xfeng

xfeng

Sporting | Reading | Technology | Recording
github
bilibili
ホーム作品集アーカイブ紹介

溯源分析

#溯源71
AI 翻訳
この記事はAIを通じて中国語から日本語に翻訳されました。原文を表示
AI が生成した要約
この文書は、溯源分析についての情報を提供しています。攻撃の経路を追跡し、攻撃者の仮想身元や実際の身元、攻撃チームのメンバー、攻撃元のホストを特定することが重要です。蓝队(防御側)は、蜜罐プラットフォーム、トラフィック検知プラットフォーム、WAF、IDS、IPS、フィッシングメールなどからデータを収集し、IPアドレス、DNSLOG、C2アドレス、フィッシングメール内の情報、蜜罐でキャプチャされたハッカーのIDなどに注目します。攻撃者のプロファイルを作成し、攻撃経路、攻撃目的、ネットワークプロキシの使用、攻撃手法などを特定します。また、WAFやトラフィック検知デバイスを使用して、攻撃の流量を分析し、攻撃元のIPアドレスやドメインを特定します。さらに、威胁情報分析プラットフォームを使用して、攻撃IPの情報や近期の活動状況、ドメイン解析などを取得します。蜜罐を使用して攻撃者の

画像

1. 概要#

攻撃と防御の演習では、通常、攻撃のチェーンを再現し、ハッカーの仮想身元や実際の身元、攻撃チームのメンバー、攻撃側ホストへの逆制御までを追跡します。

一般的に、ブルーチームのメンバーが取得するデータは、次のいくつかのソースから取得されます:

  • ハニーポットプラットフォーム
  • トラフィック検知プラットフォーム
  • WAF、IDS、IPS
  • フィッシングメール

データ情報を取得した後、データを分析する必要があります。

重要な情報には次のものがあります:

  • IP アドレス
  • DNS ログ、C2 アドレス
  • フィッシングメールに含まれる情報
  • ハニーポットでキャプチャされたハッカーの ID

異なるデバイスには異なる分析アプローチがあります。

2. 溯源の一般的なプロセス#

攻撃元の捕捉

  • セキュリティデバイスの警告(スキャンされた IP、侵入イベント)
  • ログトラフィックの分析
  • サーバーリソースの異常(異常なファイル、プロセス、ポート、スケジュールタスクなど)
  • フィッシングメール(悪意のあるファイルサンプルの取得)
  • ハニーポットシステム(攻撃者の行動の取得)

溯源の反制手段

  • IP ロケーションテクニック
  • ID トラッキング(検索エンジン、ソーシャルプラットフォームなど)
  • ウェブサイトの URL(whois クエリなど)
  • 悪意のあるサンプル(サンプルの特徴、ユーザー ID などの抽出)

攻撃者のプロファイル

  • 攻撃経路の再現
  • 攻撃の目的
  • どのネットワークプロキシを使用しているか
  • 攻撃手法(ウェブ侵入、近接侵入、ソーシャルエンジニアリングなど)
  • 攻撃者の仮想身元、実際の身元、連絡先、組織状況などの情報の取得

3. WAF、トラフィック検知デバイス#

  • リクエストデータパケット -> 反射 C2 アドレスまたは DNS ログアドレスを含む可能性があります
  • 登録可能な一部のウェブサイト -> 攻撃者の登録携帯電話番号、身分証明書などの情報を取得できます
  • IP アドレス -> 攻撃行動の経路を分析 -> 海外のボットネット IP をフィルタリング
  • 阿里、テンセントなどのクラウドサーバーからの攻撃トラフィックに重点を置く

4. 脅威インテリジェンス分析#

攻撃 IP を取得した後、脅威インテリジェンス分析プラットフォームで検索し、ホスト情報、最近の活動状況、ドメイン解析などを取得できます。

利用可能なウェブサイト:

微步オンラインインテリジェンスコミュニティ

奇安信脅威インテリジェンスセンター

360 脅威インテリジェンスセンター

VenusEye 脅威インテリジェンスセンター

RiskIQ コミュニティ

4.1 ホスト情報#

ポート情報に重点を置く

  • ウェブアプリケーションポートが存在する場合 -> 反制(ポートサービスの表示、masscan、nmap によるポートスキャン、ポートに対応する脆弱性の確認)
  • CS TeamServer 50050 -> スクリプトブルートフォースDDOS 攪拌(フィッシングマルウェアの一括オンライン化、数百のプロセスの起動、DDOS レッドチームの cs サイド)

4.2 ドメイン解析レコード#

その IP に最近解析されたドメイン

  • 存在する場合 -> 分析を続ける
  • 存在しない場合、かつそのドメインの ping 結果が攻撃 IP でない場合、分析を停止する

.cn ドメイン

5. IP&ドメインの溯源#

一部の場合、攻撃者は自分が使用した IP またはドメインを残すことがあります。通常、これは悪意のあるコードのダウンロードやリバースプロキシなどに使用されます。攻撃者が使用した IP またはドメインを取得した後、次の方法で溯源を行います:

5.1 IP#

  1. 脅威インテリジェンスクエリを使用して、IP の位置情報、オペレータ、解析されたドメインを取得することができます。
  2. Nmap を使用して、その IP が開いているポートのフルスキャンを実行し、提供されているサービスのポートに対して脆弱性スキャンを行い、攻撃サーバーを攻略しようとします。
  3. ネットワークアセットマッピングエンジンを使用して、攻撃溯源 IP を検索し、その IP が提供するサービスを取得します。
  4. その IP の正確な位置データをクエリします。
  5. その IP が提供するサービスに対して DoS 攻撃を行い、攻撃を継続するのを防ぎます。
  6. 多くの攻撃者は VPS を使用してプロキシ転送を行うか、直接 VPS を使用して攻撃する場合があります。その VPS プロバイダに攻撃者の IP の攻撃行為についてのチケットを提出すると、サービスプロバイダはその IP の攻撃行為を禁止するか、攻撃者のアカウントをブロックする可能性があります。

