国家外汇管理局网站怎么做报告,网页qq登录保护不再开启入口,江西赣州网络公司,广告联盟 wordpress溯源技巧 大致思想
通常情况下#xff0c;接到溯源任务时#xff0c;获得的信息如下
攻击时间
攻击 IP
预警平台
攻击类型
恶意文件
受攻击域名/IP其中攻击 IP、攻击类型、恶意文件、攻击详情是溯源入手的点。
通过攻击类型分析攻击详情的请求包#xff0c;看有没有攻击者…溯源技巧 大致思想
通常情况下接到溯源任务时获得的信息如下
攻击时间
攻击 IP
预警平台
攻击类型
恶意文件
受攻击域名/IP其中攻击 IP、攻击类型、恶意文件、攻击详情是溯源入手的点。
通过攻击类型分析攻击详情的请求包看有没有攻击者特征通过获取到的 IP地址进行威胁情报查询来判断所用的 IP 具体是代理 IP 还是真实IP地址。
如端口扫描大概率为个人 vps 或空间搜索引擎在接到大量溯源任务时可优先溯源。如命令执行大概率为未经任何隐匿的网络、移动网络、接到脚本扫描任务的肉鸡在接到大量溯源任务时可优先溯源。如爬虫大概率为空间搜索引擎可放到最后溯源。如恶意文件可获得 c2 地址、未删除的带有敏感信息的代码如常用 ID、组织信息、持续化控制代码C2 地址指在 APT 攻击里的命令与控制若获取到 C2地址可以使我们的溯源目标更有针对性持续化控制代码需要详细分析如采用 DGA 域名上线的方法分析出域名算法预测之后的域名可有效减少损失增加溯源面。
溯源结果框架
在受到攻击、扫描之后进行一系列溯源操作后理想情况下想要获得如下数据来刻画攻击者画像。
姓名/ID
攻击 IP
地理位置
QQ:
微信
邮箱
手机号
支付宝
IP 地址所属公司
IP 地址关联域名
其他社交账号信息如微博/src/id 证明
人物照片
跳板机可选
ps以上为最理想结果情况溯源到名字公司加分最高在写溯源报告时应避免单一面石锤需要反复验证避免中途溯源错人各个溯源线索可以串起来要具有逻辑性。
溯源常用手法
本节将按照获取到的数据展开分来来讲最后可能融会贯通互相适用。
威胁情报平台
https://x.threatbook.cn/ https://ti.qianxin.com/https://ti.360.cn/ https://www.venuseye.com.cn/
不要过于依赖威胁情报仅供参考 平台大多为社区维护存在误报以及时效性问题可能最后跟真正攻击者毫无关系。
已知域名-》获取信息
历史 whois
通过威胁情报平台我们可以获取域名解析记录、历史 whois、子域名、SSL正式等
https://whois.chinaz.com/reverse?ddlSearchMode4
https://community.riskiq.com/
可获得
ID
姓名
邮箱SSL 证书
可获得
ID
邮箱解析记录
通过解析记录可以获得域名 A 记录从而获取到域名后的 IP 地址。 A 记录 —— 映射域名到一个或多个 IP
CNAME—— 映射域名到另一个域名子域名
域名解析记录http://www.jsons.cn/nslookup/
全球 ping查看现绑定 ip看是否域名使用了 CDN 技术。 http://ping.chinaz.com/
fofa
已知** IP** -》获取信息
反查域名
威胁情报平台 https://www.ipip.net/ip.htmlhttps://www.aizhan.com/https://www.whois.com/
IP 信息
威胁情报平台https://www.ipip.net/http://ipwhois.cnnic.net.cn/index.jsp
可获得
是否为移动网络、IDC 等
IP 段所属公司IP 定位
https://chaipip.com/https://www.opengps.cn/Data/IP/ipplus.aspx
已知 ID/姓名/手机号/邮箱-》获取信息
手机号/邮箱
sgk 社工库
查支付宝转账验证姓名。
