xfeng

xfeng

健身 技术 阅读 思考 记录
tg_channel
tg_channel
github
bilibili
tg_channel
ホームPortfoliosアーカイブ紹介

溯源分析

#溯源81
AI 翻訳
この記事はAIを通じて中国語から日本語に翻訳されました。原文を表示
AI が生成した要約
"溯源分析"的重要性在于防守军不应仅仅依靠IP封堵,而应采取溯源反制的策略。在攻防演练中,溯源的一般流程包括攻击源捕获和溯源反制手段。通过分析IP地址、DNSLOG、C2地址等信息,可以还原攻击路径和攻击者画像。WAF、流量检测设备也起着重要作用。威胁情报分析平台和蜜罐溯源也是关键步骤。最终,溯源的结果可能包括姓名/ID、攻击IP、地理位置、QQ、IP地址所属公司等信息。社工库在溯源过程中扮演着重要角色。"

画像

1. 概要#

攻撃と防御の演習では、一般的には攻撃チェーンを復元し、ハッカーの仮想身元や実際の身元、攻撃チームのメンバー、攻撃側ホストにたどり着くことが溯源とされます。

通常、ブルーチームのメンバーが取得するデータは、次のいくつかのソースから取得されます:

  • ハニーポットプラットフォーム
  • トラフィック検知プラットフォーム
  • WAF、IDS、IPS
  • フィッシングメール

データ情報を取得した後、データを分析する必要があります。

重要な情報には以下があります:

  • IP アドレス
  • DNS ログ、C2 アドレス
  • フィッシングメールの情報
  • ハニーポットにキャプチャされたハッカーの ID

異なるデバイスには異なる分析アプローチがあります。

2. 溯源の一般的なプロセス#

攻撃元の捕捉

  • セキュリティデバイスの警告(スキャンされた IP、侵入イベント)
  • ログトラフィックの分析
  • サーバーリソースの異常(異常なファイル、プロセス、ポート、スケジュールタスクなど)
  • フィッシングメール(悪意のあるファイルサンプルの取得)
  • ハニーポットシステム(攻撃者の行動の取得)

溯源対策

  • IP ロケーションテクニック
  • ID トラッキング(検索エンジン、ソーシャルプラットフォームなど)
  • ウェブサイトの URL(whois クエリなど)
  • 悪意のあるサンプル(サンプルの特徴、ユーザー ID などの抽出)

攻撃者のプロファイル

  • 攻撃経路の復元
  • 攻撃の目的
  • どのネットワークプロキシを使用しているか
  • 攻撃手法(ウェブ侵入、近接侵入、ソーシャルエンジニアリングなど)
  • 攻撃者の:仮想身元、実際の身元、連絡先、組織状況などの情報の取得

3. WAF、トラフィック検知デバイス#

  • リクエストデータパケット -> バウンスする可能性のある C2 アドレスまたは DNS ログアドレス
  • 登録可能な一部のウェブサイト -> 攻撃者の登録された携帯電話番号、身分証明書などの情報の取得
  • IP アドレス -> 攻撃行動の経路の分析 -> 外国のボットネット IP をフィルタリング
  • 阿里、テンセントなどのクラウドサーバーからの攻撃トラフィックに重点を置く

4. 脅威インテリジェンス分析#

攻撃 IP を取得した後、脅威インテリジェンス分析プラットフォームで検索し、ホスト情報、最近の活動状況、ドメイン解析などを取得できます。

利用可能なウェブサイト:

微步オンラインインテリジェンスコミュニティ

奇安信脅威インテリジェンスセンター

360 脅威インテリジェンスセンター

VenusEye 脅威インテリジェンスセンター

RiskIQ コミュニティ

4.1 ホスト情報#

ポート情報に重点を置く

  • ウェブアプリケーションポートが存在する場合 -> 反撃(ポートサービスの確認、masscan、nmap によるポートスキャン、ポートに対応する脆弱性の確認)
  • CS TeamServer 50050 -> スクリプトブルートフォースDDoS 攪拌(フィッシングマルウェアを一括でオンライン化し、数百のプロセスを起動し、DDoS 攻撃を実行する)

4.2 ドメイン解析レコード#

その IP に最近解析されたドメイン

  • 存在する場合 -> 分析を続ける
  • 存在しない場合、かつそのドメインの ping 結果が攻撃 IP でない場合、分析を停止する

.cn ドメイン

5. IP&ドメインの溯源#

一部の場合、攻撃者は自分が使用した IP またはドメインを残すことがあります。通常、これは悪意のあるコードのダウンロードやリバースプロキシなどに使用されます。攻撃者が使用した IP またはドメインを取得した後、次の方法で溯源を行います:

5.1 IP#

  1. 脅威インテリジェンスクエリを使用して、IP の位置、オペレータ、解析されたドメインを取得することができる場合があります。
  2. Nmap を使用して、その IP が開いているポートの全てをスキャンし、提供されているサービスのポートに対して脆弱性スキャンを行い、攻撃サーバーを攻略しようとします。
  3. ネットワークアセットマッピングエンジンを使用して、攻撃溯源 IP を検索し、その IP が提供するサービスを取得します。
  4. その IP の正確な位置データをクエリします。
  5. その IP が提供するサービスに対して DoS 攻撃を行い、攻撃を継続するのを防ぎます。
  6. 多くの攻撃者は VPS を使用してプロキシ転送を行うか、直接 VPS を使用して攻撃を行います。その VPS プロバイダに攻撃行為についてのチケットを提出し、その IP の攻撃行為を禁止するか、攻撃者のアカウントをブロックする可能性があります。

