对于追踪来说一般有这么三种套路:
IP->域名->Whois信息->社交网络信息->真实信息:这個套路对于现在来说大概用处不是极具大,但是根据历史Whois信息也是可以得出一些启发性结论,显然这些威胁情报数据大概付费,
IP->VPN->IP->社交网络信息:这种情况一般是大多数,搞定方法是经由查询IP反连记录,解析操作、一些fingerprint获得他虚拟身份信息,显然也是要收费
IP->botnet->IP->社交网络信息:这种广泛分布于挖矿、刷票、DDoS这种肉鸡类型,可以想办法截获起botnet样本实行逆向分析,获取其c&c服务器地址,而后对服务器实行反连查询,没错还是要收费,
再说多估计黑产大哥要把我腿打断
攻击溯源,其实是数据驱动企业内部保障运作一一部分,须要大量数据支撑以及分析才干找到攻击者,而企业内部咱们见到最多数据无非就是日志,所以日志分析、内网威胁情报提取是非常要紧一环,
针对保障运作来说,我個人感觉所有攻击者无法防止都会引发操作日志,针对内网内保障设备也好,非保障设备也好,绝对或多或少存在日志,
针对企业内部日志,大体上可分为四类:保障设备日志、非保障设备日志、传感器日志、外部数据,
保障设备日志:这些日志来源可以是硬件也可以是软件,先说就硬件来说注入IDS/WAF或者SIEM中日志、硬件防火墙等等日志,软件日志涵盖防病毒软件、保障Agent、准入系统等软件系统日志,这些日志一般都是攻击者实行攻击时会实行被动触发,这样话可以检索到很多攻击信息,诸如运用IP、端口、工具指纹等等,
非保障设备日志:诸如路由器、交换机、网关、网闸等硬件设备以及操作系统、应用软件、服务器软件日志等软件日志,这些日志中可以分析出攻击者目,是为单纯渗透玩一下还是想要经由控制机器作为跳板机实行进一步渗透就业,还是说仅仅是保障部门实行扫描引发日志,
传感器日志:企业内部往往会部署一些蜜罐系统、流量传感器;这些设备一方面可以有攻击预警、反横向渗透疗效,但是里面也会存在一些攻击者行为,比方说SSH蜜罐会存下攻击者在这台机器上操作,流量传感器会对数据包实行DPI解析方便流量分析,这些数据中绝对残存着一些有用信息可以协助咱们确定攻击者行为、技能点,甚至可以进一步判断该攻击者本事,是脚本小子还是大黑阔,
外部日志:一些常用服务日志,比方说邮件、DNS等日常服务日志,这些日志可以帮咱们确定攻击者是否是一种APT攻击,或者是是否是来种植Botnet,同样可以确定攻击者动机,
说完日志,咱们紧接着可以说一下攻击者动机判定,攻击者想要入侵一個系统绝对会对这個系统实行侦查,诸如端口扫描、脆弱性检测、exp测试等手段,这里面很容易、保障部门保障常规巡检日志起冲突,大多数公司都会把扫描机群放到白名单里,这样引发类似日志就会触发报警,咱们可以进一步分析这些日志提取出一些攻击者行为、动机等;以及他目甚至他技能点,咱们都可以初步判断,
经由对以上日志分析,咱们可以基本上确定攻击者是什么途径进来,用何种攻击方法拿到机器权限,有没有执行什么敏感操作,是否有进一步渗透势头,是不是在尝试提权之类操作等;这样咱们就对攻击者有一個大概解,
接下来咱们就须要借助外部威胁情报力量来获取攻击者身份,我個人相对喜欢国内微步在线、国外PassiveTotal这两個平台,尤其是后者,数据相对全况且覆盖度很广,显然不差钱各位可以选择去买威胁情报服务,更专业,
简单说一下威胁情报可以帮咱们干什么,威胁情报其实就是根据上面获得残破攻击者画像变得完整,威胁情报一般可以获得这個攻击者有哪些常用IP,这些IP分别都是干什么,有没有什么社交信息,社交信息又有什么关联,举個不恰当例子就是相当于你晓得一個人身份证号,而后警察用这個身份证号去查这個人有多少钱,资产有多少等等〔说到这里如有犯法请提醒一下,谢谢〕,这样你就可以获得一個较为完整攻击者画像,
到这里其实咱们晓得攻击者信息,就可以选择怎么搞定,拉倒办公室弹jj10分钟是一個搞定方案,扭送到警察蜀黍那里也是搞定方案,但是须要提醒大家注意执法力度、执法手段,别知法犯法〔逃,
其实广大保障运作工程师只是希望自保,对于这种他们是不care,但是对于保障研究人员,尤其是搞技术侦查想要搞黑产,其实黑产结构很简单,上图:
其实跟企业内部管理很类似,有统筹规划CEO〔金主〕、有负责开发CTO〔写病毒木马〕、有负责抓鸡硬件采购COO〔抓鸡〕、有负责IT架构管理CIO〔shell管理员〕、同时还有对外接单销售总监〔渠道〕,这样一整套背后都是金钱交易,紧接着倒霉,就是咱们广大网民,,
黑产就跟传销一样,进去出不来,主张大家珍爱生命远离黑产。