溯源攻防
1 | import requests |
1 | phpinfo(); |
前两天在吐司看到一篇溯源反制的文章,PDF总结了架构&方法&案例,同时我在本地也有一部分溯源攻防的资料,再结合本身的经历,总结性的写一点东西到博客上。也感谢他们的分享精神。
主要考察技术点:应急响应 & 取证
蓝队溯源
目的:完整还原攻击链、溯源到黑客的身份,OR 反控攻击方主机。
姓名:
攻击IP:
攻击域名:
地理位置:
QQ:
邮箱:
手机号:
微信微博等社交账户:
身份证及照片:
跳板机:
关联攻击事件(还原攻击链):
攻击源捕获
安全设备报警(扫描、被入侵、病毒木马等)
服务器资源异常(桌面敏感信息、系统日志、敏感进程通信地址、系统操作指令)
钓鱼(恶意样本通信地址)
蜜罐(搭建伪造的不同协议的蜜罐,每天提取其中的C2地址)
同时也要不断完善蜜罐,批量工具进入后会先用各种指令判断系统是否为蜜罐,你要给他们想要的信息,然后他们才会执行从C2地址下载的指令
样本分析:
微步云沙箱:https://s.threatbook.cn/
腾讯哈勃:
VT:https://www.virustotal.com/gui/home/upload
获取开源情报
IP & 域名
1、ip归属及开放端口&反向入侵
2、域名归属
3、IP反查域名
4、域名解析到IP(合适解析到何IP)
5、域名备案
微步X社区:https://x.threatbook.cn/
ID
通过搜索引擎搜索目标ID暴露的个人信息,还有各种社交平台,还有电报社工库。
信息防护
个人信息防护
1、工作电脑 + 虚拟机
工作电脑不要有任何个人信息,工作机断网(随意IP&dns),打好补丁禁用常用端口;
虚拟机更新至最新版本、打好补丁禁止常用端口、英文系统、NO IE、少装乱七八糟的软件;
有条件可以在断网物理机上做一层监控(常见的操作例如文件读取拷贝&命令执行&软件运行),毕竟就算物理机断网,大牛也可以虚拟机逃逸。
周期重装系统。
2、匿名网络+VPN
匿名物联网卡 OR 公共场所WIFI;
系统拨一层,常用软件(例如浏览器)走一层socks代理
(可以在打下的目标内网中的出网机器搭建(常用漏洞打下的路由器难免会被其他人打下抓取流量))
系统IP与DNS可以乱设,VPN断开后自然无法上网。
安全隐蔽很难与速度两全,自行考虑。之前搭建过洋葱网络,三层跳板,用VPS测试速度说起来还行,但最后因为离职也没有实际部署在公网的路由器。
3、注册匿名社交账户
主要是邮箱(非临时),用来注册VPS和域名供应商。
4、虚拟币购买VPS
注册完匿名邮箱后再注册VPS供应商,用虚拟币支付(手机支付时注意网络)。
c2服务器隐藏
1、利用CDN隐藏C2域名
2、云函数保护域名
应急响应
我学长主要是做Linux这块的,之前跟他学习了不少这块的知识。
Windows这块比较拉,接触的比较少了,在微步时问Windows响应大师博哥要了份资料,
要点:及时止损(拔网线封IP)、防止扩散
Windows
Linux
准备一套干净的指令或busybox交叉对比,查看进程是否被隐藏
文件排查
find
atime、ctime、mtime
find / -mtime 0 //24小时内被修改过的文件
完整性排查
rpm -Va、dpkg -V
S:代表文件容量大小是否被改变
M:文件类型或属性是否被改变
5:文件MD5是否被改版
D:设备的主/次号码
L:文件路径是否被改变
U:文件所有者是否被改变
G:文件所属用户组是否被改变
T:文件创建时间死否被改变
若左边包含S.5 右边为可执行文件,例如sshd、httpd等程序,则可能为重新编译过的后门程序,针对性检查
启动项&计划排查
相关启动项文件
/etc/rc.local
/etc/init.d/
/etc/rc*.d/
/etc/rc.d/
/etc/init.d/
/etc/rc.sysinit
查看文件内容是否发声变化,根据内容判断是否包含恶意启动项
/etc/crontab, /etc/cron.daily/, /etc/cron.hourly/, /etc/cron.monthly/, /etc/cron.weekly/,
/var/spool/cron/crontabs/,/etc/cron.d/
进程排查
top
ps 命令可以查看系统中当前运行哪些进程。
ps –auxf 以树形结构排列所有进程
top 查看系统性能,可以事实显示系统各个进程的资源占用情况
lsof –Pi 显示所有连接,并不要做端口解析
lsof –f –p pid 查看与此PID交互的一切文件
网络连接排查
ss
案例
brootkit
gates
https://www.secpulse.com/archives/141438.html
吐司:分享一个溯源定位反制的手册
Bypass:安全攻击溯源思路及案例
frp+云函数上线