安全分析--追踪溯源的找人思路
安全分析–追踪溯源的找人思路
零、绪论:
一旦发生攻击行为,确定攻击者或者说是责任人一般是定损止损快速恢复业务之后的第二反应。谁要为事件负责?谁该承担责任变成了进一步追查的目标。可是在网络攻击行为中能够查到人或者组织谈何容易,一般能够抓到攻击者或者攻击组织的大约能到30%就很不错了。但是呢下面还是从几个维度谈谈如何找人。
一、公司或组织内部的异常操作者
一般异常操作者,这里我们指误操作者,不是有意进行的攻击行为,所以不会进行诸如IP隐藏、日志删除等等行为。
1、从内部监控设备或者受攻击设备上面调取日志,查询到IP、根据资产登记情况追溯到个人就可以了。
2、一般异常操作者,可追查到IP但是资产没有归属登记的。可以根据内部相关信息查询。第一观察此IP访问的邮箱、QQ号等互联网账号的相关情况,如果有可以关联到内部人员。
3、查看主机名(与域控通信中一般会有相关信息),或者系统指纹等等,然后根据域控信息查询到姓名或者手机号或者工号,可以完成对应。
4、内网服务器,没有域控的,可以查看那个IP登录了相关联的21、22、23、3389等端口,查到源IP,根据源IP进行上述查询。
二、公司内部的攻击者
如果是公司内部的攻击者,尤其是熟悉内部网络架构的攻击者,对于追溯攻击来源是一种挑战。因为他可能是熟悉安全攻防的专家,又了解内部网络架构,可以抹除痕迹,避开监控等等,但是总有蛛丝马迹留存。
1、收集相关信息,能有多少收集多少,根据一中的方法进行查询。
2、判断攻击方式和手法,例如WEB攻击一般来源于熟悉WEB安全攻防的团队人员,恶意样本攻击很可能来自二进制或者系统安全人员的攻击。然后结合攻击手法是否是熟悉的特征并结合1中的一些信息综合判断。(备注:其实每个人都有其独特的攻击特征,现在广泛的要求建立攻击者画像就是可以做这个内容)。
三、公司外部的攻击者
这里一般分为两种人:
1、一般白帽子和脚本小子:
这一类攻击者,对自身的防护也不是很强,(可以参考世纪佳缘案呵呵哒,广大白帽子还是不要刷世纪佳缘了呵呵哒),触发报警或者被日志审计是很正常的,根据IP追踪地理位置;如果是白帽子结合公司SRC的白帽子数据库可以基本确定,如果是脚本小子,可以追查到IP或者地理位置就很不容易了。脚本小子群体数量庞大,没有明显的极具特征的标识,有时候可以通过测试用的ID来搜索一些论坛。社交平台从而发现攻击者。一般而言这类攻击者造成的损失不会太大。
2、针对性攻击者:
这一类攻击者最为麻烦,一般包括专业间谍、竞争对手的攻击团队、专业的攻击组织,例如一些APT组织。出名的海莲花啊等等。这一类攻击者的特点:
(1)攻击手段多样:包括鱼叉钓鱼、恶意样本(PDF或者DOC类文档)、木马后门、暴力破解、水坑攻击、DDOS、网络以及应用层多重攻击手段、社会工程学攻击等等。
(2)隐蔽性强:懂得绕开监控(使用不触发报警的攻击方式和payload),注意隐蔽自己(一般都有跳板肉鸡或者挂着VPN)、具备恶意程序开发能力(开发过杀软的或者隐藏自身进程rootkit且可以不断迭代更新对抗分析,或许还具备沙箱、虚拟机环境识别能力),注意清除痕迹(清除、替换日志、替换一些命令等等)
(3)反侦查能力强:例如不断变换IP连接后门,使用多种不同的方式特征来进行等等。
针对这类攻击者:
1、收集到所有能收集的信息,尤其是域名、IP、whois、ipwhois、url 样本hash等等基础设施信息。
(1)域名:可以通过域名注册信息来定位人员或者组织(结合whois),像海莲花特有域名、wannecry也有自己的所谓的开关域名,DGA域名可以结合DGA算法和字符串来定位攻击者或者组织。
(2)IP:攻击攻击者具有自己的大量的IP基础设施,很多威胁情报厂商都会提供类似的IP恶意信息库。
(3)URL和样本hash同理,未知样本hash还可以使用seep比较样本相似度来确定或者定位。
2、组织专家分析攻击特征和手段,例如是使用的是鱼叉钓鱼针对公司内部敏感人员的,可以主要排查竞争对手。如果没有明显目标的,主要是针对服务器进行攻击的可能考虑高级白帽子,主要针对整个公司生产环境做全面攻击,那么就怀疑APT组织。
说实话针对APT组织还有可能通过威胁情报定位一些攻击者信息,但也不能确定,因为样本泛滥,很多人都可以拿到、修改、投放、进行攻击。
至于特定攻击者,还需要依靠多种手段去定位。
安全分析--追踪溯源的找人思路相关推荐
- 比特币交易追踪溯源技术介绍
一.比特币追溯背景 1.1 比特币的交易量 目前来看,比特币已经诞生10年,虽然是所有数字货币/公链中交易速度最慢.性能最低的区块链,但却依然是最安全.链上活跃度最高和承载交易最多的的一条链. 按照比 ...
