溯源方法总结 conv.docxVIP

溯源方法总结

笔记本： 应急创建时间： 2022/9/225:29

1、入侵痕迹查找2、溯源方法3、小结

1、入侵痕迹查找

如何确定自己被入侵那是很简单，如页面被篡改、勒索病毒数据被加密、挖矿木马导致服务器卡等现象，当确定遭受攻击时就要开展应急处置了，首先确定既然出现页面篡改等情况了意味着网站服务器已经被拿下，通过获取的权限对系统实施攻击，拿下服务器的权限方法有很多，先确定被害主机都有哪些应用，如果存在web应用就要考虑是常见web漏洞了，如果存在OA、致远等一些通用办公软件，就要考虑是不是为0day或nday，如果服务器上什么都没有那就考虑是不是爆破了，如果不是爆破就考虑是系统0day或nday了，就类似17年的永恒之蓝漏洞。当出现挖矿或勒索病毒除了服务器权限外也可能会出现内部人员下载了捆绑该类木马的软件，或收到了该类恶意文件的邮件等，也就是所谓的人为误操作，这次主要讨论第一种情况的入侵痕迹查找，常用方法如下：

1、netstat查看异常连接，通常情况下挖矿木马或勒索病毒都会存在一个外部的连接地址，用来进行通信，该地址通常为国外地址，也可能是某个vps的地址，可通过关闭正常的一些互联网连接后重点分析剩下的链接信息，可利用脚本去分析判断ip归属地，分析是否为异常连接；

2、根据异常连接可获取pid进而获取异常程序存放位置；3、通常情况下挖矿病毒会占用较高cpu，可用top等命令进行筛选，查找确定异常进程；3、根据时间查找，可根据事件发生时间进行搜索，win下可使用dmudd命令查找，linux下可使用find等命令，dm命令利用everything进行搜索

4、针对web类攻击首先利用shell扫描工具等方法定位shell，然后对日志进行分析，中间件日志、防护设备等日志，根据关键字和时间进行攻击ip定位；

5、windows、ssh等登录日志也要进行排查，之前确实碰到过通过爆破3389登录服务器成功，然后植入勒索病毒进行加密的；

2、溯源方法

当然具体的排查方法还有很多，主要总结下溯源的一些方法：ip定位：

通过情况下能根据日志或连接获取ip地址，接着就是顺藤摸瓜获取更多信息：微步在线查看：微步在线有一个很好用的功能，可以g根据ip地址进行分析，判断改ip地址是否为恶意地址，是否被存在曾经被解析的域名，利用尝试对此ip地址进行溯源41，微步显示该ip地址为恶意地址，存在扫描等恶意行为

解析域名显示的该ip地址曾被解析的域名有哪些

知道了域名就可以查看域名相关信息，可以直接访问该域名，查看网站内容，对该域名进行反查等，查看域名相关注册信息，查看其中一个域名的whois信息，可以获取域名注册人姓名、邮箱账号等相关信息

然后根据手机号等信息可具体在查找支付宝、微信，也能根据公开的社工库获取相关敏感信息。

ip定位：所谓的ip定位就是根据ip地址去定位到大概的位置，可采用如下地址对常见的ip地址进行定位

/query/ip?

这个网站还有公安版，应该能查询更多详细的数据，但是收费

/zh_cn?

/aiwen.html

/ip.html

whois查询：对网站域名进行whois查询，查询域名服务商等相关信息.hk/whois

/

/

邮箱账号查域名注册情况/reverse?ddlSearchMode=1

常用的安全情报中心地址：

奇安信威胁情报中心()

RiskIQCommunityEdition

VenusEye威胁情报中心/常用id信息查询

百度信息收集：“id”（双引号为英文）谷歌信息收集

src信息收集微博搜索

微信ID收集：微信进行ID搜索如果获得手机号（可直接搜索支付宝、社交账户等）攻击者画像常见方式

攻击路径攻击目的：拿到权限、窃取数据、获取利益、DDOS等网络代理：代理IP、跳板机、C2服务器等

攻击手法：鱼叉式邮件钓鱼、Web渗透、水坑攻击、近源渗透、社会工程等攻击者身份画像虚拟身份：ID、昵称、网名

真实身份：姓名、物理位置联系方式：手机号、qq/微信、邮箱组织情况：单位名称、职位信息

3、小结

攻击溯源主要看前期收集的信息是否全面，当然也可利用一些蜜罐进行反制，诱导攻击者进入蜜罐并进行相关软件下载，从而导致攻击者主机被控制，从而实现反控，达到意想不到的制敌效果。