东莞网站制作培训,网站 广州,wordpress入门教程8,关于申请网站建设的报告常见溯源#xff0c;反溯源#xff0c;判断蜜罐手段 1.溯源手段2.反溯源手段3.如何判断蜜罐#x1f36f;4.案例#xff1a;MySQL读文件蜜罐 1.溯源手段
IP地址追踪#xff1a;通过IP地址追踪可以确定攻击者的地理位置和ISP信息等#xff1b;通过攻击IP历史解析记录/域名… 常见溯源反溯源判断蜜罐手段 1.溯源手段2.反溯源手段3.如何判断蜜罐4.案例MySQL读文件蜜罐 1.溯源手段
IP地址追踪通过IP地址追踪可以确定攻击者的地理位置和ISP信息等通过攻击IP历史解析记录/域名对域名注册信息进行溯源分析ID追踪术搜索引擎、社交平台、技术论坛、社工库匹配日志分析如登录失败、文件访问、网络流量等等。通过日志分析可以确定攻击者的IP地址、攻击时间、攻击方式等信息样本分析提取样本特征、用户名、ID、邮箱、C2服务器等信息流量分析例如大量的传出流量、疑似数据包嗅探、网络扫描等等威胁情报分析使用威胁情报分析技术收集、分析和利用公开和私人的威胁情报电子邮件头分析邮件头、邮件源代码中包含了一些关于发送方和接收方的信息例如IP地址、电子邮件客户端类型等数字取证利用磁盘取证技术可以分析硬盘中的数据和文件找到攻击者留下的痕迹和证据 利用内存取证技术可以分析内存中的数据和进程 利用网络取证技术可以分析网络中的数据包和流量蜜罐捕获 使用蜜罐对攻击者进行诱导捕获
案例一通过恶意样本分析进行溯源反制
在一次恶意软件攻击事件中我们发现了一封携带恶意附件的电子邮件。通过对恶意样本的分析我们提取出了样本的特征、用户名、ID、邮箱等信息。同时通过对C2服务器的分析我们发现了攻击者的命令和控制通道。结合这些信息我们进一步同源分析了其他类似恶意样本发现了一些共同的特征和手法。根据这些线索我们成功定位到了攻击者的个人ID和QQ号。最终我们通过社交平台和相关机构合作找到了攻击者的真实身份并采取了相应的反制措施
案例二通过域名解析信息进行溯源反制
在一次DDoS攻击事件中我们发现攻击流量来自于大量的虚假IP地址。通过对流量的深入分析我们发现这些虚假IP地址是通过域名解析的方式获得的。于是我们对攻击IP的历史解析记录进行了溯源分析发现这些记录与一个域名有关联。进一步查询该域名的注册信息我们发现该域名是由一个组织注册的。最终我们定位到了该组织为攻击者的身份并采取了相应的反制措施
案例三通过IP定位技术进行溯源反制
在一次网络攻击事件中安全设备报警显示有一台服务器被扫描。通过对日志和流量的分析发现该服务器的IP地址在短时间内出现了大量的异常请求。为了查明攻击者的真实身份我们采用了IP定位技术。通过反向查询攻击IP的历史解析记录我们发现该IP地址与一个代理IP有关联。进一步溯源分析代理IP的注册信息最终定位到了攻击者的地理位置和真实身份。随后我们采取了相应的反制措施包括关闭被攻击的服务器、报警并通知相关机构等 2.反溯源手段
攻击网络隐匿流量统一经网关走VPN网络接入点匿名、途径节点匿名且加密、使用的公网服务器匿名进出任何需要交互操作的地方都需要挂上全局代理杜绝安全恶习所有工作均在虚拟机进行不同需求开发、渗透分配不同虚拟机绝不使用弱密码账户混用比如在项目A中用了一个匿名邮箱或者其他什么账户在项目B中继续使用密码通用不要留下蛛丝马迹杜绝早期目标调研的时候用真实IP去访问自写工具留下特征值小心蜜罐看起来很多漏洞的站点有明显的弱密码可以进后台小心做任何事之前使用插件判断是否为蜜罐删除日志 kill bash process ID 终止bash进程 set o history 不写入历史记录 unset HISTFILE 清除历史记录的环境变量 3.如何判断蜜罐
1、基于蜜罐指纹的识别
