID追蹤術

ID追蹤術，搜索引擎、社交平臺、技術論壇、社工庫匹配

溯源案例：利用ID從技術論壇追溯郵箱，繼續(xù)通過郵箱反追蹤真實姓名，通過姓名找到相關簡歷信息

網(wǎng)站url

域名Whois查詢--注冊人姓名、地址、電話和郵箱。--域名隱私保護

溯源案例：通過攻擊IP歷史解析記錄/域名，對域名注冊信息進行溯源分析

惡意樣本

提取樣本特征、用戶名、ID、郵箱、C2服務器等信息--同源分析

溯源案例：樣本分析過程中，發(fā)現(xiàn)攻擊者的個人ID和QQ，成功定位到攻擊者。

社交賬號

基于JSONP跨域，獲取攻擊者的主機信息、瀏覽器信息、真實 IP及社交信息等

利用條件：可以找到相關社交網(wǎng)站的jsonp接口泄露敏感信息，相關網(wǎng)站登錄未注銷

3、攻擊者畫像

攻擊路徑

• 攻擊目的：拿到權限、竊取數(shù)據(jù)、獲取利益、DDOS等
• 網(wǎng)絡代理：代理IP、跳板機、C2服務器等
• 攻擊手法：魚叉式郵件釣魚、Web滲透、水坑攻擊、近源滲透、社會工程等

攻擊者身份畫像

• 虛擬身份：ID、昵稱、網(wǎng)名
• 真實身份：姓名、物理位置
• 聯(lián)系方式：手機號、qq/微信、郵箱
• 組織情況：單位名稱、職位信息

4、溯源案例篇

案例一：郵件釣魚攻擊溯源

攻防場景：攻擊者利用社會工程學技巧偽造正常郵件內(nèi)容，繞過郵件網(wǎng)關的查殺，成功投遞到目標郵箱，誘騙用戶點擊郵件鏈接或下載附件文件。

信息收集：通過查看郵件原文，獲取發(fā)送方IP地址、域名后綴郵箱、釣魚網(wǎng)站或惡意附件樣本等信息。

溯源方式：第一種，可以通過相關聯(lián)的域名/IP進行追蹤;第二種，對釣魚網(wǎng)站進行反向滲透獲取權限，進一步收集攻擊者信息;第三種，通過對郵件惡意附件進行分析，利用威脅情報數(shù)據(jù)平臺尋找同源樣本獲取信息，也能進一步對攻擊者的畫像進行勾勒。

比如，收到一個郵件QQ空間釣魚網(wǎng)站，反手插入一個XSS語句，盜取后臺cookie，在審查管理臺源代碼里找到作者的qq聯(lián)系方式。

案例二：Web入侵溯源

攻防場景：攻擊者通過NDAY和0DAY漏洞滲入服務器網(wǎng)段，Webshell 觸發(fā)安全預警或者威脅檢測阻斷了C&C域名的通訊。

溯源方式：隔離webshell樣本，使用Web日志還原攻擊路徑，找到安全漏洞位置進行漏洞修復，從日志可以找到攻擊者的IP地址，但攻擊者一般都會使用代理服務器或匿名網(wǎng)絡(例如Tor)來掩蓋其真實的IP地址。

在入侵過程中，使用反彈shell、遠程下載惡意文件、端口遠程轉(zhuǎn)發(fā)等方式，也容易觸發(fā)威脅阻斷，而這個域名/IP，提供一個反向信息收集和滲透測試的路徑。

案例三：蜜罐溯源

攻防場景：在企業(yè)內(nèi)網(wǎng)部署蜜罐去模擬各種常見的應用服務，誘導攻擊者攻擊。

溯源方式：在攻擊者入侵蜜罐時，蜜罐可以記錄攻擊者的入侵行為，獲取攻擊者的主機信息、瀏覽器信息、甚至是真實 IP及社交信息。