| 关键词: 溯源 可以 发现 攻击者 账号 攻击 虚拟 自己 通过 蜜罐 |
大家好,我是老李。好多小伙伴问老李,如果发现我被攻击了怎么办?我如何找到黑客呢?今天我们就聊一下攻击溯源的方法论。当然了,能真接被溯源的也是一些等级比较低的小黑客,对于大V就不是那么容易能够溯源成功的了。 事情是这样的,网管小王在巡检系统的时候发现有一个ip尝试漏洞利用,利用微步的威胁情报系统查询结果为恶意。 ![]() 马上查看解析的域名,发现都是很久以前解析的,基本上都是无效的。然后使用微步社区的graph功能,发现这台攻击服务器有搭载过ARL和Viper。至此可以确定,该ip是黑客的VPS(VPS是啥就不用讲了吧)。 ![]() 历史探测的端口都关闭了,灯塔和Viper都没有办法访问。 尝试对攻击IP进行全端口扫描,发现该服务器对外开放了5818端口,通过访问发现该端口部署了内网穿透工具NPS。 ![]() ![]() 首先尝试用NPS的弱口令登录,未成功。 NPS存在历史漏洞,可以利用脚本绕过登录认证,获取该登录页面的用户名密码 脚本地址为https://github.com/carr0t2/nps-auth-bypass 利用该漏洞,获得了攻击者NPS账号密码xxxsec/xxxsec@2021,其账号和密码中都包含了黑客的id。 ![]() 在微信公众号上搜索,发现了有一个相同id的用户在某个大厂的SRC排行榜上 ![]() 于是通过客服,加入了官方微信群,询问客服,未果。 又在谷歌进行搜索,发现该攻击者github账号。在github账号中发现此人发布过很多漏洞利用工具。 ![]() ![]() 在github上寻找和黑客有关系的人并且询问,无果 然后尝试通过github的接口获得攻击者的邮箱,发现该攻击者的邮箱账号为[email protected],为github默认邮箱,后续再未发现该攻击者的其他信息。 通过这个案例,又深入学习了一下溯源和反溯源的姿势,在这里做个总结。 一、反溯源的思路与奇思妙想1.VPS的防范攻击vps尽量不要做其他的事情。比如搭建靶场,或者自己的博客。同时,使用的工具要及时更新,防止因为老旧版本的漏洞被反制。 注意远程登录避免使用弱口令,linux可以直接换成密钥登录,避免使用口令登录,防止被爆破。 ip,邮箱,域名之类的基础设施不能混用,做一次项目用新的。防止被溯源人员发现攻击行为之间的关联。 2.蜜罐反钓溯源人员可以通过部署蜜罐的方式,来去尝试获取到防守队的信息。最好在蜜罐上部署一个捆绑木马的工具下载(致远OA最新漏洞利用脚本)之类的,或者远程连接软件。如果被防守队下载运行,就可以获取防守队员的信息。 HFISH官网奉上 hfish.net ![]() 按照官网的教程,下载适合你自己系统版本的 ![]() 直接获取尝试爆破账号密码 ![]() 还有jspon蜜罐,后续等待继续发掘,搭建教程自己搜索 3.攻击机如何设置最好虚拟机,用完就销毁虚拟机基本相对更加方便,可以利用快照等方式销毁和还原状态。 可以在一台特别干净的虚拟机上保存所有有用的工具,然后照个快照,渗透行为结束了之后,直接恢复快照,不保留任何文件。 虚拟机不要登录自己的账号,尤其是各种社交账号,避免留下有关自己的信息。 虚拟机的网络怎么设置可以用另一台干净的虚拟机作为网关挂着代理,另外一台攻击机通过内网的方式连接到网关。保证流量完全经过代理。不走代理的时候就断网。防止各种代理软件因为代理服务器断网的的原因而导致主机连自己的真实ip 也可以断开物理机的网络,通过usb无线网卡,直接连接到虚拟机,用完虚拟机直接恢复快照,基本上能做好很好的匿名。 此外再用一台干净的断网的虚拟机来做文件分析。从对方服务器下载的文件都要在这里处理。避免下载的文件存在后门。 4.关于木马去除调试信息。 创建快捷方式钓鱼的时候不要右键创建,会留下自己的信息。可以通过调用api的方式创建。 5.关于习惯不要使用自己的id或者和id相关的东西(比如手机号)当作注册的账号用户名密码等。 最重要的就是注意不要在攻击机上暴露自己的id就好!切记! 二、溯源思路奇思妙想收集汇总1.研判可疑IP判断真正的攻击IP还是扫描器。 如果对存在的真实路径进行高危操作,基本上可以判定为真实攻击。 2.溯源反制手段-查询篇IP分析1.IP类型:云服务器?代理?宽带?专线?手机热点? 2.历史解析域名:是否存在可疑域名。 3.历史开放服务/端口:是否存在攻击工具端口。 4.威胁情报:是否有被标记过的攻击行为。 5.定位:通过相关网站查询ip定位(仅供参考) 社工溯源1.通过黑客的idgoogle,微信,github,gitee上搜黑客的id,也许能发现一些信息。如果实在找不到可以在各大微信群QQ群问,但一般会打草惊蛇。 2.手机号码:支付宝转账,确定姓名,甚至获取照片 微信搜索,微信ID可能是攻击者的ID,加好友甚至可以拿到pyq照片 一定得厚脸皮加人家,没准能套话,救说我好羡慕你啊大佬求带 sgk搜索手机号码,基本可以得到很多信息。 3.CSDN可以爆破手机号![]() 如果发现了攻击者在csdn上的账号,可以从csdn的找回密码功能,爆破一下手机号。 3.溯源反制手段-反打篇直接通过寻找攻击机上搭载的服务有没有漏洞,或者是有没有弱密码。 4.微信小号培养思路社工或者钓鱼的时候总得先养着一个小号。不同的身份对应不同的人分不同的分组,朋友圈内容相对应,提高可信度。 三、写在最后守则不足,攻则有余 善守者,藏于九地之下 善攻者,动于九天之上 故能自保而全胜也 --《孙子兵法》 溯源和反溯源永远是相辅相成的。不知攻焉知防?
|
| 本文出处: https://www.toutiao.com/article/7211129150776541754/ |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|