偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

安全攻擊溯源思路及案例

安全 應(yīng)用安全
在攻防的視角里,進(jìn)攻方會(huì)占據(jù)比較多的主動(dòng)性,而防守方則略顯被動(dòng),因?yàn)樽鳛榉朗胤剑阌肋h(yuǎn)也不知道攻擊會(huì)在什么時(shí)候發(fā)生。你所能做的是,做好自己該做的一切,準(zhǔn)備好自己該準(zhǔn)備的一切,耐心等待對(duì)手犯錯(cuò)的機(jī)會(huì)。

 [[347458]]

本文轉(zhuǎn)載自微信公眾號(hào)「 Bypass」,作者 Bypass 。轉(zhuǎn)載本文請聯(lián)系 Bypass公眾號(hào)。

在攻防的視角里,進(jìn)攻方會(huì)占據(jù)比較多的主動(dòng)性,而防守方則略顯被動(dòng),因?yàn)樽鳛榉朗胤?,你永遠(yuǎn)也不知道攻擊會(huì)在什么時(shí)候發(fā)生。你所能做的是,做好自己該做的一切,準(zhǔn)備好自己該準(zhǔn)備的一切,耐心等待對(duì)手犯錯(cuò)的機(jī)會(huì)。

在發(fā)現(xiàn)有入侵者后,快速由守轉(zhuǎn)攻,進(jìn)行精準(zhǔn)地溯源反制,收集攻擊路徑和攻擊者身份信息,勾勒出完整的攻擊者畫像。

 

1、攻擊源捕獲

 

安全設(shè)備報(bào)警,如掃描IP、威脅阻斷、病毒木馬、入侵事件等

日志與流量分析,異常的通訊流量、攻擊源與攻擊目標(biāo)等

服務(wù)器資源異常,異常的文件、賬號(hào)、進(jìn)程、端口,啟動(dòng)項(xiàng)、計(jì)劃任務(wù)和服務(wù)等

郵件釣魚,獲取惡意文件樣本、釣魚網(wǎng)站URL等

蜜罐系統(tǒng),獲取攻擊者行為、意圖的相關(guān)信息

2、溯源反制手段

IP定位技術(shù)

根據(jù)IP定位物理地址--代理IP

溯源案例:通過IP端口掃描,反向滲透服務(wù)器進(jìn)行分析,最終定位到攻擊者相關(guān)信息

ID追蹤術(shù)

ID追蹤術(shù),搜索引擎、社交平臺(tái)、技術(shù)論壇、社工庫匹配

溯源案例:利用ID從技術(shù)論壇追溯郵箱,繼續(xù)通過郵箱反追蹤真實(shí)姓名,通過姓名找到相關(guān)簡歷信息

網(wǎng)站url

域名Whois查詢--注冊人姓名、地址、電話和郵箱。--域名隱私保護(hù)

溯源案例:通過攻擊IP歷史解析記錄/域名,對(duì)域名注冊信息進(jìn)行溯源分析

惡意樣本

提取樣本特征、用戶名、ID、郵箱、C2服務(wù)器等信息--同源分析

溯源案例:樣本分析過程中,發(fā)現(xiàn)攻擊者的個(gè)人ID和QQ,成功定位到攻擊者。

社交賬號(hào)

基于JSONP跨域,獲取攻擊者的主機(jī)信息、瀏覽器信息、真實(shí) IP及社交信息等

利用條件:可以找到相關(guān)社交網(wǎng)站的jsonp接口泄露敏感信息,相關(guān)網(wǎng)站登錄未注銷

3、攻擊者畫像

攻擊路徑

  • 攻擊目的:拿到權(quán)限、竊取數(shù)據(jù)、獲取利益、DDOS等
  • 網(wǎng)絡(luò)代理:代理IP、跳板機(jī)、C2服務(wù)器等
  • 攻擊手法:魚叉式郵件釣魚、Web滲透、水坑攻擊、近源滲透、社會(huì)工程等