通过部分平台账号找回密码可猜手机号。
QQ 添加好友搜索
微信添加好友搜索
查询注册平台https://www.reg007.com/
社交平台查找抖音、脉脉搜索等
ID/姓名
sgk
谷歌/百度
src 搜索
微博搜索
贴吧搜索
社交平台查找抖音、脉脉搜索等
已有恶意文件-》获取信息
恶意文件通常会从邮件的路径获得可以将邮件全格式保存用十六进制编辑器查看可以获得发送邮件 IP 地址。
需要准备的工具
逆向类
Ida
JEB
文件编辑类
010 editor
Winhex网络、进程监控类
processmonitor
Wireshark
科来网络分析系统
SRsniffe固件分析类
Binwalk
BIN2BMP
PIXD**在线沙箱 **
微步云沙箱 https://s.threatbook.cn/ 奇安信云沙箱 https://sandbox.ti.qianxin.com/sandbox/page 腾讯哈勃 https://habo.qq.com/ Joe Sandboxhttps://www.joesandbox.com/
恶意文件的常规溯源手法
文件识别
常见的可执行程序格式有 PEELFMACH-O 等不同的格式有不同的标志信息参考理论篇知道了目标文件的格式后才能确定对应的分析方法和分析工具。
可以使用 16 进制解析器载入可执行程序然后查看是哪种类型的文件。 一般二进制文件的前四个字节为文件格式的 magic可以通过从网络搜索获得文件的信息或者使用相关的工具PEIDfile等进行自动识别。
计算哈希值
哈希是一种用来唯一标识目标程序的常用方法。目标程序通过一个哈希算法会产生出一段唯一的用于标识这个样本的哈希值我们可以将这个值理解为是目标程序的指纹。常用的哈希算法有 MD5、Sha-1 以及 CRC32 等。由于仅仅采用一种算法特别是 MD5 算法有可能使得不同程序产生同样的哈希结果所以一般会运用多种哈希验证文件的唯一性。 查找字符串
程序中的字符串就是一串可打印的字符序列一个程序通常都会包含一些字符串比如打印输出信息、连接的 URL或者是程序所调用的 API 函数等。从字符串中进行搜索是获取程序功能提示的一种简单方法。在 IDA 和 OD 中都可以查找字符串并不是所有的字符串都是有意义的但是利用这个结果也能够给我们的静态分析带来很大的便利了。 查找导入函数
如果软件被加壳的话那么导入表中的函数会很少所以可以从这里判断文件是否被加壳。如果没有加壳那么导入表中会列出程序使用的大部分函数除去程序动态获得的我们就可以通过这些函数大致判断一下程序的行为。 解析宏
使用 IDA 反汇编程序的时候IDA 并不会将宏的名字解析出来相反它只会使用宏对应的数字进行显示如下如所示 如果只看这些数字完全无法得知什么情况好在 IDA 提供了解析机制可以将数字转换为宏名。在对应的数字上右键选择 Enum
然后在弹出的对话框中选择对应的宏即可
替换后的结果如下这样的话就方便了静态查看代码 侦壳操作
病毒木马编写者经常会使用加壳技术来让他们的恶意程序难以被检测或分析。正常的程序总是会包含很多字符串。而加了壳的恶意代码通过分析所得到的可打印字符串就会很少。如果查找出的程序的字符串很少时那么这个程序就很有可能是加了壳的。此时往往就需要使用其它方法来进一步检测它们的行为。(常用 PEiD进行查壳) 动态调试
使用调试器对病毒进行分析在反病毒工作中扮演着十分重要的角色。调试器允许你查看任意内存地址的内容、寄存器的内容以及每个函数的参数。调试器也允许你在任意时刻改变关于程序执行的任何东西。比如你可以在任意时刻改变一个变量的值——前提是你需要获得关于这个变量足够的信息包括在内存中的位置。 在实际的动态调试过程中最常用的是 OllyDBG 和 WinDbg前者是病毒分析人员使用最多的调试器缺点是不支持内核调试如果想调试内核WinDbg 基本上就是唯一的选择了。虽然 IDA Pro 也能够进行动态调试但是它远远不如 OD方便。因此在实际分析的过程中往往是将二者结合使用的。因为如果用 IDA Pro在静态分析中遇到了十分抽象的函数那么用 OD 动态地执行一下该函数的功能往往就能一目了然了
