溯源反制技战法

本文涉及的产品
全局流量管理 GTM,标准版 1个月
云解析 DNS,旗舰版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
简介: 溯源反制技战法

前言

在攻防对抗当中由于攻守双方的信息不对等,导致了双方在对抗当中长期处于一种敌在暗、我在明,防守方防守手段单一只能被动挨打,而攻击方借助网络中的流量噪声将自己很好的隐藏在其中,使攻击行为淹没在大量的流量当中,防守方难以从中找到攻击者所在,无从识别攻击者身份。


为解决防守方被动局面,本文提出通过多维度分析访问IP数据,找出潜藏的攻击者,并且利用攻击者思维定式进行反向渗透溯源的技战术方法。


技战法思路

主要谋略思路是,抓取每日访问集团各数据中心的全流量IP信息,并通过四个层次的筛取,缩小排查范围,分析得出具有反向渗透价值的目标。

第一层次筛选通过IP归属地,已知的单位公网出口IP等对IP分类识别,排除正常业务访问的IP地址


第二层次筛选,通过多数据中心同时产生访问的数据进行对比,缩小排查范围;


第三层次,通过与历史数据相对比,对演习期间新增访问数据进行重点分析;


第四层次,通过分析实际IP的访问请求、访问频率等具体行为分析锁定潜在攻击目标。锁定目标后,通过利用攻击者思维定式,进行反制溯源工作。


技战法详述

战法一 :

基于访问数据多维度分析的隐藏攻击IP识别战法

为了找出潜藏在正常流量中的攻击者,在攻击发生前提前识别,我单位提出了基于访问数据多维度分析的攻击目标识别的技战法。


1、IP归属地过滤筛选方案


首先我们将已知的安全IP进行去除,利用开源IP地址库对剩余IP进行归属地标注,筛选其中各公有云厂商IP,公有云IP由于其易获取,方便架设攻击工具等特点,通常被攻击者使用。


演习中,将全集团演练开始后第一周的来访IP进行提取,进行去重后获得访问IP 136498个,排除演习前已报备的单位公共上网出口IP 238个,将剩余IP进行归属地识别。提取到带有公网IP可以作为攻击机、跳板机以及远程控制服务器的云主机IP地址7139个,将这些云主机IP进行单独提取以备进一步分析,但这样的筛选结果范围还比较大,需要进一步的精准提炼。


2、基于时间维度分析


将演练开始前三个月至半年的访问数据进行提取,与演练开始后的数据进行对比,通过对照可以有效的发现新增加的访问IP情况,新增部分往往包含为演习攻击者IP,通过此筛选方式进一步缩小排查范围,进行聚焦分析。


实践中采集了演习开始前三个月内IP访问情况的数据,作为对照,然后将演习开始后IP访问情况与之进行对比,从中提取出演习开始后增加的异常数据,获得新增IP 3176个。


3、基于地域维度分析


单位采用多地多中心部署方式,不同数据中心所处网络位置不同,如果多个数据中心同时新增了访问IP,则该IP为针对指定单位的攻击IP可能性将大大增加。


实践中采集北京和上海两个数据中心的IP访问数据,将两个数据中心采集的IP访问数据进行对比分析,找出共有的异常访问IP 2247个。


4、基于行为维度分析


由于大量的代理、爬虫以及黑产攻击也会使用云主机IP,这会对进一步的分析产生干扰,所以我们需要借助威胁情报、检查流量中包含的挖矿、DDoS脚本排除这些IP。


按上述方法排除掉那些代理IP、爬虫IP、国外黑产IP。通过以上四种维度的分析后,剩余IP 335个,这些极有可能是针对特定单位或行业的攻击队伍所使用。


在后续的持续监测中也印证了这些IP中确实被攻击队利用于后渗透阶段,对于及时发现隐藏的攻击行为,0DAY利用具有较好效果。


战法二 :