攻擊者身份畫像

  • 虛擬身份:ID、昵稱、網(wǎng)名
  • 真實(shí)身份:姓名、物理位置
  • 聯(lián)系方式:手機(jī)號(hào)、qq/微信、郵箱
  • 組織情況:單位名稱、職位信息

4、溯源案例篇

案例一:郵件釣魚攻擊溯源

攻防場景:攻擊者利用社會(huì)工程學(xué)技巧偽造正常郵件內(nèi)容,繞過郵件網(wǎng)關(guān)的查殺,成功投遞到目標(biāo)郵箱,誘騙用戶點(diǎn)擊郵件鏈接或下載附件文件。

信息收集:通過查看郵件原文,獲取發(fā)送方IP地址、域名后綴郵箱、釣魚網(wǎng)站或惡意附件樣本等信息。

溯源方式:第一種,可以通過相關(guān)聯(lián)的域名/IP進(jìn)行追蹤;第二種,對(duì)釣魚網(wǎng)站進(jìn)行反向滲透獲取權(quán)限,進(jìn)一步收集攻擊者信息;第三種,通過對(duì)郵件惡意附件進(jìn)行分析,利用威脅情報(bào)數(shù)據(jù)平臺(tái)尋找同源樣本獲取信息,也能進(jìn)一步對(duì)攻擊者的畫像進(jìn)行勾勒。

 

比如,收到一個(gè)郵件QQ空間釣魚網(wǎng)站,反手插入一個(gè)XSS語句,盜取后臺(tái)cookie,在審查管理臺(tái)源代碼里找到作者的qq聯(lián)系方式。

 

案例二:Web入侵溯源

攻防場景:攻擊者通過NDAY和0DAY漏洞滲入服務(wù)器網(wǎng)段,Webshell 觸發(fā)安全預(yù)警或者威脅檢測阻斷了C&C域名的通訊。

溯源方式:隔離webshell樣本,使用Web日志還原攻擊路徑,找到安全漏洞位置進(jìn)行漏洞修復(fù),從日志可以找到攻擊者的IP地址,但攻擊者一般都會(huì)使用代理服務(wù)器或匿名網(wǎng)絡(luò)(例如Tor)來掩蓋其真實(shí)的IP地址。

在入侵過程中,使用反彈shell、遠(yuǎn)程下載惡意文件、端口遠(yuǎn)程轉(zhuǎn)發(fā)等方式,也容易觸發(fā)威脅阻斷,而這個(gè)域名/IP,提供一個(gè)反向信息收集和滲透測試的路徑。

案例三:蜜罐溯源

攻防場景:在企業(yè)內(nèi)網(wǎng)部署蜜罐去模擬各種常見的應(yīng)用服務(wù),誘導(dǎo)攻擊者攻擊。

溯源方式:在攻擊者入侵蜜罐時(shí),蜜罐可以記錄攻擊者的入侵行為,獲取攻擊者的主機(jī)信息、瀏覽器信息、甚至是真實(shí) IP及社交信息。

 

責(zé)任編輯:武曉燕 來源: Bypass
相關(guān)推薦

2020-11-05 10:39:19

安全技術(shù)

2021-03-14 18:25:32

網(wǎng)站安全網(wǎng)絡(luò)攻擊漏洞

2015-01-20 09:35:52

2024-01-25 11:01:24

2013-04-11 09:17:10

2010-01-06 15:26:48

2020-10-15 14:00:20

網(wǎng)絡(luò)攻擊溯源

2020-10-15 14:10:51

網(wǎng)絡(luò)攻擊溯源

2023-05-10 10:46:38

2023-05-05 11:11:01

2022-10-31 12:16:51

2015-09-15 13:27:18

2025-07-03 08:00:03

2017-03-16 14:31:11

2014-08-20 09:22:50

2021-06-16 09:40:44

網(wǎng)絡(luò)安全物聯(lián)網(wǎng)代碼

2013-10-17 10:39:27

2011-06-07 15:11:14

2013-07-17 17:05:08

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)