01 背景
攻防的视角里,进攻方往往会占据比较多的主动性,而防守方则略显被动。因为防守方很难预知下次一攻击会在什么时候发生,而攻击者渗透目标的方式却有千百种。一般情况下攻击链包括:侦察、武器化、交付、利用、安装、命令和控制、窃取目标数据等。如果防守方能在发现有入侵者后能够快速由守转攻,进行精准地溯源反制,利用收集攻击路径和攻击者身份信息勾勒出相对完整的攻击者画像,将会极大提升应急响应工作的效率和准确性,达到事半功倍的效果。
在溯源工作中,安全人员依据攻击事件获取的信息越多,攻击者的攻击画像就会越全面。对攻击者某个阶段的攻击特点进行分析后,再结合已掌握的威胁情报数据将攻击特点和数据聚类,能够有效掌握攻击者的攻击手法和ip&域名资产等。
因此如何在发现有攻击者之后快速对其进行精准地溯源反制,收集攻击路径和攻击者身份信息,描绘出完整的攻击者画像是溯源工作的重难点。本文将对溯源的目标,方法来分享溯源工作中的技巧和经验。
02 溯源目标
在溯源工作中首先要明确我们溯源的目标是什么,以及如何通过现有信息挖掘出更多有价值的线索,便于后期更清晰的描绘攻击者画像,通常情况,溯源的主要目标如下:
攻击者的攻击手法(特定木马、武器投递方法);
攻击者背后的 ip &域名资产(木马 c2、木马存放站点、资产特点);
攻击者的真实身份;
攻击者武器的检测或发现方法,将捕获的数据形成新的线索。
03 溯源方法
3.1 漏洞利用可溯源的思路
在攻击者通过已有漏洞攻击成功的安全事件中,通过回溯攻击可以获得一些有效信息,主要可以分为以下几类:
攻击分类:根据攻击者的漏洞利用数据包特点(字符串格式、特殊字符串)。
攻击者信息:攻击者使用其公司(个人)特有的漏洞利用工具时,可能会在请求包中存在公司(个人)信息。
3.2 钓鱼邮件可溯源的思路
在攻击者通过邮件钓鱼攻击成功的安全事件中,通过分析钓鱼邮件可以获得一些有效信息,主要可以分为以下几类:
发件 ip、发件账号、邮件内容(格式特点)可用于将攻击者投递的邮件分类;
发件账号中可能存在个人信息,如:“账号@qq.com”、“昵称@gmail.com” 等此类字符串,检索账号或昵称id可用于挖掘身份信息;
邮件内容大致可分以下三类:投递物(后门木马、其他攻击组件);钓鱼网站,包含域名、ip 等信息;其他,需要研究邮件中的字符串,邮件可能存在攻击者的其他账号;
发件 ip、发件服务器(此类属攻击者资产)。
3.3 后门木马可溯源的思路
后门木马及攻击组件也是重要的溯源线索,在已有信息有限的情况下,分析遗留的攻击文件往往可以取得不错的效果,主要思路如下:
代码逻辑:由于人天生的惰性,红队开发者可能会复用以前的一些代码。如果代码特点比较明显,可依此进行分类拓线。
字符串特点:字符串特点用于将红队投递的样本分类及拓线出更多的样本,将检索到的样本再进行分析并分析历史样本(如测试阶段的样本)查找更多暴露信息。
元数据:(投递的诱饵不同,得到的元数据不同。诱饵类型包括:lnk、exe、docx等)。exe 文件:存在 pdb 信息,部分开发人员会将项目存放在桌面,这会导致编译信息带入开发人员的终端名称(极大可能为个人昵称);lnk 文件:由于 lnk 文件在新建的时候会带入计算机名称,这可以用于样本的拓线和分类,极少情况下可找到个人昵称;docx 文件:可能存在“最后编辑者名称”。
回连 c2:c2属攻击者资产。
3.4 攻击者资产可溯源的思路
域名自身特点(昵称字符串);
搭建网站(通过图中四种方法探测资产的现有数据和历史数据)。网站可能存在红队的其他攻击组件;网站存在个人昵称、简介等;网站备案信息;
whois 信息,可能包含:注册者邮箱、电话号码等;
ip 信息需要考虑如下两点:是否定位到某个安全公司的地理位置;是否标记为某个安全公司的网关。
04 溯源技巧
攻击ip,攻击类型,恶意文件,攻击详情等信息都是溯源的切入点,通过攻击类型来分析攻击详情的请求包可以查找有没有攻击特征遗留,对ip地址进行威胁情报查询可以判断对方所用的ip是否为代理ip,以便于进步一追溯攻击者信息。
攻击流量中的攻击ip位置:
内网穿透工具配置文件中的攻击ip位置:
获取到的ip线索可以在各种威胁情报共享站点进行查询,但获取到的信息需要进行二次验证,如查看域名解析,进行whois查询等。在实战过程中,我们大部分反查ip的域名都获取不到有效信息,此时需要耐心细心,通过查询历史注册域名等方式不断反查来寻找更多有效线索。
在获取到目标手机号之后,接下来可以通过该手机号近一步确认是否为网安从业者,搜索关联qq或者微信进行辅助验证,获取到目标姓名之后可以利用支付宝付款辅助验证,或者通过该功能尝试反查目标姓名。
05 总结
溯源作为安全事件发生后应急响应工作的重要组成部分,通过对受害资产和流量包进行分析一定程度上可以还原攻击者的攻击路径与攻击手法,有助于修复漏洞与风险避免二次事件的发生,且其攻击思路可以转化为防御优势。如果安全运营人员能够从攻击事件中不断积累和强化防御经验,能够做到积极主动且有预见性,那么应急响应工作就能有更大的发挥空间来帮助我们构造更坚固的安全防线。