一个案例,剖析攻防演练中威胁溯源的正确姿势

一年一度的攻防演练即将拉开帷幕。“威胁溯源”一直是演练活动中一个十分重要的工作项,它不仅有助于理解和分析攻击的来源、方法和动机,还能够显著提升整体安全防护水位,提升组件与人员的联动协作能力。在真实的攻击场景中,溯源工作还能造成对攻击者的威慑,进一步净化网络安全空间。

网宿作为重要的基础设施服务提供商,参与了多次各种类型和级别的攻防演练,同时也作为服务商为客户提供攻防演练保障服务,包括防御、监控、溯源和应急响应等,保护客户网络和系统安全,帮助客户发现漏洞、改进安全措施、提升应对真实威胁的能力。

下面,我们将从一个溯源案例说起,剖析攻防大战中“威胁溯源”的正确姿势,希望能够为读者提供一些思路,也预祝大家在演练中都能取得优异的成绩。

案例纪实

在某次攻防演练期间,网宿安服团队在为客户开展安全运维保障工作的过程中,发现219.*.*.247非法攻击IP。219.*.*.247对客户的多个域名进行多种Web攻击尝试,攻击行为已被WAF拦截并记录,同时该IP在客户官网注册账号,试图登录多个客户方站点进一步攻击。网宿通过联动分析两个系统的日志,最终溯源到攻击者的真实身份。

  • WAF日志监控到异常攻击行为

安服团队成员首先通过网宿WAF产品攻击日志监控到异常攻击行为。WAF监测到从早上9点开始北京地区IP 219.*.*.247针对大量客户域名的Web攻击行为,并且触发了多类攻击规则,这些客户方站点均已上WAF进行攻击行为的监控记录及拦截。

图1 219.*.*.247攻击日志

  • 登录日志监控到异常登录行为

在WAF监测到异常攻击的同时,网宿安服团队成员通过客户单点登录认证系统日志监测到该IP有登录客户方站点(官网,控制台)的行为。所使用的账号“wenhu”经后期分析确认是攻击者个人注册使用的账号,同时,我们还查询到该IP在使用wenhu登录之前还使用过1、test、admin这些可疑账号尝试登录。结合WAF记录到的大量攻击请求行为,判定该IP行为高度恶意,锁定到恶意账号wenhu。

图2 219.*.*.247异常登录日志

  • 深入分析WAF日志定位入侵点&应急响应

然后我们对WAF日志深入分析定位入侵点,以及进行应急响应。首先与负责对接此次攻防演练的客户方安全部门接口人协作,针对该IP和账号在网宿全球边缘节点及客户本地边界防护设备和应用系统进行全面封禁,避免进一步的入侵。同时我们深度分析该IP在WAF上的日志,发现该IP针对某客户站点的登录页面有大量访问尝试,并且使用了异常的UA,包含java和版本,怀疑该站点的登录入口存在java类漏洞可以被利用。团队分析研判组人员进一步排查到该网站使用shiro框架,尝试进行漏洞利用成功。

图3 219.*.*.247 WAF攻击日志

接着网宿侧迅速将此次事件反馈到本次攻防演练的协作群进行站点归属确认,并找到该站点相关的运维管理员,登录服务器进行应急排查,发现网站使用shiro框架且存在漏洞,于是立即通知管理员进行修复,然后检查利用成功的操作行为记录和已部署的HIDS的告警记录确认服务器是否有入侵痕迹,所幸未发现攻击者明显入侵成功的痕迹。当天客户运维方完成漏洞修复,分析研判组进行修复验证,确认站点已不存在漏洞。

  • 攻击者溯源

经了解,客户官网注册必须使用真实存在的手机号接收验证码,我们通过客户方后台账号管理系统查询到wenhu账号的注册手机为189******24,运营商归属为北京电信,该真实手机号和攻击者的IP都在北京地区,因此判定该手机号很可能为攻击者真实使用的手机号。我们进一步通过社工库、各种社交网站/APP、互联网信息门户等渠道进行综合查询,定位到人员真实姓名及其位于北京的住址。

图4 219.*.*.247攻击者溯源

小结:实战演习期间的溯源要点

每个公司的应用系统、组织架构、团队工作模式均有不同,在实际的攻防演练场景中,溯源工作流程及方式也不尽相同,但大概率都会经历以下这5个阶段:

1、检测阶段:这一阶段的目的是识别网络或系统中是否存在安全事件或攻击活动,通常通过监控日志文件、网络流量、安全工具告警来实现。

2、响应阶段:在确认安全事件或攻击之后,立即采取行动以最小化损害,保护关键资产,隔离受影响的资产防止进一步扩散,应急响应正是在这个阶段执行。

3、分析阶段:包括收集和分析相关证据。收集所有与安全事件相关的数据。这包括但不限于日志文件、网络流量、入侵检测系统(IDS)/入侵防御系统(IPS)/防火墙/网络流量分析(NTA)/ Web应用防火墙(WAF)/ 安全访问服务边缘(SASE)/防病毒软件/端点防护(EDR)/主机入侵检测系统(HIDS)等安全工具告警、恶意样本以及任何可以提供攻击线索的信息。在收集到足够的数据后进行更深入的分析,以识别攻击的特征和模式,确定攻击者可能利用的漏洞、攻击手法、恶意样本类型等。这个过程可能涉及到网络流量深度分析、日志文件详细审查、恶意样本逆向工程等技术。

4、溯源阶段:主要包括确定攻击源、追踪攻击路径和归属分析。基于深入分析的结果,尝试识别具体的攻击源。这可能包括识别攻击者使用的IP地址、域名、服务器位置、或者其他可以指向攻击者身份的信息。这一步骤也可能非常复杂,因为攻击者可能会通过代理网络、域前置、僵尸网络等方式来隐藏自己。确定攻击源后,下一步是追踪攻击的路径。这包括确定攻击者是如何进入网络的,他们访问了哪些系统,以及他们是如何从初始入侵点向其他系统扩散并进行访问权限的扩展的。归属分析是尝试将攻击归属于特定的个体、组织或国家。这可能涉及到分析攻击的动机、使用的特定工具或技术、行动模式、以及任何可能与之前已知攻击相匹配的指标,并且常常涉及到大量猜测,因为攻击者往往会通过各种手段来隐藏其真实身份。

5、处置阶段:主要包括系统和服务的恢复、漏洞修补和系统加固,根据溯源了解到攻击行为模式制定有效的防御措施和应对策略来防止未来类似的攻击,以及编写并提交详细的溯源报告,总结溯源过程中的发现、分析结果和推荐的应对措施,通告报告以提高组织的安全意识。

图5 攻击溯源流程图

威胁溯源就是与攻击者斗智斗勇的过程,十分考验安全人员的分析研判能力和信息收集能力,我们认为,一次成功的溯源,少不了这几个关键要素:

1、详细的日志记录:利用系统和网络设备的日志文件来追踪攻击者的活动。这要求防守方必须有良好的日志管理和分析能力。可以借助安全工具的日志和告警获取攻击发生前后的详细信息,包括但不限于IDS/IPS、防火墙、NTA、WAF、SASE、HIDS、EDR等。例如上述两起溯源案例中,网宿WAF都详细记录了网络攻击及拦截日志信息,客户业务系统登录日志也详细记录了各账户的登录时间和结果。

2、深入的网络流量监控和分析:实时监控进出网络的数据流量,分析异常流量,识别潜在的攻击行为,例如上述溯源案例通过严密监控WAF日志初步发现攻击行为并对异常网络流量进行深入分析,包括但不限于源IP地址、端口、协议、请求头特征、及其它传输层特征,这可以帮助识别攻击的路径和方法,如此前分析出的异常的UA头帮助定位攻击者利用java类漏洞入侵。

3、丰富的威胁情报:有效利用威胁情报可以帮助识别攻击者的身份、使用的技术、工具和基础设施。包括但不限于利用外部威胁情报数据库,与其它组织或安全机构共享威胁情报,利用社工库,利用各种互联网资源查询等。例如在每年的演练期间,网宿安全的客户均能够收到网宿安全平台同步的攻击队IP情报及高危漏洞情报,情报来源于网宿平台上百家参与演习的客户的攻击样本,经过网宿安全团队分析研判,确认其恶意程度,并实时通过API或邮件共享给客户。这些情报具有极高的应用价值和准确度,能够帮助演练客户尽可能地消除攻防对抗中的信息差,进行事前防护。

