常见溯源,反溯源,判断蜜罐手段

2024-04-08 17:12

本文主要是介绍常见溯源,反溯源,判断蜜罐手段,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

常见溯源,反溯源,判断蜜罐手段

  • 1.溯源手段
  • 2.反溯源手段
  • 3.如何判断蜜罐🍯
  • 4.案例:MySQL读文件蜜罐

1.溯源手段

  1. IP地址追踪:通过IP地址追踪可以确定攻击者的地理位置和ISP信息等;通过攻击IP历史解析记录/域名,对域名注册信息进行溯源分析
  2. ID追踪术:搜索引擎、社交平台、技术论坛、社工库匹配
  3. 日志分析:如登录失败、文件访问、网络流量等等。通过日志分析,可以确定攻击者的IP地址、攻击时间、攻击方式等信息
  4. 样本分析:提取样本特征、用户名、ID、邮箱、C2服务器等信息
  5. 流量分析:例如大量的传出流量、疑似数据包嗅探、网络扫描等等
  6. 威胁情报分析:使用威胁情报分析技术,收集、分析和利用公开和私人的威胁情报
  7. 电子邮件头分析:邮件头、邮件源代码中包含了一些关于发送方和接收方的信息,例如IP地址、电子邮件客户端类型等
  8. 数字取证:利用磁盘取证技术,可以分析硬盘中的数据和文件,找到攻击者留下的痕迹和证据
    利用内存取证技术,可以分析内存中的数据和进程
    利用网络取证技术,可以分析网络中的数据包和流量
  9. 蜜罐捕获: 使用蜜罐对攻击者进行诱导捕获

案例一:通过恶意样本分析进行溯源反制

在一次恶意软件攻击事件中,我们发现了一封携带恶意附件的电子邮件。通过对恶意样本的分析,我们提取出了样本的特征、用户名、ID、邮箱等信息。同时,通过对C2服务器的分析,我们发现了攻击者的命令和控制通道。结合这些信息,我们进一步同源分析了其他类似恶意样本,发现了一些共同的特征和手法。根据这些线索,我们成功定位到了攻击者的个人ID和QQ号。最终,我们通过社交平台和相关机构合作,找到了攻击者的真实身份并采取了相应的反制措施

案例二:通过域名解析信息进行溯源反制

在一次DDoS攻击事件中,我们发现攻击流量来自于大量的虚假IP地址。通过对流量的深入分析,我们发现这些虚假IP地址是通过域名解析的方式获得的。于是,我们对攻击IP的历史解析记录进行了溯源分析,发现这些记录与一个域名有关联。进一步查询该域名的注册信息,我们发现该域名是由一个组织注册的。最终,我们定位到了该组织为攻击者的身份并采取了相应的反制措施

案例三:通过IP定位技术进行溯源反制

在一次网络攻击事件中,安全设备报警显示有一台服务器被扫描。通过对日志和流量的分析,发现该服务器的IP地址在短时间内出现了大量的异常请求。为了查明攻击者的真实身份,我们采用了IP定位技术。通过反向查询攻击IP的历史解析记录,我们发现该IP地址与一个代理IP有关联。进一步溯源分析代理IP的注册信息,最终定位到了攻击者的地理位置和真实身份。随后,我们采取了相应的反制措施,包括关闭被攻击的服务器、报警并通知相关机构等


2.反溯源手段

  1. 攻击网络隐匿:流量统一经网关走VPN(网络接入点匿名、途径节点匿名且加密、使用的公网服务器匿名)进出;任何需要交互操作的地方,都需要挂上全局代理
  2. 杜绝安全恶习:所有工作均在虚拟机进行;不同需求(开发、渗透)分配不同虚拟机;绝不使用弱密码;账户混用(比如在项目A中用了一个匿名邮箱,或者其他什么账户,在项目B中继续使用);密码通用
  3. 不要留下蛛丝马迹:杜绝早期目标调研的时候用真实IP去访问;自写工具留下特征值
  4. 小心蜜罐🍯:看起来很多漏洞的站点,有明显的弱密码可以进后台,小心;做任何事之前,使用插件判断是否为蜜罐
  5. 删除日志
    kill <bash process ID> 终止bash进程
    set +o history 不写入历史记录
    unset HISTFILE 清除历史记录的环境变量