利用攻击者思维定式,反向渗透的攻击反制溯源战法

为了从来访的高可疑IP中进一步获取有价值的信息用于溯源加分,我方提出了一种利用攻击者思维定式反向渗透的攻击反制溯源战法。


1、信息反向利用转守为攻


首先收集IP的信息,包括DNS历史解析记录、whois信息等。利用端口扫描等探测技术,查看各IP的端口开放情况。根据其端口业务的识别结果,判断该服务器在攻击方所发挥的作用,开放HTTP服务可用于远程攻击载荷投递、开放代理业务可用于流量代理中转等等。利用威胁情报平台获取IP的历史使用记录,分析域名解析记录和历史解析记录,历史开放端口情况,是否存在与之进行通讯的木马样本记录等。


2、利用攻击者攻击行为特征,反向渗透追踪攻击源头


在前序工作中,我们掌握了一批疑似攻击方开放的WEB服务IP地址,根据攻击行为特征对其进行专项分析,研判确定是否为攻击源。


1)检测是否存放攻击工具载荷、远控后门程序,以及攻击者使用频率较高的攻击脚本文件,如a.exe,ss.exe,1.bat,m.sh等。我方专门针对攻击者常用命名规则定制暴破字典库,以增加识别效率。

2)检测搭建的博客、论坛等系统,从其发布的文章分析在其他公开平台进行过署名投稿,是否包含有github、csdn等第三方平台账号信息,是否有邮箱地址、社交账号信息。

3)检测搭建的svn、git等代码托管平台,获取其中存放的源码信息,提取含有攻击者身份的代码资料。

利用这一方法我单位成功获取了大量攻击方用于扫描探测、远程控制的样本以及攻击者编写的代码文件,这对我们后续定位其身份,研判其攻击手法都起到了极大帮助。


3、身份画像确定攻击身份


结合以上获取的各类信息和情报,对攻击者的身份进行画像,进而尝试去溯源其真实身份。首先,利用IP地址的归属地和使用单位信息可以尝试溯源其使用的单位所属公司,判断公司属性以及关联性。其次,利用IP地址的域名解析和历史解析记录可以尝试溯源其使用者身份。最后,利用获取到的攻击工具、远控木马可以对其进行逆向分析,获取样本当中包含的远程回连地址、应用程序调试信息、第三方组件模块、Github等信息。本次我单位成功利用逆向分析出的信息定位到了攻击者身份,实现了反向渗透溯源。


这一战法中首次提出利用渗透技术反向进行攻击,将传统的被动防守,依赖蜜罐等待攻击,转变为主动出击反制反溯,开辟了一条防守方战法的新思路,为溯源得分提供一种新的途径。

相关文章
|
安全 搜索推荐 NoSQL
小心被溯源反制,还不注意??
小心被溯源反制,还不注意??
174 0
|
运维 监控 安全
【网络安全】护网系列-社工&溯源
【网络安全】护网系列-社工&溯源
1021 0
|
4月前
|
安全 网络协议 机器人
溯源 - 蜜罐 01
溯源 - 蜜罐 01
42 8
|
存储 安全 SoC
网络溯源-PSEXEC-简单
我们的入侵检测系统(IDS)已发出警报,指示涉及使用PsExec的可疑横向移动活动。为了有效响应此事件,您作为 SOC 分析师的角色是分析存储在 PCAP 文件中的捕获网络流量。
|
JSON 安全 关系型数据库
实战 | 记一次曲折的钓鱼溯源反制2
实战 | 记一次曲折的钓鱼溯源反制
159 0
|
SQL 前端开发 Linux
实战 | 记一次曲折的钓鱼溯源反制1
实战 | 记一次曲折的钓鱼溯源反制
101 0
|
供应链 安全 搜索推荐
浅谈网络攻击追踪溯源
浅谈网络攻击追踪溯源
|
机器学习/深度学习 安全 大数据
“撞库”成网络黑产源头 从技术和机制寻找解决之道
“撞库”成网络黑产源头 从技术和机制寻找解决之道
“撞库”成网络黑产源头 从技术和机制寻找解决之道