在攻防的視角裡,進攻方會佔據比較多的主動性,而防守方則略顯被動,因為作為防守方,你永遠也不知道攻擊會在什麼時候發生。你所能做的是,做好自己該做的一切,準備好自己該準備的一切,耐心等待對手犯錯的機會。
在發現有入侵者後,快速由守轉攻,進行精準地溯源反制,收集攻擊路徑和攻擊者身份資訊,勾勒出完整的攻擊者畫像。
1、攻擊源捕獲
安全裝置報警,如掃瞄ip、威脅阻斷、病毒木馬、入侵事件等。日誌與流量分析,異常的通訊流量、攻擊源與攻擊目標等。伺服器資源異常,異常的檔案、賬號、程序、埠、啟動項、計畫任務和服務等。郵件釣魚,獲取惡意檔案樣本、釣魚**url等。2、溯源反制手段蜜罐系統,獲取攻擊者行為、意圖的相關資訊。
3、攻擊者畫像ip定位技術
根據ip定位實體地址--**ip
id追蹤術
id追蹤術,搜尋引擎、社交平台、技術論壇、社工庫匹配
**url
網域名稱whois查詢 --註冊人姓名、位址、**和郵箱。--網域名稱隱私保護
溯源案例: 通過攻擊ip歷史解析記錄/網域名稱,對網域名稱註冊資訊進行溯源分析
惡意樣本
提取樣本特徵、使用者名稱、id、郵箱、c2伺服器等資訊--同源分析
溯源案例:樣本分析過程中,發現攻擊者的個人id和qq,成功定位到攻擊者。
社交賬號
基於jsonp跨域,獲取攻擊者的主機資訊、瀏覽器資訊、真實ip及社交資訊等。
4、溯源案例篇案例一:郵件釣魚攻擊溯源溯源方式:第一種,可以通過相關聯的網域名稱/ip進行追蹤;第二種,對釣魚**進行反向滲透獲取許可權,進一步收集攻擊者資訊;第三種,通過對郵件惡意附件進行分析,利用威脅情況資料平台尋找同源樣本獲取,也能進一步對攻擊者的畫像進行勾勒。攻擊路徑
攻擊目的:拿到許可權、竊取資料、獲取利益、ddos等
網路**:**ip、跳板機、c2伺服器等
攻擊手法:魚叉式郵件釣魚、web滲透、水坑攻擊、近源滲透、社會工程等
攻擊者身份畫像
虛擬身份:id、暱稱、網名
真實身份:姓名、物理位置
組織情況:單位名稱、職位資訊
比如,收到乙個郵件qq空間釣魚**,反手插入乙個xss語句,盜取後台cookie,在審查管理臺源**裡找到作者的qq****。
案例二:web入侵溯源
溯源方式:隔離webshell樣本,使用web日誌還原攻擊路徑,找到安全漏洞位置進行漏洞修復,從日誌可以找到攻擊者的ip位址,但攻擊者一般都會使用dialing伺服器或匿名網路(例如tor)來掩蓋其真實的ip位址。
案例三:蜜罐溯源
攻防場景:在企業內網部署蜜罐去模擬各種常見的應用服務,誘導攻擊者攻擊。
溯源方式:在攻擊者入侵蜜罐時,蜜罐可以記錄攻擊者的入侵行為,獲取攻擊者的主機資訊、瀏覽器資訊、甚至是真實ip及社交資訊。
安全攻擊分為哪些?
一種有用的劃分安全攻擊的方法是使用被動攻擊和主動攻擊的劃分方法。1.被動攻擊 被動攻擊的本質就是竊聽和監聽資料傳輸。攻擊者的目標是獲取傳輸的資料資訊。被動攻擊的兩種形式是訊息內容洩露攻擊和流量分析攻擊。被動攻擊是非常難以檢測,因為它們沒有改變資料。儘管如此,防範這些攻擊還是切實可行的,通常使用加密的...
無線安全攻防思路
1 常見攻擊物件 一張門禁卡,一把無線鑰匙 乙個無線遙控器 一部手機 一輛汽車 一台無線呼吸監測儀 一架飛機等,只要攻擊物件使用了無線介質進行資料互動,那麼這條無線鏈路就有可能被監聽 解密 重放 欺騙 劫持,甚至被入侵 被控制。2 無線安全攻擊手段 1 無線資料報文監聽 使用與目標無線系統執行頻率相...
安全攻擊 webgoat課程筆記
重定向漏洞,需要有第二次請求,比如重定向302,第一次響應直接帶了第二次響應的資訊 在http拆分的第二次請求中增加last modified設定未來的日期,以騙取瀏覽器快取一直使用第二次響應的內容 發現路徑漏洞,在能傳遞路徑引數的頁面,通過.等相對路徑引數,得到原本沒有許可權訪問的路徑頁面響應返回...