3.如何判断蜜罐🍯

1、基于蜜罐指纹的识别

对蜜罐而言会留下属于它独特的指纹信息,所以识别直接部署的开源蜜罐比较简单,使用工具跑已知指纹即可

除了开源蜜罐外,一些商业蜜罐也会留下指纹信息,除了蜜罐的客户端外,蜜罐的管理端也可以通过指纹进行识别

2、基于溯源方式的识别

很多商业蜜罐都会使用各大厂商(如淘宝、百度、京东等)的前端漏洞来获取攻击者的身份信息。该技术主要依靠主流厂商的jsonp或xss漏洞,将这些漏洞积聚成前端的js水坑代码,当用户浏览器解析到这些js请求时,跨域获取该用户在这些主流应用中的指纹信息,从而达到身份溯源的目的(chrome80以后不行了)

实际执行jsonp或xss的请求是在用户侧进行的,这个原生请求是无法做加密或混淆的。当我们发现在访问某个应用系统时有大量对各大主流厂商的ajax请求时大概率就是遇到蜜罐了

3、基于配置失真的识别

蜜罐系统为了捕获攻击行为,会让自己变得“特别容易被识别”,从而导致配置失真,通常该类蜜罐会在server、header、title等字段里会返回大量的特征信息,如从server里发现一个系统既是iis也是apache的,这在逻辑上就是不合理的,是典型的蜜罐特征

除此之外,蜜罐系统开放的端口也可能导致配置失真。如一台服务器同时开放了22和3389端口,或是8080端口显示windows,而8081显示ubuntu。以上都是不符合常理的端口配置

4、检测虚拟机特征

我们可以通过检测虚拟机特征来初步判断是否处在一个蜜网内

  • VM虚拟机常用mac地址前缀:00-05-69,00-0C-29,00-50-56等
  • 判断 OpenVZ/Xen PV/UML,此方式是一种常见且比较准确的识别虚拟机的方式

5、基于伪造场景的识别

在一些高交互的蜜罐中,为了引诱攻击者对系统进行攻击,蜜罐通常设置的非常真实,不仅贴合业务并且在还在攻击者的一些常用攻击套路上“设坑诱捕”

例如手机号诱捕识别,手机号诱捕主要基于让用户自发输入手机号来获得其真实电话号码,常用的场景来在于短信验证码。使用手机号诱捕的核心思路还是在于如何引诱攻击者使用自身手机号来收取验证码完成系统敏感操作。蜜罐会构造一些特殊的场景来实现反制的隐蔽性,例如故意泄漏陷阱站点的源码文件,然后在源码文件中预设上传漏洞,在上传漏洞的利用条件里加上必须返回短信验证码才能实现成功上传,攻击者按照一套流程走下来后往往会放心戒心,认为这并不是一个蜜罐,为了获取webshell而使用自身的手机号,从而获取到该类信息


4.案例:MySQL读文件蜜罐

在MySQL中LOAD DATA INFILE 语句可以从文本文件中读取行到表中

该功能默认是关闭的,开启之后我们就可以通过如下命令进行文件读取并且写入到表中:

load data local infile 'C:/1.txt' into table test fields terminated by '\n';

在MySQL协议中,客户端本身不存储自身的请求,而是通过服务端的响应来执行操作,也就是说我们如果可以伪造Greeting包和伪造的文件名对应的数据包,我们就可以让攻击者的客户端给我们把我们想要的文件拿过来

过程大致如下:

1、首先我们将Greeting包发送给要连接的客户端,这样如果客户端发送查询之后,我们返回一个Response TABULAR数据包,并且附上我们指定的文件,我们也就完成了整个任意文件读取的过程

2、我们传输这个文件读取的数据包时,需要等待一个来自客户端的查询请求才能回复这个读文件的请求,幸运的是,大多数MySQL客户端以及程序库都会在握手之后至少发送一次请求,以探测目标平台的指纹信息

3、综上,我们可以恶意模拟一个MySQL服务端的身份认证过程,之后等待客户端发起一个SQL查询,之后响应的时候我们将我们构造的Response TABULAR发送给客户端,也就是我们LOAD DATA INFILE的请求,这样客户端根据响应内容执行上传本机文件的操作,我们也就获得了攻击者的文件信息