对蜜罐而言会留下属于它独特的指纹信息所以识别直接部署的开源蜜罐比较简单使用工具跑已知指纹即可
除了开源蜜罐外一些商业蜜罐也会留下指纹信息除了蜜罐的客户端外蜜罐的管理端也可以通过指纹进行识别
2、基于溯源方式的识别
很多商业蜜罐都会使用各大厂商如淘宝、百度、京东等的前端漏洞来获取攻击者的身份信息。该技术主要依靠主流厂商的jsonp或xss漏洞将这些漏洞积聚成前端的js水坑代码当用户浏览器解析到这些js请求时跨域获取该用户在这些主流应用中的指纹信息从而达到身份溯源的目的chrome80以后不行了
实际执行jsonp或xss的请求是在用户侧进行的这个原生请求是无法做加密或混淆的。当我们发现在访问某个应用系统时有大量对各大主流厂商的ajax请求时大概率就是遇到蜜罐了
3、基于配置失真的识别
蜜罐系统为了捕获攻击行为会让自己变得“特别容易被识别”从而导致配置失真通常该类蜜罐会在server、header、title等字段里会返回大量的特征信息如从server里发现一个系统既是iis也是apache的这在逻辑上就是不合理的是典型的蜜罐特征
除此之外蜜罐系统开放的端口也可能导致配置失真。如一台服务器同时开放了22和3389端口或是8080端口显示windows而8081显示ubuntu。以上都是不符合常理的端口配置
4、检测虚拟机特征
我们可以通过检测虚拟机特征来初步判断是否处在一个蜜网内
VM虚拟机常用mac地址前缀00-05-6900-0C-2900-50-56等判断 OpenVZ/Xen PV/UML此方式是一种常见且比较准确的识别虚拟机的方式
5、基于伪造场景的识别
在一些高交互的蜜罐中为了引诱攻击者对系统进行攻击蜜罐通常设置的非常真实不仅贴合业务并且在还在攻击者的一些常用攻击套路上“设坑诱捕”
例如手机号诱捕识别手机号诱捕主要基于让用户自发输入手机号来获得其真实电话号码常用的场景来在于短信验证码。使用手机号诱捕的核心思路还是在于如何引诱攻击者使用自身手机号来收取验证码完成系统敏感操作。蜜罐会构造一些特殊的场景来实现反制的隐蔽性例如故意泄漏陷阱站点的源码文件然后在源码文件中预设上传漏洞在上传漏洞的利用条件里加上必须返回短信验证码才能实现成功上传攻击者按照一套流程走下来后往往会放心戒心认为这并不是一个蜜罐为了获取webshell而使用自身的手机号从而获取到该类信息 4.案例MySQL读文件蜜罐
在MySQL中LOAD DATA INFILE 语句可以从文本文件中读取行到表中
该功能默认是关闭的开启之后我们就可以通过如下命令进行文件读取并且写入到表中
load data local infile C:/1.txt into table test fields terminated by \n;在MySQL协议中客户端本身不存储自身的请求而是通过服务端的响应来执行操作也就是说我们如果可以伪造Greeting包和伪造的文件名对应的数据包我们就可以让攻击者的客户端给我们把我们想要的文件拿过来
过程大致如下
1、首先我们将Greeting包发送给要连接的客户端这样如果客户端发送查询之后我们返回一个Response TABULAR数据包并且附上我们指定的文件我们也就完成了整个任意文件读取的过程
2、我们传输这个文件读取的数据包时需要等待一个来自客户端的查询请求才能回复这个读文件的请求幸运的是大多数MySQL客户端以及程序库都会在握手之后至少发送一次请求以探测目标平台的指纹信息
3、综上我们可以恶意模拟一个MySQL服务端的身份认证过程之后等待客户端发起一个SQL查询之后响应的时候我们将我们构造的Response TABULAR发送给客户端也就是我们LOAD DATA INFILE的请求这样客户端根据响应内容执行上传本机文件的操作我们也就获得了攻击者的文件信息