多线程调试
D 调试软件时它每次只能跟一个线程如果遇到的软件创建了很多线程那么调试起来就比较麻烦了本节介绍一下多线程的调试方法。
首先看一下线程创建的函数
HANDLE CreateThread(
LPSECURITY_ATTRIBUTES lpThreadAttributes,//SD
SIZE_T dwStackSize,//initialstacksize
LPTHREAD_START_ROUTINE lpStartAddress,//threadfunction
LPVOID lpParameter,//threadargument
DWORD dwCreationFlags,//creationoption
LPDWORD lpThreadId//threadidentifier
)
重点看第三个和第四个参数其中第三个参数指定了新线程的入口地址第四个参数为新线程所需的参数当程序调用此函数来创建线程的时候定位到线程的入口地址设置断点一般情况下程序会在后面调用 Sleep 或 WaitForSingleObject函数这样的话程序的控制权就到了新线程里面。
如果程序没有调用 Sleep 或 WaitForSingleObject 函数那么可以修改函数的代码强制程序调用这两个函数这样程序就转到新线程中执行。另一种方法是修改程序的 EIP使其指向新线程入口如果有参数的话还要修改寄存器的值使其指向参数地址不过这种方法可能会造成寄存器内容不正确环境异常从而造成程序执行崩溃。
还有一种方法来调试多线程。如果程序多次调用 CreateThread确定一个我们打算调试的线程并让这个线程创建成功当程序再调用 CreateThread 创建线程的时候直接修改此函数让它直接返回这样就不会再创建线程了我们就可以只调试一个线程。
调试子进程
有些样本并不是单独运行的它在运行过程中可能会创建子进程来完成恶意功能遇到这种情况就需要进入子进程中进行调试。如果父进程创建子进程时是以 suspended 的方式创建的那么父进程会向子进程进行代码注入写入之后会调用 ResumeThread 函数恢复子进程的运行。遇到这种情况要确定父进程写入代码的地址当代码写入之后调用 ResumeThread恢复子进程运行前附加到子进程中在代码注入的地址下断点并 F9 让子进程运行。这时再回到父进程中运行函数 ResumeThread这样子进程就可以断在 代码注入的地址了。
还有一种创建子进程的方式就只是简单的开启一个子进程运行这种情况比较简单需要注意的一点就是父进程创建子进程时传给子进程的参数使用 OD 打开要运行的子进程传入所需的参数即可开始调试。
已知跳板机-》获取信息
本节进行跳板机上信息搜集查看跳板机是被哪个 IP 入侵的是否留下一些黑客工具带有个人或组织信息继续向上溯源。
本节需要溯源人员对 linux 及 windows 系统命令有一定掌握。
如何攻破跳板机
一般跳板机大多数为黑客的全网漏洞扫描脚本批量攻击拿下的肉鸡故其比较容易拿下。不排除黑客通过定点、手动攻击、购买等途径获得的跳板机。
进行全端口探测、尝试默认密码、找 Web 服务进行攻击。
一些影响范围广泛、利用简单的漏洞 如Phpstudy 后门、Weblogic 漏洞、Struts2漏洞、路由器监控摄像器等终端漏洞。
遇到 CS server 可通过 csbruter 工具爆破密码。
常见的日志分析工具
windowslogparser
linux主要为一些命令的使用例如split sed cat sort uniq awk 等
跳板机的溯源
跳板机的溯源过程可以主要从端口、进程、定时任务、日志来入手
跳板攻击原理及如何追踪定位攻击者主机上 - 知乎 (zhihu.com)
跳板攻击原理及如何追踪定位攻击者主机下 - 知乎 (zhihu.com)