这篇关于常见溯源,反溯源,判断蜜罐手段的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/886135

相关文章

poj 3259 uva 558 Wormholes(bellman最短路负权回路判断)

poj 3259: 题意:John的农场里n块地,m条路连接两块地,w个虫洞,虫洞是一条单向路,不但会把你传送到目的地,而且时间会倒退Ts。 任务是求你会不会在从某块地出发后又回来,看到了离开之前的自己。 判断树中是否存在负权回路就ok了。 bellman代码: #include<stdio.h>const int MaxN = 501;//农场数const int

zoj 1721 判断2条线段(完全)相交

给出起点,终点,与一些障碍线段。 求起点到终点的最短路。 枚举2点的距离,然后最短路。 2点可达条件:没有线段与这2点所构成的线段(完全)相交。 const double eps = 1e-8 ;double add(double x , double y){if(fabs(x+y) < eps*(fabs(x) + fabs(y))) return 0 ;return x + y ;

POJ1269 判断2条直线的位置关系

题目大意:给两个点能够确定一条直线,题目给出两条直线(由4个点确定),要求判断出这两条直线的关系:平行,同线,相交。如果相交还要求出交点坐标。 解题思路: 先判断两条直线p1p2, q1q2是否共线, 如果不是,再判断 直线 是否平行, 如果还不是, 则两直线相交。  判断共线:  p1p2q1 共线 且 p1p2q2 共线 ,共线用叉乘为 0  来判断,  判断 平行:  p1p

Codeforces Round #113 (Div. 2) B 判断多边形是否在凸包内

题目点击打开链接 凸多边形A, 多边形B, 判断B是否严格在A内。  注意AB有重点 。  将A,B上的点合在一起求凸包,如果凸包上的点是B的某个点,则B肯定不在A内。 或者说B上的某点在凸包的边上则也说明B不严格在A里面。 这个处理有个巧妙的方法,只需在求凸包的时候, <=  改成< 也就是说凸包一条边上的所有点都重复点都记录在凸包里面了。 另外不能去重点。 int

【408DS算法题】039进阶-判断图中路径是否存在

Index 题目分析实现总结 题目 对于给定的图G,设计函数实现判断G中是否含有从start结点到stop结点的路径。 分析实现 对于图的路径的存在性判断,有两种做法:(本文的实现均基于邻接矩阵存储方式的图) 1.图的BFS BFS的思路相对比较直观——从起始结点出发进行层次遍历,遍历过程中遇到结点i就表示存在路径start->i,故只需判断每个结点i是否就是stop

linux 判断某个命令是否安装

linux 判断某个命令是否安装 if ! [ -x "$(command -v git)" ]; thenecho 'Error: git is not installed.' >&2exit 1fi

JVM 常见异常及内存诊断

栈内存溢出 栈内存大小设置:-Xss size 默认除了window以外的所有操作系统默认情况大小为 1MB,window 的默认大小依赖于虚拟机内存。 栈帧过多导致栈内存溢出 下述示例代码,由于递归深度没有限制且没有设置出口,每次方法的调用都会产生一个栈帧导致了创建的栈帧过多,而导致内存溢出(StackOverflowError)。 示例代码: 运行结果: 栈帧过大导致栈内存

模拟实现vector中的常见接口

insert void insert(iterator pos, const T& x){if (_finish == _endofstorage){int n = pos - _start;size_t newcapacity = capacity() == 0 ? 2 : capacity() * 2;reserve(newcapacity);pos = _start + n;//防止迭代

【Kubernetes】常见面试题汇总(三)

目录 9.简述 Kubernetes 的缺点或当前的不足之处? 10.简述 Kubernetes 相关基础概念? 9.简述 Kubernetes 的缺点或当前的不足之处? Kubernetes 当前存在的缺点(不足)如下: ① 安装过程和配置相对困难复杂; ② 管理服务相对繁琐; ③ 运行和编译需要很多时间; ④ 它比其他替代品更昂贵; ⑤ 对于简单的应用程序来说,可能不

【附答案】C/C++ 最常见50道面试题

文章目录 面试题 1:深入探讨变量的声明与定义的区别面试题 2:编写比较“零值”的`if`语句面试题 3:深入理解`sizeof`与`strlen`的差异面试题 4:解析C与C++中`static`关键字的不同用途面试题 5:比较C语言的`malloc`与C++的`new`面试题 6:实现一个“标准”的`MIN`宏面试题 7:指针是否可以是`volatile`面试题 8:探讨`a`和`&a`