溯源反制技战法

前言

在攻防对抗当中由于攻守双方的信息不对等，导致了双方在对抗当中长期处于一种敌在暗、我在明，防守方防守手段单一只能被动挨打，而攻击方借助网络中的流量噪声将自己很好的隐藏在其中，使攻击行为淹没在大量的流量当中，防守方难以从中找到攻击者所在，无从识别攻击者身份。

为解决防守方被动局面，本文提出通过多维度分析访问IP数据，找出潜藏的攻击者，并且利用攻击者思维定式进行反向渗透溯源的技战术方法。

技战法思路

主要谋略思路是，抓取每日访问集团各数据中心的全流量IP信息，并通过四个层次的筛取，缩小排查范围，分析得出具有反向渗透价值的目标。

第一层次筛选通过IP归属地，已知的单位公网出口IP等对IP分类识别，排除正常业务访问的IP地址；

第二层次筛选，通过多数据中心同时产生访问的数据进行对比，缩小排查范围；

第三层次，通过与历史数据相对比，对演习期间新增访问数据进行重点分析；

第四层次，通过分析实际IP的访问请求、访问频率等具体行为分析锁定潜在攻击目标。锁定目标后，通过利用攻击者思维定式，进行反制溯源工作。

技战法详述

战法一 ：

基于访问数据多维度分析的隐藏攻击IP识别战法

为了找出潜藏在正常流量中的攻击者，在攻击发生前提前识别，我单位提出了基于访问数据多维度分析的攻击目标识别的技战法。

1、IP归属地过滤筛选方案

首先我们将已知的安全IP进行去除，利用开源IP地址库对剩余IP进行归属地标注，筛选其中各公有云厂商IP，公有云IP由于其易获取，方便架设攻击工具等特点，通常被攻击者使用。

演习中，将全集团演练开始后第一周的来访IP进行提取，进行去重后获得访问IP 136498个，排除演习前已报备的单位公共上网出口IP 238个，将剩余IP进行归属地识别。提取到带有公网IP可以作为攻击机、跳板机以及远程控制服务器的云主机IP地址7139个，将这些云主机IP进行单独提取以备进一步分析，但这样的筛选结果范围还比较大，需要进一步的精准提炼。

2、基于时间维度分析

将演练开始前三个月至半年的访问数据进行提取，与演练开始后的数据进行对比，通过对照可以有效的发现新增加的访问IP情况，新增部分往往包含为演习攻击者IP，通过此筛选方式进一步缩小排查范围，进行聚焦分析。

实践中采集了演习开始前三个月内IP访问情况的数据，作为对照，然后将演习开始后IP访问情况与之进行对比，从中提取出演习开始后增加的异常数据，获得新增IP 3176个。

3、基于地域维度分析

单位采用多地多中心部署方式，不同数据中心所处网络位置不同，如果多个数据中心同时新增了访问IP，则该IP为针对指定单位的攻击IP可能性将大大增加。

实践中采集北京和上海两个数据中心的IP访问数据，将两个数据中心采集的IP访问数据进行对比分析，找出共有的异常访问IP 2247个。

4、基于行为维度分析

由于大量的代理、爬虫以及黑产攻击也会使用云主机IP，这会对进一步的分析产生干扰，所以我们需要借助威胁情报、检查流量中包含的挖矿、DDoS脚本排除这些IP。

按上述方法排除掉那些代理IP、爬虫IP、国外黑产IP。通过以上四种维度的分析后，剩余IP 335个，这些极有可能是针对特定单位或行业的攻击队伍所使用。

在后续的持续监测中也印证了这些IP中确实被攻击队利用于后渗透阶段，对于及时发现隐藏的攻击行为，0DAY利用具有较好效果。

战法二 ：

利用攻击者思维定式，反向渗透的攻击反制溯源战法

为了从来访的高可疑IP中进一步获取有价值的信息用于溯源加分，我方提出了一种利用攻击者思维定式反向渗透的攻击反制溯源战法。

1、信息反向利用转守为攻

首先收集IP的信息，包括DNS历史解析记录、whois信息等。利用端口扫描等探测技术，查看各IP的端口开放情况。根据其端口业务的识别结果，判断该服务器在攻击方所发挥的作用，开放HTTP服务可用于远程攻击载荷投递、开放代理业务可用于流量代理中转等等。利用威胁情报平台获取IP的历史使用记录，分析域名解析记录和历史解析记录，历史开放端口情况，是否存在与之进行通讯的木马样本记录等。

2、利用攻击者攻击行为特征，反向渗透追踪攻击源头

在前序工作中，我们掌握了一批疑似攻击方开放的WEB服务IP地址，根据攻击行为特征对其进行专项分析，研判确定是否为攻击源。

1）检测是否存放攻击工具载荷、远控后门程序，以及攻击者使用频率较高的攻击脚本文件，如a.exe，ss.exe，1.bat，m.sh等。我方专门针对攻击者常用命名规则定制暴破字典库，以增加识别效率。

2）检测搭建的博客、论坛等系统，从其发布的文章分析在其他公开平台进行过署名投稿，是否包含有github、csdn等第三方平台账号信息，是否有邮箱地址、社交账号信息。

3）检测搭建的svn、git等代码托管平台，获取其中存放的源码信息，提取含有攻击者身份的代码资料。

利用这一方法我单位成功获取了大量攻击方用于扫描探测、远程控制的样本以及攻击者编写的代码文件，这对我们后续定位其身份，研判其攻击手法都起到了极大帮助。

3、身份画像确定攻击身份

结合以上获取的各类信息和情报，对攻击者的身份进行画像，进而尝试去溯源其真实身份。首先，利用IP地址的归属地和使用单位信息可以尝试溯源其使用的单位所属公司，判断公司属性以及关联性。其次，利用IP地址的域名解析和历史解析记录可以尝试溯源其使用者身份。最后，利用获取到的攻击工具、远控木马可以对其进行逆向分析，获取样本当中包含的远程回连地址、应用程序调试信息、第三方组件模块、Github等信息。本次我单位成功利用逆向分析出的信息定位到了攻击者身份，实现了反向渗透溯源。

这一战法中首次提出利用渗透技术反向进行攻击，将传统的被动防守，依赖蜜罐等待攻击，转变为主动出击反制反溯，开辟了一条防守方战法的新思路，为溯源得分提供一种新的途径。