5.2 ドメイン#

  1. Whois クエリを使用して、メールアドレス、氏名を取得します。
  2. 工信部の ICP でドメインの登録情報を検索します。
  3. そのドメインの過去の Whois 情報を検索します。
  4. 検索エンジンでそのドメインを検索すると、攻撃者の他のアカウント情報が見つかる場合があります。

地理的位置の検索:

IP ロケーションウェブサイト

レッドチームの攻撃者は携帯ホットスポットを利用して攻撃を行う場合があります。その場合、彼らの位置を地理的に検索することができます。

6. ハニーポットの溯源#

現代のブラウザでは、同一生成ポリシーはユーザーの安全を保証するための中核です。クロスドメインリクエストを許可するために、JSONP が生まれました。

HTML では、scriptタグのsrc属性は同一生成ポリシーの影響を受けません。異なるドメインの JavaScript ファイルをscriptタグで参照することで、クロスドメインリクエストを実現することができます。これが JSONP です。

ハニーポットは、この原理を利用してソーシャル情報を取得します。

ハニーポットは、JSONP を使用してソーシャル情報を取得することは比較的困難であり、通常は次の 2 つの条件を満たす必要があります:

  1. 取得する第三者のウェブサイトがクロスドメインを許可し、クロスドメイン情報に機密情報が含まれていること
  2. 攻撃者が第三者のウェブサイトにログインし、ログアウトしていないこと

ハニーポットでソーシャル情報を取得した後、通常は次のいくつかの方法で進めます:

6.1 QQ 番号#

  1. 取得した情報は QQ 番号であり、QQ 番号に関連付けられた銀行口座の個人情報を取得するために、QQ 番号での大口振込を試みることができます。基本的には姓または名のいずれかの文字を取得できます。
  2. 百度贴吧などのフォーラムでその QQ 番号または QQ 番号に関連するメールアドレスを検索すると、百度贴吧のアカウントを取得することができる場合があります。
  3. Whois を使用して QQ メールアドレスを逆引き検索し、氏名またはドメインを取得することができます。
  4. WeChat でその QQ 番号を検索すると、攻撃者の WeChat アカウントを取得することができる場合があります。
  5. 小号を使用してその QQ を追加し、ソーシャルエンジニアリング手法を使用してさらに多くの情報を収集します(大量の個人情報を取得する場合にのみ実施)

6.2 携帯電話番号#

  1. そのアカウントに対して Alipay で送金し、携帯電話番号に対応する実際のユーザーの氏名を取得しようとします。
  2. WeChat でその携帯電話番号を検索し、WeChat アカウントを取得しようとします。
  3. DingTalk でその携帯電話番号を検索すると、一部の実際の氏名と勤務先を取得することができる場合があります。
  4. 検索エンジンでその携帯電話番号を検索すると、他のアカウント情報を取得することができる場合があります。
  5. その携帯電話番号で登録されたウェブサイト情報を検索します。

6.3 贴吧アカウント#

  1. 贴吧ツールキットを使用してアカウントのホームページと投稿内容を取得します。
  2. 投稿内容を確認し、QQ 番号、携帯電話番号、メールアドレス、おおよその年齢、氏名などを見つけるかもしれません。

6.4 ソーシャルエンジニアリングデータベース#

私の見解では、ソーシャルエンジニアリングデータベースは交差検証に使用され、データを直接取得する手段ではないため、十分な情報を取得した後にのみ、ソーシャルエンジニアリングデータベースと比較する必要があります。

6.5 その他のアカウント情報#

  1. QQ ニックネーム、WeChat ニックネーム、Alipay ニックネーム、贴吧ニックネームなどの情報を検索すると、他のプラットフォームの情報を取得する場合があります。例:Weibo、知乎、GitHub、その他のフォーラムや SNS コミュニティ
  2. アカウントの詳細情報を詳細に確認し、より多くの有用な情報を抽出します。例:氏名、性別、年齢、住所、勤務先、学校など

6.6 学校#

  1. 学校情報と氏名を取得した場合、検索エンジンで攻撃者の専攻情報、クラス、入学年月日、卒業年月日、学生番号などを取得できます。
  2. その学校の贴吧、QQ グループなどで尋ねるなどして、さらに多くの個人情報を取得します。
  3. 学士以上の学位の場合、知网で論文を検索し、研究方向を確認します。

6.7 メールアドレス#

  1. そのメールアドレスで登録されたウェブサイト情報を検索します。

6.8 HackerID の溯源#

  1. 検索エンジン
  2. 主要な SRC
  3. コミュニティの相談

7. 結論#

溯源の結果は通常次のようになります:

  • 氏名 / ID:

  • 攻撃 IP:

  • 地理的位置:

  • QQ:

  • IP アドレスの所属会社:

  • IP アドレスに関連するドメイン:

  • メールアドレス:

  • 携帯電話番号:

  • WeChat/Weibo/SRC/ID 証明:

  • 人物写真:

  • バウンスジャンプ:

  • 関連する攻撃イベント:

溯源のプロセスで最も重要なのはソーシャルエンジニアリングデータベースであり、次に上記の溯源分析アプローチです。

ハニーポットデバイスがある場合は、できるだけ高いインタラクションを設定してください。

読み込み中...
文章は、創作者によって署名され、ブロックチェーンに安全に保存されています。