一个案例,剖析攻防演练中威胁溯源的正确姿势

一年一度的攻防演练即将拉开帷幕。“威胁溯源”一直是演练活动中一个十分重要的工作项,它不仅有助于理解和分析攻击的来源、方法和动机,还能够显著提升整体安全防护水位,提升组件与人员的联动协作能力。在真实的攻击场景中,溯源工作还能造成对攻击者的威慑,进一步净化网络安全空间。

网宿作为重要的基础设施服务提供商,参与了多次各种类型和级别的攻防演练,同时也作为服务商为客户提供攻防演练保障服务,包括防御、监控、溯源和应急响应等,保护客户网络和系统安全,帮助客户发现漏洞、改进安全措施、提升应对真实威胁的能力。

下面,我们将从一个溯源案例说起,剖析攻防大战中“威胁溯源”的正确姿势,希望能够为读者提供一些思路,也预祝大家在演练中都能取得优异的成绩。

案例纪实

在某次攻防演练期间,网宿安服团队在为客户开展安全运维保障工作的过程中,发现219.*.*.247非法攻击IP。219.*.*.247对客户的多个域名进行多种Web攻击尝试,攻击行为已被WAF拦截并记录,同时该IP在客户官网注册账号,试图登录多个客户方站点进一步攻击。网宿通过联动分析两个系统的日志,最终溯源到攻击者的真实身份。

  • WAF日志监控到异常攻击行为

安服团队成员首先通过网宿WAF产品攻击日志监控到异常攻击行为。WAF监测到从早上9点开始北京地区IP 219.*.*.247针对大量客户域名的Web攻击行为,并且触发了多类攻击规则,这些客户方站点均已上WAF进行攻击行为的监控记录及拦截。

图1 219.*.*.247攻击日志

  • 登录日志监控到异常登录行为

在WAF监测到异常攻击的同时,网宿安服团队成员通过客户单点登录认证系统日志监测到该IP有登录客户方站点(官网,控制台)的行为。所使用的账号“wenhu”经后期分析确认是攻击者个人注册使用的账号,同时,我们还查询到该IP在使用wenhu登录之前还使用过1、test、admin这些可疑账号尝试登录。结合WAF记录到的大量攻击请求行为,判定该IP行为高度恶意,锁定到恶意账号wenhu。

图2 219.*.*.247异常登录日志

  • 深入分析WAF日志定位入侵点&应急响应

然后我们对WAF日志深入分析定位入侵点,以及进行应急响应。首先与负责对接此次攻防演练的客户方安全部门接口人协作,针对该IP和账号在网宿全球边缘节点及客户本地边界防护设备和应用系统进行全面封禁,避免进一步的入侵。同时我们深度分析该IP在WAF上的日志,发现该IP针对某客户站点的登录页面有大量访问尝试,并且使用了异常的UA,包含java和版本,怀疑该站点的登录入口存在java类漏洞可以被利用。团队分析研判组人员进一步排查到该网站使用shiro框架,尝试进行漏洞利用成功。

图3 219.*.*.247 WAF攻击日志

接着网宿侧迅速将此次事件反馈到本次攻防演练的协作群进行站点归属确认,并找到该站点相关的运维管理员,登录服务器进行应急排查,发现网站使用shiro框架且存在漏洞,于是立即通知管理员进行修复,然后检查利用成功的操作行为记录和已部署的HIDS的告警记录确认服务器是否有入侵痕迹,所幸未发现攻击者明显入侵成功的痕迹。当天客户运维方完成漏洞修复,分析研判组进行修复验证,确认站点已不存在漏洞。

  • 攻击者溯源

经了解,客户官网注册必须使用真实存在的手机号接收验证码,我们通过客户方后台账号管理系统查询到wenhu账号的注册手机为189******24,运营商归属为北京电信,该真实手机号和攻击者的IP都在北京地区,因此判定该手机号很可能为攻击者真实使用的手机号。我们进一步通过社工库、各种社交网站/APP、互联网信息门户等渠道进行综合查询,定位到人员真实姓名及其位于北京的住址。

