xfeng

xfeng

健身 技术 阅读 思考 记录
tg_channel
tg_channel
github
bilibili
tg_channel
ホームPortfoliosアーカイブ紹介

溯源分析

#溯源86
AI 翻訳
この記事はAIを通じて中国語から日本語に翻訳されました。原文を表示
AI が生成した要約
"溯源分析"的重要性在于防守军不应只依赖IP封堵,而应采取溯源反制措施。在攻防演练中,溯源包括还原攻击链条、获取攻击者信息等步骤。重点关注IP地址、DNSLOG、C2地址等信息。溯源流程包括攻击源捕获和溯源反制手段。利用威胁情报分析平台和其他工具进行IP和域名溯源,以获取攻击者信息。蜜罐溯源也是重要的一环。社工库是溯源过程中的关键工具。

画像

1. 概要#

攻撃と防御の演習では、一般的には攻撃のチェーンを再現し、ハッカーの仮想身元や実際の身元、攻撃チームのメンバー、攻撃側ホストまでのトレースを行います。

通常、ブルーチームのメンバーが取得するデータは、次のいくつかのソースから取得されます:

  • ハニーポットプラットフォーム
  • トラフィック検出プラットフォーム
  • WAF、IDS、IPS
  • フィッシングメール

データ情報を取得した後、データを分析する必要があります。

重要な情報には以下があります:

  • IP アドレス
  • DNS ログ、C2 アドレス
  • フィッシングメールの情報
  • ハニーポットでキャプチャされたハッカーの ID

異なるデバイスには異なる分析アプローチがあります。

2. 一般的なトレースプロセス#

攻撃元の捕捉

  • セキュリティデバイスの警告(スキャンされた IP、侵入イベント)
  • ログトラフィックの分析
  • サーバーリソースの異常(異常なファイル、プロセス、ポート、タスクなど)
  • フィッシングメール(悪意のあるファイルサンプルの取得)
  • ハニーポットシステム(攻撃者の行動の取得)

トレース対策

  • IP ロケーション技術
  • ID トラッキング(検索エンジン、ソーシャルプラットフォームなど)
  • ウェブサイト URL(whois 検索など)
  • 悪意のあるサンプル(サンプルの特徴、ユーザー ID などの抽出)

攻撃者のプロファイル

  • 攻撃経路の再現
  • 攻撃目的
  • どのネットワークプロキシを使用しているか
  • 攻撃手法(ウェブ侵入、近接侵入、ソーシャルエンジニアリングなど)
  • 攻撃者の:仮想身元、実際の身元、連絡先、組織状況などの情報の取得

3. WAF、トラフィック検出デバイス#

  • リクエストデータパケット -> バウンスする可能性のある C2 アドレスまたは DNS ログアドレス
  • 登録可能な一部のウェブサイト -> 攻撃者の登録携帯電話番号、身分証明書などの情報の取得
  • IP アドレス -> 攻撃行動の経路の分析 -> 外国のボットネット IP をフィルタリング
  • 阿里、テンセントなどのクラウドサーバーからの攻撃トラフィックに重点を置く

4. 脅威インテリジェンス分析#

攻撃 IP を取得した後、脅威インテリジェンス分析プラットフォームで検索し、ホスト情報、最近の活動状況、ドメイン解析などを取得できます。

利用できるウェブサイト:

微步オンラインインテリジェンスコミュニティ

奇安信脅威インテリジェンスセンター

360 脅威インテリジェンスセンター

VenusEye 脅威インテリジェンスセンター

RiskIQ コミュニティ

4.1 ホスト情報#

ポート情報に重点を置く

  • ウェブアプリケーションポートが存在する場合 -> 対策(ポートサービスの確認、masscan、nmap によるポートスキャン、ポートに対応する脆弱性の確認)
  • CS TeamServer 50050 -> スクリプトクラックDDOS 攪拌(一括でフィッシングマルウェアをオンライン化し、数百のプロセスを起動し、CS サイドの DDOS を実行)

4.2 ドメイン解析レコード#

その IP に最近解析されたドメイン

  • 存在する場合 -> 分析を続ける
  • 存在しない場合、かつそのドメインの ping 結果が攻撃 IP でない場合、分析を停止する

.cn ドメイン

5. IP&ドメインのトレース#

一部の場合、攻撃者は自分が使用した IP またはドメインを残すことがあります。通常、これは悪意のあるコードのダウンロードやリバースプロキシなどに使用されます。攻撃者が使用した IP またはドメインを取得した後、次の方法でトレースすることがあります:

5.1 IP#

  1. 脅威インテリジェンスクエリを使用して、IP の位置、オペレータ、解析されたドメインを取得することができます。
  2. Nmap を使用して、その IP が開いているポートのフルスキャンを行い、提供されているサービスのポートに対して脆弱性スキャンを行い、攻撃サーバーを攻略しようとします。
  3. ネットワークアセットマッピングエンジンを使用して、攻撃トレース IP を検索し、その IP が提供するサービスを取得します。
  4. その IP の正確な位置データをクエリします。
  5. その IP が提供するサービスに対して DoS 攻撃を行い、攻撃を継続するのを防ぎます。
  6. 多くの攻撃者は VPS を使用してプロキシ転送を行うか、直接 VPS を使用して攻撃を行います。その VPS プロバイダに対して、その IP の攻撃行為についてのチケットを提出することができます。サービスプロバイダは、その IP の攻撃行為を禁止するか、攻撃者のアカウントをブロックする可能性があります。

