本文探讨了网络攻击中的溯源与反溯源技术。通过信息搜集、CC(CMC)服务器分析和蜜罐等手段,可以追踪攻击者。蜜罐可以诱导攻击者运行预设程序,暴露其信息。通过CC服务器IP,可以查询威胁情报和网络资产记录,进一步溯源。如果攻击者使用跳板服务器,可通过攻陷跳板主机反制。聪明的攻击者会修复跳板漏洞,增加溯源难度。
最近有很多小伙伴希望我讲一讲关于这个溯源与反溯源的一些事,在我们这个实际的这个工作中他经常会被攻击,然后我们就需要去溯源这个攻击者,然后这个攻击者肯定也是不希望自己被溯源到,就不希望自己被查到这个个人信息或者真实身份这些,所以这个攻击者可能也希望能够说反溯源,我给小伙伴们来讲一讲关于溯源与反溯源,一般情况下咱们渗透进这个目标有关服务器都会进行提前信息搜集,然后运行相关的这个权限维持程序,常见的比如说像这个power,还有这个可执行文件或者一些脚本,还有我们常说的木马远控这一类的,这个一般说为了扩大战果,维持对目标的控制,当然了有很多情况下还没有来得及到这一步,我们就发现了这个被攻击的情况,还没有到这个被植入脚本或者一些木马的这一步的时候,我们就可以及时的修补漏洞查日志,然后获取到攻击者的IP或者攻击者的这个跳板IP,之后就可以开始溯源,在溯源的这个阶段就可以更省事一些,咱们自身受到这个攻击的风险也更小,可以绕过分析攻击者的脚本或程序,而直接得到这个CC服务器的这个IP等信息。
那么溯源一般分为三个方向,第一个就是蜜罐,可以获取到更多更直观的这个攻击者信息,甚至很多蜜罐现在可以反向诱导这个攻击者去运行蜜罐,提前准备好的这个控制,或者信息收集的这些程序。如果提前部署好蜜罐,并且攻击者真的中招的话,咱们后面就可以去很容易的溯源到攻击者,甚至反过来控制这个攻击者的机器。
第二个分析攻击者所运行的power脚本,或者远控程序的这个CC服务器,也我刚才提到那个CC服务器,这个CC服务器其实应该是叫做这个CMC服务器,但是很多时候为了这个说起来方便就称之为这个CC服务器,它这个 common and control server的这个缩写,也命令和控制服务器。
简单来说这个 CMC服务器指这个攻击者的控制端服务器,那控制端服务器做什么事,对这个被控制的服务器里头,攻击者已经植入好的这个木马呀或者脚本,进行这个发号施令。
最低0.47元/天 解锁文章
扫一扫
2029
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
