前言
溯源的关键点在于利用开源情报对攻击者遗留的信息进行追踪,进一步来讲演练当中溯源得分点不如应急得分高,但是优势在于溯源一般可以在低风险的时候就开始着手。因为是利用开源情报追踪攻击者,因此是否定位到人并非得分的关键,关键在于报告当中的是否完整的、清晰的呈现了溯源链以及攻击链。
溯源
首先整理工作流,在攻击设备上看到攻击告警时先不要(慌张)想搞个大新闻先判断是否为误报,如确是攻击,根据源IP地址,代理字段、请求体内容等信息对攻击者进行溯源,在溯源的过程当中要谨记一点(威胁情报多由社区维护并不百分百准确),根据开源情报得到攻击者身份的相关信息例如手机号、邮箱地址、姓名、昵称等,身份画像结束之后,开始还原攻击链举例“先进行了扫描,扫描了那些端口,通过User-agent确定扫描器,重点关注那些漏洞等”,根据IP地址、相同的反连地址、反连主域等归纳总结攻击特征,来到最后一步输出报告。
切记报告一定要漂亮!切记报告一定要漂亮!切记报告一定要漂亮!
这是重要的得分点。
需要注意的是
一般溯源的技法教授文档当中都会列出反攻这个选项,不要对攻击机器做出攻击举动,例如反攻、扫描、漏洞利用等,溯源属于应急响应的一部分,而整个应急响应又是电子取证的一部分,被攻击者并没有攻击攻击者的权利和义务,当被攻击者攻击攻击者时,被攻击者就是攻击者,这是违法的,拿下攻击机之后的溯源流程因为不合法理整个报告也是无效的。
普通人不具备追踪人的能力,因此如果在溯源当中使用了一些魔法,不要写在报告当中,也不要过于相信魔法,魔法数据的来源来自泄露的信息,因为时效性多数时与攻击者是对应不上的,而且使用魔法也是违法行为。
列举一些我常用的开源情报在线工具,国内还有厂商的情报工具,例如奇安信、360、启明、绿盟等等,看自己习惯吧。
在线工具
微步情报社区:国内的老牌子情报社区了,功能经过最近一次的改版已经完全够用了
Virustotal:国外的老牌子情报社区,国内可直接访问,有IP的威胁情报也有云沙箱可以分析病毒。
地址:https://www.virustotal.com/gui/home/upload
Viewdns:有攻击者域名信息的条件下,查询历史whois信息
who.is:查询whois信息
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