图4 219.*.*.247攻击者溯源

小结:实战演习期间的溯源要点

每个公司的应用系统、组织架构、团队工作模式均有不同,在实际的攻防演练场景中,溯源工作流程及方式也不尽相同,但大概率都会经历以下这5个阶段:

1、检测阶段:这一阶段的目的是识别网络或系统中是否存在安全事件或攻击活动,通常通过监控日志文件、网络流量、安全工具告警来实现。

2、响应阶段:在确认安全事件或攻击之后,立即采取行动以最小化损害,保护关键资产,隔离受影响的资产防止进一步扩散,应急响应正是在这个阶段执行。

3、分析阶段:包括收集和分析相关证据。收集所有与安全事件相关的数据。这包括但不限于日志文件、网络流量、入侵检测系统(IDS)/入侵防御系统(IPS)/防火墙/网络流量分析(NTA)/ Web应用防火墙(WAF)/ 安全访问服务边缘(SASE)/防病毒软件/端点防护(EDR)/主机入侵检测系统(HIDS)等安全工具告警、恶意样本以及任何可以提供攻击线索的信息。在收集到足够的数据后进行更深入的分析,以识别攻击的特征和模式,确定攻击者可能利用的漏洞、攻击手法、恶意样本类型等。这个过程可能涉及到网络流量深度分析、日志文件详细审查、恶意样本逆向工程等技术。

4、溯源阶段:主要包括确定攻击源、追踪攻击路径和归属分析。基于深入分析的结果,尝试识别具体的攻击源。这可能包括识别攻击者使用的IP地址、域名、服务器位置、或者其他可以指向攻击者身份的信息。这一步骤也可能非常复杂,因为攻击者可能会通过代理网络、域前置、僵尸网络等方式来隐藏自己。确定攻击源后,下一步是追踪攻击的路径。这包括确定攻击者是如何进入网络的,他们访问了哪些系统,以及他们是如何从初始入侵点向其他系统扩散并进行访问权限的扩展的。归属分析是尝试将攻击归属于特定的个体、组织或国家。这可能涉及到分析攻击的动机、使用的特定工具或技术、行动模式、以及任何可能与之前已知攻击相匹配的指标,并且常常涉及到大量猜测,因为攻击者往往会通过各种手段来隐藏其真实身份。

5、处置阶段:主要包括系统和服务的恢复、漏洞修补和系统加固,根据溯源了解到攻击行为模式制定有效的防御措施和应对策略来防止未来类似的攻击,以及编写并提交详细的溯源报告,总结溯源过程中的发现、分析结果和推荐的应对措施,通告报告以提高组织的安全意识。

图5 攻击溯源流程图

威胁溯源就是与攻击者斗智斗勇的过程,十分考验安全人员的分析研判能力和信息收集能力,我们认为,一次成功的溯源,少不了这几个关键要素:

1、详细的日志记录:利用系统和网络设备的日志文件来追踪攻击者的活动。这要求防守方必须有良好的日志管理和分析能力。可以借助安全工具的日志和告警获取攻击发生前后的详细信息,包括但不限于IDS/IPS、防火墙、NTA、WAF、SASE、HIDS、EDR等。例如上述两起溯源案例中,网宿WAF都详细记录了网络攻击及拦截日志信息,客户业务系统登录日志也详细记录了各账户的登录时间和结果。

2、深入的网络流量监控和分析:实时监控进出网络的数据流量,分析异常流量,识别潜在的攻击行为,例如上述溯源案例通过严密监控WAF日志初步发现攻击行为并对异常网络流量进行深入分析,包括但不限于源IP地址、端口、协议、请求头特征、及其它传输层特征,这可以帮助识别攻击的路径和方法,如此前分析出的异常的UA头帮助定位攻击者利用java类漏洞入侵。

3、丰富的威胁情报:有效利用威胁情报可以帮助识别攻击者的身份、使用的技术、工具和基础设施。包括但不限于利用外部威胁情报数据库,与其它组织或安全机构共享威胁情报,利用社工库,利用各种互联网资源查询等。例如在每年的演练期间,网宿安全的客户均能够收到网宿安全平台同步的攻击队IP情报及高危漏洞情报,情报来源于网宿平台上百家参与演习的客户的攻击样本,经过网宿安全团队分析研判,确认其恶意程度,并实时通过API或邮件共享给客户。这些情报具有极高的应用价值和准确度,能够帮助演练客户尽可能地消除攻防对抗中的信息差,进行事前防护。

