您当前的位置:首页 > 电脑百科 > 安全防护 > 黑客技术

溯源分析必备技术

时间:2023-04-13 16:40:26  来源:今日头条  作者:老李讲安全

理论基础

溯源分析就是在通过现象去发掘恶意攻击者背后的故事,没有固定的套路可循,在分析过程中,要像侦探破案一样,大胆心细,不放过任何细枝末节,是一场人与人之间斗智斗勇的过程。

恶意样本溯源分析的前提是针对样本,然后进行对样本做逆向分析、网络行为分析、日志行为分析。挖掘出恶意样本的攻击者或者团队的意图。

网络攻击追踪溯源旨在利用各种手段追踪网络攻击的发起者。相关技术提供了定位攻击源和攻击路径,针对性反制或抑制网络攻击,以及网络取证能力,其在网络安全领域具有非常重要的价值。

恶意样本溯源思路

对恶意样本溯源分析一般需要结合动态调试和静态调试分析,样本分析过程中还需要结合网络抓包数据分析,获取到攻击者的域名信息。

在对恶意样本分析过程中通常需要关注:恶意样本中是谁发动攻击、攻击的 目的是什么、恶意样本的作者是谁、采用了哪些攻击技术、攻击的实现流程是怎样的。

针对恶意样本的溯源分析可以从同源分析、家族溯源、作者溯源这三方面作为突破点进行分析。

同源分析:通过利用恶意样本间的同源关系,挖掘出可溯源痕迹,并根据它们出现的前后关系判定变体来源。恶意代码同源性分析,其目的是判断不同的恶意代码是否源自同一套恶意代码或是否由同一个作者、团队编写,其是否具有内在关联性、相似性。从溯源目标上来看,可分为恶意代码家族溯源及作者溯源。

家族溯源:恶意样本的家族变体是已有恶意代码在不断的对抗或功能进化中生成的新型恶意样本,针对变体的家族溯源是通过提取其特征数据及代码片段,分析它们与已知样本的同源关系,进而推测可疑恶意样本的家族。例如,Kinable等人提取恶意代码的系统调用图,采用图匹配的方式比较恶意代码的相似性,识别出同源样本,进行家族分类。

作者溯源:恶意样本的作者溯源就是通过分析和提取恶意样本中的相关特征,定位出恶意样本作者相关特征,揭示出样本间的同源关系,进而溯源到已知的作者或组织。例如,Gostev等通过分析Stu.NET与Duqu所用的驱动文件在编译平台、时间、代码等方面的同源关系,实现了对它们作者的溯源。

在分析恶意样本的时候可以参考借鉴下面的几个在线沙箱

文章图片1

网络攻击溯源思路

网络攻击溯源可以细分为追踪溯源攻击主机、追踪溯源攻击控制主机、追踪溯源攻击者、追踪溯源攻击组织机构。

常用溯源分析方法包括域名/IP地址分析、入侵日志监测、全流量分析、同源分析、攻击模型分析等。

通过查询域名的whois信息,可以关联到攻击者部分信息,注册名,注册邮箱,注册地址,电话,注册时间,服务商等。

溯源的一般会获取到几个相关信息:攻击时间、攻击IP、攻击类型、恶意文件、受攻击的IP或域名。其中攻击IP、攻击类型、恶意文件、攻击详情是溯源分析的入手点。

通过攻击类型分析攻击详情的请求包,验证是否额可以获取到攻击者相关信息,然后通过相关特征进行威胁情报查询来判断所用IP具体是代理的IP还是真实IP地址。

文章图片2

(图片来源网络)

溯源分析 步骤流程

在获取到可进行溯源的载体后,我们就可以进行对这载体进行溯源分析。针对溯源分析可以由如下四个步骤流程组成。

1、信息查询:针对可溯源的IP或域名通过网络上开放威胁情报平台进行查询

文章图片3

//ip查域名

文章图片4

//IP定位

文章图片5

//查询邮箱或手机注册过的网站

文章图片6

2、定位目标:利用精准IP定位,进行IP目标位置的确定

3、收集互联网信息侧的用户ID

可以通过利用:微博、贴吧、知乎、豆瓣、脉脉、QQ、微信等社交平台进行对信息收集。如果获取到手机号码可以基于支付方式的支付宝信息、微信信息等支付渠道的信息。

4、进入跳板机收集信息

如果有能力控制了红队的跳板机,则可进入跳板机进行信息收集,查看命令执行的历史记录与日志等

文章图片7

邮件钓鱼攻击溯源场景分析

钓鱼邮件攻击通常分为两种:一种带有附件的word宏病毒,一种是引导受害者进入钓鱼网站来获取受害者的敏感信息。

攻防场景:攻击者利用社会工程学技巧伪造正常邮件内容,绕过邮件网关的查杀,成功投递到目标邮箱,诱骗用户点击邮件链接或下载附件文件。

信息收集:通过查看邮件原文,获取发送方IP地址、域名后缀邮箱、钓鱼网站或恶意附件样本等信息。

溯源方式:

第一种,可以通过相关联的域名/IP进行追踪;

第二种,对钓鱼网站进行反向渗透获取权限,进一步收集攻击者信息;

第三种,通过对邮件恶意附件进行分析,利用威胁情报数据平台寻找同源样本获取信息,也能进一步对攻击者的画像进行勾勒。

文章图片8
文章图片9

web入侵溯源

攻防场景:攻击者通过NDAY和0DAY漏洞渗入服务器网段,Webshell 触发安全预警或者威胁检测阻断了C&C域名的通讯。

溯源方式:隔离webshell样本,使用Web日志还原攻击路径,找到安全漏洞位置进行漏洞修复,从日志可以找到攻击者的IP地址,但攻击者一般都会使用代理服务器或匿名网络(例如Tor)来掩盖其真实的IP地址。

在入侵过程中,使用反弹shell、远程下载恶意文件、端口远程转发等方式,也容易触发威胁阻断,而这个域名/IP,提供一个反向信息收集和渗透测试的路径。

文章图片10

恶意样本溯源

提取样本特征、用户名、ID、邮箱、C2服务器等信息—同源分析

溯源方式:样本分析过程中,发现攻击者的个人ID和QQ,成功定位到攻击者。

小结

溯源分析最终一般需要分析出攻击者画像信息:姓名、照片、攻击者IP、地理位置、QQ、微信、Github、邮箱、手机号码、支付宝、IP地址关联域名、IP地址所属公司、以及其他相关的社交账号信息。

通过基于溯源技术挖掘出黑客攻击者背后的真面目,让真相浮出水面!!!