- 区块链笔记:典型应用:数据资产、交易系统、即时通信、链上游戏、追踪溯源等
数据资产 1 ) 详解 这是区块链的一个比较核心的应用,对于软件系统或者说对于互联网系统来讲,对数据的处理.分析.计算,这些功能是属于比较基本的软件功能 对于区块链来讲它的核心的功能是在于创新式的提供 ...
- CV:基于face库利用cv2调用摄像头(或视频)根据人脸图片实现找人(先指定要识别已知人脸的文件夹转为numpy_array+输入新图片遍历已有numpy_array)
CV:基于face库利用cv2调用摄像头(或视频)根据人脸图片实现找人(先指定要识别已知人脸的文件夹转为numpy_array+输入新图片遍历已有numpy_array) 目录 输出结果 设计思路 核 ...
- os如何读取图片_CV:基于face库利用cv2调用摄像头根据人脸图片实现找人
CV:基于face库利用cv2调用摄像头(或视频)根据人脸图片实现找人(先指定要识别已知人脸的文件夹转为numpy_array+输入新图片遍历已有numpy_array) 目录 输出结果 设计思路 核 ...
- 【2023年电工杯数学建模竞赛】选题分析+A题B题完整思路+代码分享
2023年电工杯B题(附带ChatGpt思路)思路已更新,请点击一下链接 [2023年电工杯数学建模竞赛B题人工智能对大学生学习影响的评价]完整思路分析+完整代码+(附带ChatGpt思路) 1.竞赛 ...
- Google如何找人?
作者:庞文真 「是呀,我和佩吉.布林(Larry Page and Sergey Brin,Google两位创办人)面试时,其中一位还是滑着滑板进来办公室的!」Google中国区总裁李开复回忆自己添加 ...
- Kyligence Zen产品体验-从人找数据到数据找人
目录 前言: 一.什么是Kyligence Zen? 1.个人总结 2.官方简介 二.1分钟打开新世界大门 个人总结: 1.注册 2.验证登录 三.上手初体验 1.快速上手(入门) 2.定制化应用 四 ...
- 匿名网络追踪溯源机制及方法
Tor作为匿名网络的代表,被誉为"暗网之王",而TOR这个网络具有双面性.Tor通过保护通信双方的身份信息,能有效防止用户个人信息的泄露,成为一种新的网络访问方式.但同时,攻击者也 ...
- 【Python】爬虫:微博找人页面爬虫(二)
[Python]爬虫:微博找人页面爬虫(二) 微博-找人页面,需要登录才行访问,若没有登录就会自动跳转到登录界面, 这时便想到两种方式: 1,使用selenium,自动化模拟登录,但是很不稳定,而且页 ...
最新文章
- freeglut中提供的几种立体几何对象绘制的android移植
- 谷歌开发者工具详解 Network篇
- 当你自定义view用的约束之后,放到其他空间算取frame的时候发现frame里的x,y都是0...
- 对于牛老师作业陈老师作业补充(老陈、小石头的典型用户、用例图、场景)...
- mysq和mysqli关系
- UWidgetBlueprintLibrary
- 取一定范围内随机小数 c_算伪随机概率中C值的快捷方法
- mysql之 slow log 慢查询日志
- 经典排序算法 - 希尔排序Shell sort
- 【做题】TCSRM592 Div1 500 LittleElephantAndPermutationDiv1——计数dp
- kafka的connect实现数据写入到kafka和从kafka写出
- 42. Understand the two meanings of typename.
- 计算机体系结构与组成的区别
- 气象netCDF数据可视化分析
- 易语言5.4一键破解工具
- Windows IE 清理缓存
- Linux内核学习路线 学习linux内核的建议
- 心率监测仪全国产化电子元件推荐方案
- Day 2: 数据类型的使用,字符编码
- 300W-LP数据库介绍