零、緒論:
一旦發生攻擊行為,確定攻擊者或者說是責任人一般是定損止損快速恢復業務之后的第二反應。誰要為事件負責?誰該承擔責任變成了進一步追查的目標。可是在網絡攻擊行為中能夠查到人或者組織談何容易,一般能夠抓到攻擊者或者攻擊組織的大約能到30%就很不錯了。但是呢下面還是從幾個維度談談如何找人。
一、公司或組織內部的異常操作者
一般異常操作者,這里我們指誤操作者,不是有意進行的攻擊行為,所以不會進行諸如IP隱藏、日志刪除等等行為。
1、從內部監控設備或者受攻擊設備上面調取日志,查詢到IP、根據資產登記情況追溯到個人就可以了。
2、一般異常操作者,可追查到IP但是資產沒有歸屬登記的。可以根據內部相關信息查詢。第一觀察此IP訪問的郵箱、QQ號等互聯網賬號的相關情況,如果有可以關聯到內部人員。
3、查看主機名(與域控通信中一般會有相關信息),或者系統指紋等等,然后根據域控信息查詢到姓名或者手機號或者工號,可以完成對應。
4、內網服務器,沒有域控的,可以查看那個IP登錄了相關聯的21、22、23、3389等端口,查到源IP,根據源IP進行上述查詢。
二、公司內部的攻擊者
如果是公司內部的攻擊者,尤其是熟悉內部網絡架構的攻擊者,對於追溯攻擊來源是一種挑戰。因為他可能是熟悉安全攻防的專家,又了解內部網絡架構,可以抹除痕跡,避開監控等等,但是總有蛛絲馬跡留存。
1、收集相關信息,能有多少收集多少,根據一中的方法進行查詢。
2、判斷攻擊方式和手法,例如WEB攻擊一般來源於熟悉WEB安全攻防的團隊人員,惡意樣本攻擊很可能來自二進制或者系統安全人員的攻擊。然后結合攻擊手法是否是熟悉的特征並結合1中的一些信息綜合判斷。(備注:其實每個人都有其獨特的攻擊特征,現在廣泛的要求建立攻擊者畫像就是可以做這個內容)。
三、公司外部的攻擊者
這里一般分為兩種人:
1、一般白帽子和腳本小子:
這一類攻擊者,對自身的防護也不是很強,(可以參考世紀佳緣案呵呵噠,廣大白帽子還是不要刷世紀佳緣了呵呵噠),觸發報警或者被日志審計是很正常的,根據IP追蹤地理位置;如果是白帽子結合公司SRC的白帽子數據庫可以基本確定,如果是腳本小子,可以追查到IP或者地理位置就很不容易了。腳本小子群體數量龐大,沒有明顯的極具特征的標識,有時候可以通過測試用的ID來搜索一些論壇。社交平台從而發現攻擊者。一般而言這類攻擊者造成的損失不會太大。
2、針對性攻擊者:
這一類攻擊者最為麻煩,一般包括專業間諜、競爭對手的攻擊團隊、專業的攻擊組織,例如一些APT組織。出名的海蓮花啊等等。這一類攻擊者的特點:
(1)攻擊手段多樣:包括魚叉釣魚、惡意樣本(PDF或者DOC類文檔)、木馬后門、暴力破解、水坑攻擊、DDOS、網絡以及應用層多重攻擊手段、社會工程學攻擊等等。
(2)隱蔽性強:懂得繞開監控(使用不觸發報警的攻擊方式和payload),注意隱蔽自己(一般都有跳板肉雞或者掛着VPN)、具備惡意程序開發能力(開發過殺軟的或者隱藏自身進程rootkit且可以不斷迭代更新對抗分析,或許還具備沙箱、虛擬機環境識別能力),注意清除痕跡(清除、替換日志、替換一些命令等等)
(3)反偵查能力強:例如不斷變換IP連接后門,使用多種不同的方式特征來進行等等。
針對這類攻擊者:
1、收集到所有能收集的信息,尤其是域名、IP、whois、ipwhois、url 樣本hash等等基礎設施信息。
(1)域名:可以通過域名注冊信息來定位人員或者組織(結合whois),像海蓮花特有域名、wannecry也有自己的所謂的開關域名,DGA域名可以結合DGA算法和字符串來定位攻擊者或者組織。
(2)IP:攻擊攻擊者具有自己的大量的IP基礎設施,很多威脅情報廠商都會提供類似的IP惡意信息庫。
(3)URL和樣本hash同理,未知樣本hash還可以使用seep比較樣本相似度來確定或者定位。
2、組織專家分析攻擊特征和手段,例如是使用的是魚叉釣魚針對公司內部敏感人員的,可以主要排查競爭對手。如果沒有明顯目標的,主要是針對服務器進行攻擊的可能考慮高級白帽子,主要針對整個公司生產環境做全面攻擊,那么就懷疑APT組織。
說實話針對APT組織還有可能通過威脅情報定位一些攻擊者信息,但也不能確定,因為樣本泛濫,很多人都可以拿到、修改、投放、進行攻擊。
至於特定攻擊者,還需要依靠多種手段去定位。