Tags:溯源   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
现代软件架构:事件驱动设计遇上事件溯源
在当今的软件领域中,做出正确的架构决策对于确保性能、可扩展性、可维护性和整体成功至关重要。在众多模式中,事件驱动架构(EDA)和事件溯源(ES)作为复杂软件系统最受欢迎的两种选...【详细内容】
2023-12-13  Search: 溯源  点击:(111)  评论:(0)  加入收藏
日志溯源与流量分析实战技巧
下面是基于安全论坛以及个人的一些想法针对日志分析溯源的个人理解现阶段大部分企业都会上日志审计设备,在配上流量分光,还有各类IDS、WAF等设备日志,对安全溯源分析十分方便,但...【详细内容】
2023-08-08  Search: 溯源  点击:(145)  评论:(0)  加入收藏
进口红酒如何通过RFID标签实现产品出处溯源
进口红酒市场一直存在着假酒问题,给消费者带来了很大的困扰。为了解决这个问题,越来越多的酒庄开始采用RFID标签技术,以实现产品出处溯源,防止假酒流通。本文将介绍如何使用RFID...【详细内容】
2023-07-30  Search: 溯源  点击:(76)  评论:(0)  加入收藏
AI图像溯源:谷歌新工具助你查证图片来源和可信度,告诉你是否是AI作画!
Oxbotica的技术可以无限改变特定场景(Oxbotica)一图胜千言,但有时这些言辞可能误导人。通过Midjourney等应用程序,人工智能(AI)可以生成逼真的图像,而缺乏明确的标识,人们很容易相信...【详细内容】
2023-05-18  Search: 溯源  点击:(240)  评论:(0)  加入收藏
谷歌将打击 AI 图片造假,推出图像溯源功能
IT之家 5 月 11 日消息,AI 生成图片目前正在网上变得越来越泛滥,甚至有些可以以假乱真。针对这一问题,谷歌在 I / O 2023 开发者大会上宣布推出全新解决方案。谷歌表示,将在接下...【详细内容】
2023-05-11  Search: 溯源  点击:(125)  评论:(0)  加入收藏
溯源分析必备技术
理论基础溯源分析就是在通过现象去发掘恶意攻击者背后的故事,没有固定的套路可循,在分析过程中,要像侦探破案一样,大胆心细,不放过任何细枝末节,是一场人与人之间斗智斗勇的过程。...【详细内容】
2023-04-13  Search: 溯源  点击:(206)  评论:(0)  加入收藏
探寻汉字起源——沿淇河而上,溯源鹤壁诗歌文化
图为辛村遗址考古现场。 王迪 摄中新网鹤壁2月20日电 (王迪)"淇水汤汤,渐车帷裳",《诗经·卫风·氓》此句中的“淇水”,指的便是如今河南省鹤壁市的淇河。19日,...【详细内容】
2023-02-21  Search: 溯源  点击:(261)  评论:(0)  加入收藏
局域网中的攻击溯源是什么?
由于目前NAT技术的大量使用,若攻击者主机位于NAT后面,使用私网IP地址,对于攻击源的追踪只能到攻击者的NAT网关,而无法穿透NAT网关。因此, 假设已知攻击者来自于某个 NAT网关...【详细内容】
2023-01-09  Search: 溯源  点击:(266)  评论:(0)  加入收藏
数据安全事件溯源主体漫谈
放眼全球,今年数据泄露大事件更是数不胜数:丰田汽车约29.6万条客户个人信息被泄露,英特尔第十代处理器Alder Lake BIOS 的源代码泄露……转向国内,今年也发生几次备...【详细内容】
2022-10-21  Search: 溯源  点击:(372)  评论:(0)  加入收藏
使用Redis实现简单的事件驱动架构 「DDD、事件溯源和一致性哈希」
Apache Kafka 已成为大多数技术栈中的主流组件。使用 Kafka 的好处包括确保事件中的因果顺序,同时保持并行性,通过在服务器之间快速复制分区来恢复故障,等等。 然而,运行 Kafka...【详细内容】
2022-10-04  Search: 溯源  点击:(392)  评论:(0)  加入收藏
▌简易百科推荐
小心“黑客”利用445端口攻击你的Win8系统!
Windows 8系统自带一个名为SMB(Server Message Block)的服务,使用445端口进行通信。这个服务主要用于文件共享和网络协议等功能,但是无良黑客也会利用这个服务来攻击你的电脑。...【详细内容】
2024-04-10    潘小姐  Tags:445端口   点击:(2)  评论:(0)  加入收藏
为什么黑客不去攻击微信钱包?
在这个数字化时代,网络安全已经成为我们生活中不可或缺的一部分。每当我们打开手机,使用微信钱包进行支付时,是否曾有过这样的疑问:为什么黑客不去攻击微信钱包?这个问题,就像是在...【详细内容】
2024-02-19  猫探长情报局  今日头条  Tags:黑客   点击:(55)  评论:(0)  加入收藏
发条消息就能破解iPhone?苹果系统这次像被“内鬼”攻破的。。。
前几天,差评君在网上冲浪的时候,看到了一条相当震撼的消息:简单来讲,就是主打封闭安全的 iPhone ,不仅被攻击者发现了漏洞成功入侵,完全控制整个手机。更加抽象的是入侵的还是知名...【详细内容】
2024-01-26  差评    Tags:破解iPhone   点击:(134)  评论:(0)  加入收藏
十种黑客攻击手段及防御方法
在互联网的世界里,网站安全犹如一座城堡,需要严密的防线来抵御各种攻击手段。以下是10种最常见的网络攻击手段,以及我们如何采取措施来保护我们的网站。1. 跨站脚本攻击:这是黑...【详细内容】
2024-01-21  老吴讲IT    Tags:黑客攻击   点击:(83)  评论:(0)  加入收藏
渗透测试中最常见的漏洞有哪些?
什么是渗透测试?渗透测试是一项安全测试,旨在模拟黑客的攻击方式,评估系统、网络或应用程序的安全性,发现潜在的安全漏洞并提出建议来修复它们。渗透测试中最常见的漏洞包括:1....【详细内容】
2024-01-11  五湖联技术服务公司    Tags:渗透测试   点击:(105)  评论:(0)  加入收藏
作为一名黑客/安全专家,应该掌握什么技能?熟悉哪些软件/工具?
作为一名合格的黑客/网络安全专家,应该具备一套全面的知识体系和实战技能,同时熟悉多种安全软件和工具。今天我们将根据目前市面上流行的一些应用程序,以及常规的安全防护措施,...【详细内容】
2023-12-11  黑客联盟I    Tags:黑客   点击:(140)  评论:(0)  加入收藏
黑客是如何入侵一个网站的?(网络安全人员应该了解的知识)
前不久阿里以及滴滴系统的大规模瘫痪足以唤起人们对网络安全的重视。我首先必须澄清的是,作为一个网络安全专家,我不提供或者鼓励任何违法的行为,包括未经授权的计算机系统入侵...【详细内容】
2023-12-07  黑客联盟I    Tags:黑客   点击:(176)  评论:(0)  加入收藏
网络黑客入侵解析:保护你的网络安全
在当今数字化快速发展的时代,网络安全问题逐渐成为人们关注的焦点。网络黑客入侵事件频发,给个人和企业带来了严重的威胁。本文将深入解析网络黑客入侵的常见手段和原因,并探讨...【详细内容】
2023-12-05  小记青春    Tags:黑客入侵   点击:(161)  评论:(0)  加入收藏
黑客滥用 Google 表单进行诈骗
研究人员最近发现滥用 Google 表单的垃圾邮件有所增加,攻击者首先在 Google 表单中创建新的问卷调查,并且利用受害者的电子邮件地址参与问卷调查,滥用 Google 表单的功能将垃圾...【详细内容】
2023-11-23  区块软件开发  今日头条  Tags:黑客   点击:(220)  评论:(0)  加入收藏
黑客工具 Flipper Zero 曝光,可利用蓝牙弹出窗口崩溃 iPhone
据外媒 9to5Mac 报道,一种流行且廉价的黑客设备 Flipper Zero 今年 9 月首次出现,可通过制造蓝牙弹出窗口,向 iPhone 和 iPad 重复告诉发送垃圾内容,直到相关设备最终崩溃,不过直...【详细内容】
2023-11-20  IT之家    Tags:黑客工具   点击:(242)  评论:(0)  加入收藏
站内最新
站内热门
站内头条