4、专业的溯源工具和技术:应用专业的溯源工具和技术,如反向DNS查询、IP地址地理位置查询、网络探针和蜜罐技术等,可以为溯源提供更多线索,帮助确定攻击者的位置和身份。

5、高效的跨团队协作:包括防守方团队内部各组间的紧密协作,例如监控组、分析研判组、应急响应组之间的高效协作;也包括防守方团队与组织内部其它团队间的协作,例如上述案例中的信息技术部门和业务运维方;可能还包括防守方团队与外部组织间的协作,如与其它安全团队或安全研究机构合作。团队间高效的沟通和协作,能够提高溯源的速度和成功率。

6、丰富的应急响应经验:丰富的应急响应经验能够帮助快速识别攻击特征和模式,如高效利用各种取证、分析工具快速从大量攻击数据中提取出攻击特征,识别出隐藏的攻击行为,通过样本分析定位出样本家族、C2和攻击团伙。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/343384.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

智慧校园教学模式的崛起:优化学习体验

在当今数字化时代,智慧校园教学模式正在成为教育界的热门话题。随着科技的不断发展,传统的教学方式已经无法满足现代学生的需求。智慧校园教学模式以其灵活性、互动性和个性化的特点,正逐渐改变着教育的面貌。 首先,智慧校园教学模…

[消息队列 Kafka] Kafka 架构组件及其特性(二)Producer原理

这边整理下Kafka三大主要组件Producer原理。 目录 一、Producer发送消息源码流程 二、ACK应答机制和ISR机制 1)ACK应答机制 2)ISR机制 三、消息的幂等性 四、Kafka生产者事务 一、Producer发送消息源码流程 Producer发送消息流程如上图。主要是用…

Go微服务: 基于使用场景理解分布式之二阶段提交

概述 二阶段提交(Two-Phase Commit,2PC)是一种分布式事务协议,用于在分布式系统中确保多个参与者的操作具有原子性即所有参与者要么全部提交事务,要么全部回滚事务,以维持数据的一致性它分为两个阶段进行&…

【机器学习基础】Python编程06:五个实用练习题的解析与总结

Python是一种广泛使用的高级编程语言,它在机器学习领域中的重要性主要体现在以下几个方面: 简洁易学:Python语法简洁清晰,易于学习,使得初学者能够快速上手机器学习项目。 丰富的库支持:Python拥有大量的机器学习库,如scikit-learn、TensorFlow、Keras和PyTorch等,这些…

国标GB/T 28181详解:国标GBT28181-2022的客户端主动发起历史视音频回放流程

目录 一、定义 二、作用 1、提供有效的数据回顾机制 2、增强监控系统的功能性 3、保障数据传输与存储的可靠性 4、实现精细化的操作与控制 5、促进监控系统的集成与发展 三、历史视音频回放的基本要求 四、命令流程 1、流程图 2、流程描述 五、协议接口 1、会话控…

嵌入式Linux系统编程 — 2.1 标准I/O库简介

目录 1 标准I/O库简介 1.1 标准I/O库简介 1.2 标准 I/O 和文件 I/O 的区别 2 FILE 指针 3 标准I/O库的主要函数简介 4 标准输入、标准输出和标准错误 4.1 标准输入、标准输出和标准错误概念 4.2 示例程序 5 打开文件fopen() 5.1 fopen()函数简介 5.2 新建文件的权限…

Ezsql(buuctf加固题)

开启环境 SSH连接 第一个为页面地址WEB服务 or 11# 利用万能密码登录 密码可以随便输入或者不输入 这里就可以判断这个题目是让我们加固这个登录页面 防止sql注入 查看index.php 添加以下代码 $username addslashes($username); $password addslashes($password);…

RK3588+FPGA+算能BM1684X:高性能AI边缘计算盒子,应用于视频分析、图像视觉等

搭载RK3588(四核 A76四核 A55),CPU主频高达 2.4GHz ,提供1MB L2 Cache 和 3MB L3 ,Cache提供更强的 CPU运算能力,具备6T AI算力,可扩展至38T算力。 产品规格 系统主控CPURK3588,四核…