5.2 ドメイン#

  1. Whois クエリを使用して、メールアドレス、名前を取得します。
  2. 工信部 ICP でドメインの登録情報を検索します。
  3. そのドメインの過去の Whois 情報を検索します。
  4. 検索エンジンでそのドメインを検索すると、攻撃者の他のアカウント情報が見つかる場合があります。

ジオロケーションクエリ:

IP ロケーションウェブサイト

レッドチームの攻撃者は、携帯ホットスポットを利用して攻撃を行うことがあります。その場合、彼らの位置をジオロケーションクエリで特定することができます。

6. ハニーポットの溯源#

現代のブラウザでは、同一生成ポリシーはユーザーの安全を保証するための中核です。クロスドメインリクエストを許可するために、JSONP が生まれました。

HTML では、scriptタグのsrc属性は同一生成ポリシーの影響を受けず、異なるドメインの JavaScript ファイルをscriptタグで参照することでクロスドメインリクエストを実現することができます。これが JSONP です。

ハニーポットは、この原理を利用してソーシャル情報を取得します。

ハニーポットは、JSONP を使用してソーシャル情報を取得することは比較的困難であり、通常は次の 2 つの条件を満たす必要があります:

  1. 取得する第三者のウェブサイトがクロスドメインを許可し、クロスドメイン情報に機密情報が含まれていること
  2. 攻撃者が第三者のウェブサイトにログインし、ログアウトしていないこと

ハニーポットでソーシャル情報を取得した後、通常は次のいくつかの方法で進めます:

6.1 QQ 番号#

  1. 取得した情報が QQ 番号である場合、QQ 番号を使用して大口送金を行い、QQ 番号に関連付けられた銀行口座の個人情報を取得することができます。基本的には姓または名のいずれかの文字を取得できます。
  2. Baidu Tieba などのフォーラムでその QQ 番号または QQ 番号に関連するメールアドレスを検索すると、Baidu Tieba アカウントを取得することができる場合があります。
  3. Whois を使用して QQ メールアドレスを逆引き検索し、名前またはドメインを取得することができる場合があります。
  4. WeChat でその QQ 番号を検索すると、攻撃者の WeChat アカウントを取得することができる場合があります。
  5. 小号を使用してその QQ を追加し、ソーシャルエンジニアリング手法を使用してさらに多くの情報を取得しようとします(大量の個人情報を取得する場合にのみ実施)

6.2 携帯電話番号#

  1. Alipay でそのアカウントに送金し、携帯電話番号に対応する実際のユーザーの氏名を取得しようとします。
  2. WeChat でその携帯電話番号を検索し、WeChat アカウントを取得しようとします。
  3. DingTalk でその携帯電話番号を検索すると、一部の実際の氏名と勤務先を取得することができる場合があります。
  4. 検索エンジンでその携帯電話番号を検索すると、他のアカウント情報を取得することができる場合があります。
  5. その携帯電話番号で登録されたウェブサイトの情報を検索します。

6.3 Tieba アカウント#

  1. Tieba ツールキットを使用して、そのアカウントのホームページと投稿内容を取得します。
  2. 投稿内容を確認し、QQ 番号、携帯電話番号、メールアドレス、おおよその年齢、名前などを見つけることができるかもしれません。

6.4 ソーシャルエンジニアリングデータベース#

私の見解では、ソーシャルエンジニアリングデータベースは交差検証に使用されるものであり、直接データを取得する手段ではないため、十分な情報を取得した後にのみソーシャルエンジニアリングデータベースと比較するべきです。

6.5 その他のアカウント情報#

  1. QQ ニックネーム、WeChat ニックネーム、Alipay ニックネーム、Tieba ニックネームなどの情報を検索し、他のプラットフォームの情報を取得することができる場合があります。例:Weibo、Zhihu、GitHub、その他のフォーラムや SNS コミュニティ
  2. アカウントの詳細情報を詳細に確認し、より多くの有用な情報を抽出します。例:名前、性別、年齢、住所、勤務先、学校など

6.6 学校#

  1. 学校情報と名前を取得した場合、検索エンジンで攻撃者の専攻情報、クラス、入学時期、卒業時期、学生証番号などを取得することができます。
  2. その学校の Tieba、QQ グループなどで尋ねるなどして、より多くの個人情報を取得します。
  3. 学士以上の学位の場合、知識ネットワークで論文を検索し、研究方向を確認します。

6.7 メールアドレス#

  1. そのメールアドレスで登録されたウェブサイトの情報を検索します。

6.8 HackerID の溯源#

  1. 検索エンジン
  2. 主要な SRC
  3. コミュニティの相談

7. 結論#

溯源の結果は通常以下のようになります:

  • 名前 / ID:

  • 攻撃 IP:

  • ジオロケーション:

  • QQ:

  • IP アドレスの所属会社:

  • IP アドレスに関連するドメイン:

  • メールアドレス:

  • 携帯電話番号:

  • WeChat/Weibo/SRC/ID 証明:

  • 人物写真:

  • ジャンプホスト:

  • 関連する攻撃イベント:

溯源のプロセスで最も重要なのはソーシャルエンジニアリングデータベースであり、次に上記の溯源分析アプローチです。

ハニーポットデバイスがある場合は、できるだけ高い相互作用性に設定してください。

読み込み中...
文章は、創作者によって署名され、ブロックチェーンに安全に保存されています。