溯源攻防

Yokeen

2021-08-13

安全技术

溯源攻防

1	import requests

1	phpinfo();

前两天在吐司看到一篇溯源反制的文章，PDF总结了架构&方法&案例，同时我在本地也有一部分溯源攻防的资料，再结合本身的经历，总结性的写一点东西到博客上。也感谢他们的分享精神。

主要考察技术点：应急响应 & 取证

蓝队溯源

目的：完整还原攻击链、溯源到黑客的身份，OR 反控攻击方主机。

姓名：
攻击IP：
攻击域名：
地理位置：
QQ：
邮箱：
手机号：
微信微博等社交账户：
身份证及照片：
跳板机：
关联攻击事件（还原攻击链）：

攻击源捕获

安全设备报警（扫描、被入侵、病毒木马等）
服务器资源异常（桌面敏感信息、系统日志、敏感进程通信地址、系统操作指令）
钓鱼（恶意样本通信地址）
蜜罐（搭建伪造的不同协议的蜜罐，每天提取其中的C2地址）

同时也要不断完善蜜罐，批量工具进入后会先用各种指令判断系统是否为蜜罐，你要给他们想要的信息，然后他们才会执行从C2地址下载的指令

样本分析：
微步云沙箱：https://s.threatbook.cn/
腾讯哈勃：
VT：https://www.virustotal.com/gui/home/upload

获取开源情报

IP & 域名

1、ip归属及开放端口&反向入侵
2、域名归属
3、IP反查域名
4、域名解析到IP（合适解析到何IP）
5、域名备案

微步X社区：https://x.threatbook.cn/

ID

通过搜索引擎搜索目标ID暴露的个人信息，还有各种社交平台，还有电报社工库。

信息防护

个人信息防护

1、工作电脑 + 虚拟机
工作电脑不要有任何个人信息，工作机断网（随意IP&dns），打好补丁禁用常用端口；
虚拟机更新至最新版本、打好补丁禁止常用端口、英文系统、NO IE、少装乱七八糟的软件；

有条件可以在断网物理机上做一层监控（常见的操作例如文件读取拷贝&命令执行&软件运行），毕竟就算物理机断网，大牛也可以虚拟机逃逸。

周期重装系统。

2、匿名网络+VPN
匿名物联网卡 OR 公共场所WIFI；
系统拨一层，常用软件（例如浏览器）走一层socks代理
（可以在打下的目标内网中的出网机器搭建（常用漏洞打下的路由器难免会被其他人打下抓取流量））

系统IP与DNS可以乱设，VPN断开后自然无法上网。

安全隐蔽很难与速度两全，自行考虑。之前搭建过洋葱网络，三层跳板，用VPS测试速度说起来还行，但最后因为离职也没有实际部署在公网的路由器。

3、注册匿名社交账户
主要是邮箱（非临时），用来注册VPS和域名供应商。

4、虚拟币购买VPS
注册完匿名邮箱后再注册VPS供应商，用虚拟币支付（手机支付时注意网络）。

c2服务器隐藏

1、利用CDN隐藏C2域名

2、云函数保护域名

frp+云函数上线

应急响应

我学长主要是做Linux这块的，之前跟他学习了不少这块的知识。

Windows这块比较拉，接触的比较少了，在微步时问Windows响应大师博哥要了份资料，

要点：及时止损（拔网线封IP）、防止扩散

Windows

Linux

准备一套干净的指令或busybox交叉对比，查看进程是否被隐藏

文件排查

find
atime、ctime、mtime
find / -mtime 0 //24小时内被修改过的文件

完整性排查

rpm -Va、dpkg -V
S：代表文件容量大小是否被改变
M：文件类型或属性是否被改变
5：文件MD5是否被改版
D：设备的主/次号码
L：文件路径是否被改变
U：文件所有者是否被改变
G：文件所属用户组是否被改变
T：文件创建时间死否被改变
若左边包含S.5 右边为可执行文件，例如sshd、httpd等程序，则可能为重新编译过的后门程序，针对性检查

启动项&计划排查

相关启动项文件
/etc/rc.local
/etc/init.d/
/etc/rc*.d/
/etc/rc.d/
/etc/init.d/
/etc/rc.sysinit
查看文件内容是否发声变化，根据内容判断是否包含恶意启动项

/etc/crontab, /etc/cron.daily/, /etc/cron.hourly/, /etc/cron.monthly/, /etc/cron.weekly/,
/var/spool/cron/crontabs/，/etc/cron.d/

进程排查

top
ps 命令可以查看系统中当前运行哪些进程。
ps –auxf 以树形结构排列所有进程
top 查看系统性能，可以事实显示系统各个进程的资源占用情况
lsof –Pi 显示所有连接，并不要做端口解析
lsof –f –p pid 查看与此PID交互的一切文件

网络连接排查

案例

brootkit
gates

https://www.secpulse.com/archives/141438.html
吐司：分享一个溯源定位反制的手册
 Bypass：安全攻击溯源思路及案例
 frp+云函数上线