4、专业的溯源工具和技术:应用专业的溯源工具和技术,如反向DNS查询、IP地址地理位置查询、网络探针和蜜罐技术等,可以为溯源提供更多线索,帮助确定攻击者的位置和身份。

5、高效的跨团队协作:包括防守方团队内部各组间的紧密协作,例如监控组、分析研判组、应急响应组之间的高效协作;也包括防守方团队与组织内部其它团队间的协作,例如上述案例中的信息技术部门和业务运维方;可能还包括防守方团队与外部组织间的协作,如与其它安全团队或安全研究机构合作。团队间高效的沟通和协作,能够提高溯源的速度和成功率。

6、丰富的应急响应经验:丰富的应急响应经验能够帮助快速识别攻击特征和模式,如高效利用各种取证、分析工具快速从大量攻击数据中提取出攻击特征,识别出隐藏的攻击行为,通过样本分析定位出样本家族、C2和攻击团伙。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/23843.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

verilog 232串口通信程序

1,串口通信协议: 通常串口的一次发送或接收由四个部分组成:起始位S、数据位D0~D7(一般为 6 位~8 位之间可变,数据低位在前)、校验位(奇校验、偶检验或不需要校验位)、停止位(通常为1位、1.5位、2位)。停止位必须为逻辑 1。在一次串口通信过程中,数据接收与发送双方…

[STM32]定位器与PWM的LED控制

目录 1. 深入了解STM32定时器原理,掌握脉宽调制pwm生成方法。 (1)STM32定时器原理 原理概述 STM32定时器的常见模式 使用步骤 (2)脉宽调制pwm生成方法。 2. 实验 (1)LED亮灭 代码 测试效果 (2)呼吸灯 代码 测试效果 3.总结 1. 深入了解STM32定时器原…

Redis使用中的性能优化——搭建Redis的监测服务

大纲 环境安装配置Redis安装 安装配置redis_exporter编译运行 安装启动Prometheus创建用户下载并解压修改配置启动 安装启动grafana安装启动 测试参考资料 抛开场景和数据,谈论性能优化,就是纸上谈兵。这个系列我们将通过相关数据来展现常见的Mysql优化前…

微信小程序多端框架打包后发布到APP Store

IPA 上架 App Store 生成 iOS 证书和 Provisioning Profile iOS 开发者账号缴/续费的发票查看和获取 个人开发者把小程序发布到 App Store 5个步骤(保姆级教程) 一、参数的设置、证书的生成、生成profile文件 微信小程序多端应用Donut IOS相关的参数…

互联网轻量级框架整合之SpringMVC初始化及各组件工作原理

Spring MVC的初始化和流程 MVC理念的发展 SpringMVC是Spring提供给Web应用领域的框架设计,MVC分别是Model-View-Controller的缩写,它是一个设计理念,不仅仅存在于Java中,各类语言及开发均可用,其运转流程和各组件的应…

使用Ollama+OpenWebUI部署和使用Phi-3微软AI大模型完整指南

🏡作者主页: 点击! 🤖AI大模型部署与应用专栏:点击! ⏰️创作时间:2024年6月6日23点50分 🀄️文章质量:96分 欢迎来到Phi-3模型的奇妙世界!Phi-3是由微软…

网络安全:https劫持

文章目录 参考https原理https窃听手段SSL/TLS降级原理难点缺点 SSL剥离原理发展缺点前端劫持 MITM攻击透明代理劫持 参考 https原理 SNI 浏览器校验SSL证书 https降级 https握手抓包解析 lets encrypt申请证书 https原理 步骤如下: 客户端向服务器发送https请求。…

动态IP与静态IP的优缺点

在网络连接中,使用动态和静态 IP 地址取决于连接的性质和要求。静态 IP 地址通常更适合企业相关服务,而动态 IP 地址更适合家庭网络。让我们来看看动态 IP 与静态 IP 的优缺点。 1.静态IP的优点: 更好的 DNS 支持:静态 IP 地址在…

MATLAB基础应用精讲-【数模应用】二元Logit分析(最终篇)(附python、MATLAB和R语言代码实现)

目录 算法原理 SPSSAU 1、二元logistic分析思路说明 2、如何使用SPSSAU进行二元logistic操作 3、二元logistic相关问题 算法流程 一、分析前准备 1、确定分析项 2.多重共线性判断 3.数据预处理 二、回归基本情况分析 三、模型拟合评价 1、似然比检验 2、拟合优…