FactoryTalk View Site Edition的VBA基本应用

第一节 在VBA中标签的读取和写入 本例要达到的目标是通过FactoryTalk View Site Edition(以下简称SE)的VBA来访问PLC中的下位标签,并实现标签的读写。 1.准备工作 打开SE,选择应用程序类型(本例是Site Edition Netwo…

后端进阶-分库分表

文章目录 为什么需要分库为什么需要分表 什么时候需要分库分表只需要分库只需要分表 分库分表解决方案垂直分库水平分库垂直分表水平分表 分库分表常用算法范围算法hash分片查表分片 分库分表模式客户端模式代理模式 今天跟着训练营学习了分库分表,整理了学习笔记。…

【Linux】进程(8):Linux真正是如何调度的

大家好,我是苏貝,本篇博客带大家了解Linux进程(8):Linux真正是如何调度的,如果你觉得我写的还不错的话,可以给我一个赞👍吗,感谢❤️ 目录 之前我们讲过,在大…

[ubuntu18.04]搭建mptcp测试环境说明

MPTCP介绍 Multipath TCP — Multipath TCP -- documentation 2022 documentation 安装ubuntu18.04,可以使用虚拟机安装 点击安装VMware Tool 桌面会出现如下图标 双击打开VMware Tools,复制如下图所示的文件到Home目录 打开终端,切换到管…

C++结合ffmpeg获取声音的分贝值

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言一、分贝是什么?1.功率量2.场量 二、实际操作1.分析wav文件2.读取麦克风 总结 前言 最近面对一个需求,就是需要传递声音文件到模型里推…

CTFHUB-技能树-web-信息泄露

目录 1.目录遍历 2.PHPINFO 3.备份文件下载 3.1 网站源码 3.2 bak文件 3.3 vim缓存 3.4 .DS_Store 4.Git泄露 4.1 Log 4.2 Stash 4.3 Index 5.SVN泄露 6.HG泄露 1.目录遍历 这个没什么好讲的,进去直接点击找flag,然后在下面目录翻,就找到了 …

【Vue】路由介绍

一、引入 思考 单页面应用程序,之所以开发效率高,性能好,用户体验好 最大的原因就是:页面按需更新 比如当点击【发现音乐】和【关注】时,只是更新下面部分内容,对于头部是不更新的 要按需更新&#xff…

mysql 8 linux7,8安装教程

选择自己对应的linux版本 cat /etc/os-release //查看自己linux系统版本 1.mysql下载地址 MySQL :: Download MySQL Community Server (Archived Versions) 拉到下面找到 选择自己linux指定的版本,否则会很麻烦 cat /etc/os-release //查看系统版本 2.查…

抱抱脸上第一的开原模型Qwen2-72B;腾讯开源人像照片生成视频的模型;Facebook开源翻译模型;智谱 AI 推出的最新一代预训练模型

✨ 1: Qwen2 Qwen2 是一种多语言预训练和指令调优的语言模型,支持128K上下文长度并在多项基准测试中表现优异。 Qwen2(全称“Qwen Qwen”,简称Qwen)是一个先进的大语言模型家族,在其前身Qwen1.5的基础上进行了重大提…

读取文件

自学python如何成为大佬(目录):自学python如何成为大佬(目录)_利用python语言智能手机的默认语言实战一-CSDN博客 在Python中打开文件后,除了可以向其写入或追加内容,还可以读取文件中的内容。读取文件内容主要分为以下几种情况: 1 读取指…

【人工智能】流行且重要的智能算法整理

✍🏻记录学习过程中的输出,坚持每天学习一点点~ ❤️希望能给大家提供帮助~欢迎点赞👍🏻收藏⭐评论✍🏻指点🙏 小记: 今天在看之前写的文档时,发现有人工智能十大算法的内容&#xf…

wireshark 二次开发

一、 Windows 准备 1、源代码下载 Git:https://github.com/wireshark/wireshark 2、 准备Visual C 要编译wireshark,开发电脑上应该安装了Visual Studio并包括了Visual C,请至少安装Visual Studio 2010以减少不必要的麻烦。 visual studio …