5.2 ドメイン#

  1. Whois クエリを使用して、メールアドレス、氏名を取得します。
  2. 工信部 ICP でドメインの登録情報を検索します。
  3. そのドメインの履歴的な Whois 情報を検索します。
  4. 検索エンジンでそのドメインを検索すると、攻撃者の他のアカウント情報が見つかる場合があります。

地理的位置のクエリ:

IP ロケーションウェブサイト

レッドチームの攻撃者は、携帯ホットスポットを利用して攻撃を行うことがあります。彼らの位置を地理的にクエリすることができます。

6. ハニーポットのトレース#

現代のブラウザでは、同一生成ポリシーはユーザーの安全を保証するための中核です。クロスドメインリクエストを許可するために、JOSNP が生まれました。

HTML では、scriptタグのsrc属性は同一生成ポリシーの影響を受けません。異なるドメインの JavaScript ファイルをscriptタグで参照することで、クロスドメインリクエストを実現することができます。これが JSONP です。

ハニーポットは、この原理を利用してソーシャル情報を取得します。

ハニーポットは、JSONP を使用してソーシャル情報を取得することは比較的困難であり、通常は次の 2 つの条件を満たす必要があります:

  1. 取得する第三者のウェブサイトがクロスドメインを許可し、クロスドメイン情報に機密情報が含まれていること
  2. 攻撃者が第三者のウェブサイトにログインし、ログアウトしていないこと

ハニーポットでソーシャル情報を取得した後、通常は次のいくつかの方法で進めます:

6.1 QQ 番号#

  1. 取得した情報は QQ 番号であり、QQ 番号を使用して大量の送金を行い、QQ 番号に関連付けられた銀行口座の個人情報を取得することができます。基本的には姓または名のいずれかの文字を取得できます。
  2. Baidu Tieba などのフォーラムでその QQ 番号または QQ 番号に関連するメールアドレスを検索すると、Baidu Tieba アカウントを取得することができる場合があります。
  3. Whois を使用して QQ メールアドレスを逆引き検索し、氏名またはドメインを取得することができます。
  4. WeChat でその QQ 番号を検索すると、攻撃者の WeChat アカウントを取得することができる場合があります。
  5. 小号を使用してその QQ を追加し、ソーシャルエンジニアリング手法を使用してさらに多くの情報を取得しようとします(大量の個人情報を取得する場合にのみ実施)

6.2 携帯電話番号#

  1. Alipay でそのアカウントに送金し、携帯電話番号に対応する実際のユーザーの氏名を取得しようとします。
  2. WeChat でその携帯電話番号を検索し、WeChat アカウントを取得しようとします。
  3. DingTalk でその携帯電話番号を検索すると、一部の実際の氏名と勤務先を取得する場合があります。
  4. 検索エンジンでその携帯電話番号を検索すると、他のアカウント情報を取得する場合があります。
  5. その携帯電話番号で登録されたウェブサイトの情報を検索します。

6.3 Tieba アカウント#

  1. Tieba ツールキットを使用して、そのアカウントのホームページと投稿内容を取得します。
  2. 投稿内容を確認し、QQ 番号、携帯電話番号、メールアドレス、おおよその年齢、氏名などを見つけるかもしれません。

6.4 ソーシャルエンジニアリングデータベース#

私の見解では、ソーシャルエンジニアリングデータベースは交差検証に使用されるものであり、直接データを取得する手段ではないため、十分な情報を取得した後にのみ、ソーシャルエンジニアリングデータベースと比較するべきです。

6.5 他のアカウント情報#

  1. QQ ニックネーム、WeChat ニックネーム、Alipay ニックネーム、Tieba ニックネームなどの情報を検索し、他のプラットフォームの情報を取得する場合があります。例:Weibo、Zhihu、GitHub、その他のフォーラムや SNS コミュニティ
  2. アカウントの詳細情報を詳細に確認し、より多くの有用な情報を抽出します。例:氏名、性別、年齢、住所、勤務先、学校など

6.6 学校#

  1. 学校情報と氏名を取得した場合、検索エンジンで攻撃者の専攻情報、クラス、入学年月日、卒業年月日、学生証番号などを取得することができます。
  2. その学校の Tieba、QQ グループなどで尋ねるなどして、さらに多くの個人情報を取得します。
  3. 学士以上の学位の場合、知識ネットワークで論文を検索し、研究方向を確認します。

6.7 メールアドレス#

  1. そのメールアドレスで登録されたウェブサイトの情報を検索します。

6.8 HackerID のトレース#

  1. 検索エンジン
  2. 主要な SRC
  3. コミュニティの相談

7. 結論#

トレースの結果は通常次のようになります:

  • 名前 / ID:

  • 攻撃 IP:

  • 地理的位置:

  • QQ:

  • IP アドレスの所属会社:

  • IP アドレスに関連するドメイン:

  • メールアドレス:

  • 携帯電話番号:

  • WeChat/Weibo/SRC/ID 証明:

  • 人物の写真:

  • ジャンプホスト:

  • 関連する攻撃イベント:

トレースの過程で最も重要なのはソーシャルエンジニアリングデータベースであり、次に上記のトレース分析アプローチです。

ハニーポットデバイスがある場合は、できるだけ高い相互作用性に設定してください。

読み込み中...
文章は、創作者によって署名され、ブロックチェーンに安全に保存されています。