晶圆几何量测系统支持半导体制造工艺量测,保障晶圆制造工艺质量

晶圆面型参数厚度、TTV、BOW、Warp、表面粗糙度、膜厚、等是芯片制造工艺必须考虑的几何形貌参数。其中TTV、BOW、Warp三个参数反映了半导体晶圆的平面度和厚度均匀性,对于芯片制造过程中的多个关键工艺质量有直接影响。 TTV、BOW、WARP对晶圆制造工艺的影响 对…

详细分析Mysql中的 JSON_ARRAYAGG 基本知识(附Demo)

目录 1. 基本知识2. Demo2.1 简单聚合2.2 带排序聚合2.2.1 子查询进行排序2.2.2 创建临时表 2.3 带条件聚合2.4 多列聚合2.5 嵌套 JSON 结构 1. 基本知识 JSON_ARRAYAGG为 SQL 聚合函数,用于将一组值聚合为一个 JSON 数组 多行结果组合成一个 JSON 数组形式的场景…

企业研发数据泄露损失严重,研发数据保护到底怎么才能有效落地?

数据已成为企业毋庸置疑的核心资产,而企业众多数据中,研发数据则占据着重要的角色,近年来,发生了多起企业研发数据被窃取或泄露的事件,给企业带来严重的名誉、经济损失: 小米公司:2023年1月&am…

Linux驱动应用编程(三)UART串口

本文目录 前述一、手册查看二、命令行调试串口1. 查看设备节点2. 使用stty命令设置串口3. 查看串口配置信息4. 调试串口 三、代码编写1. 常用API2. 例程线程优化 前述 在开始实验前,请一定要检查测试好所需硬件是否使用正常,不然调试过程中出现的问题&am…

华为机考入门python3--(33)牛客33-图片整理

分类:排序 知识点: 对字符串中的字符ASCII码排序 sorted(my_str) 题目来自【牛客】 def sort_images(s):# 可以使用ord(A)求A的ASCII值,需要注意的是A的值(65)比a的值小(97)sorted_images …

70 Realistic Mountain Environment Textures Cliff(70+张真实的山地环境纹理)

大量适合山区和其他岩石环境的纹理--悬崖、岩石、砾石等等 每个纹理都是可贴的/无缝的,并且完全兼容各种不同的场景--标准Unity地形、Unity标准着色器、URP、HDRP等等都兼容。 所有的纹理都是4096x4096,并包括一个HDRP掩码,以完全支持HDRP。 特点。 70种质地 70种材料 70个地…

AI视频教程下载:用LangChain开发 ChatGPT和 LLMs 应用

在这个快速变化的人工智能时代,我们为您带来了一场关于语言模型和生成式人工智能的革命性课程。这不仅仅是一个课程,而是一次探险,一次深入人工智能核心的奇妙之旅。 在这里,您将开启一段激动人心的旅程,探索语言模型…

利用架构挖掘增强云管理

管理当今复杂的云环境比以往任何时候都更加重要。 大多数企业依赖 AWS、Azure、Kubernetes 和 Microsoft Entra ID 等各种平台来支持其运营,但管理这些平台可能会带来重大挑战。 云优化的最大挑战涉及安全性、成本管理和了解云基础设施内错综复杂的相互依赖关系。…

【数据库】255对比256的优势

文章目录 2552^8-1 ,很多时候用到255却步凑整到256,这是为啥呢?一番了解总结 2552^8-1 ,很多时候用到255却步凑整到256,这是为啥呢? 比如下面的两种情况: RabbitMQ的routing_key 和 binding_key 的最大长度255 字节。Navicat添…

基于springboot实现农产品直卖平台系统项目【项目源码+论文说明】

基于springboot实现农产品直卖平台系统的设计演示 摘要 计算机网络发展到现在已经好几十年了,在理论上面已经有了很丰富的基础,并且在现实生活中也到处都在使用,可以说,经过几十年的发展,互联网技术已经把地域信息的隔…

常见的Web漏洞——CORS

渗透做了多年的朋友都知道,大洞小洞都是漏洞。因此也学习、沉淀一下以前没重视的漏洞。 简介 CORS(Cross-Origin Resource Sharing,跨源资源共享)是一种由Web浏览器实现的安全策略,用于控制一个Web页面(服…