背景:
攻防演练过程中,攻击者千方百计使用各种方法渗透目标。一般情况下攻击链包括:侦察、武器化、交付、利用、安装、命令和控制、窃取目标数据。在溯源中,安全人员对攻击者某个阶段的攻击特点进行分析,再结合已掌握的威胁情报数据将攻击特点和数据聚类,能够有效掌握攻击者的攻击手法和 IP 、域名资产等。
目标:
掌握攻击者的攻击手法(例如:特定木马、武器投递方法);
掌握攻击者的 IP域名资产(例如:木马 C2、木马存放站点、资产特点);
掌握攻击者的虚拟身份、身份;
掌握攻击者武器的检测或发现方法,将捕获的数据形成新的线索。
方法论:
针对交付、利用、安装、命令和控制四个阶段捕获到的数据做深度分析,聚类提取数据特点形成规则。将规则应用于一些安全设备产出高可信度的告警用于防御,或者结合情报数据(如样本信息、域名信息、IP 信息等),将深度溯源的情报(如身份信息、攻击队伍等)产出。
1. 攻击链部分可溯源的关键点:
2. 攻击链利用阶段可溯源的方法及利用点:
攻击回溯的关键点主要分为两类:
攻击分类:根据攻击者的漏洞利用数据包特点(如:字符串格式、特殊字符串)。
攻击者信息:攻击者使用其公司(个人)特有的漏洞利用工具时,可能会在请求包中存在公司(个人)信息。
3. 钓鱼邮件可溯源方法及关键点:
发件 IP、发件账号、邮件内容(格式特点等)可用于将攻击者投递的邮件分类;
发件账号中可能存在个人信息,如:“账号@qq.com”、“昵称@gmail.com” 等此类字符串,检索该字符串可用于挖掘身份信息;<
最低0.47元/天 解锁文章
扫一扫
2794
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
