在网络攻防演练中,防守方处于明处,攻击者处于暗处。防守方通过态势感知、WAF、系统日志等渠道可获得防守系统的访问日志,通过对访问日志的分析,可识别出恶意攻击行为,获得攻击者的攻击IP、攻击时间、攻击方式等信息。如果没有海量数据和相关系统的支撑,防守方无法获取攻击者的个人敏感信息,要溯源到攻击者的身份信息较为困难。本文结合笔者在溯源方面的个人体会,介绍了几种获取攻击者敏感信息的方法,获得的信息可以为防守方溯源和反制攻击者提供数据支撑。
熟悉各种攻击方式,用好防守系统的各类管理功能
攻击者会使用各种攻击方式对目标系统进行攻击,其中在测试短信重放漏洞、短信验证码爆破、任意手机号码注册漏洞、越权漏洞等漏洞时,可能会泄露攻击者个人信息,防守方可在短信发送平台后台和网站管理后台进行查找分析。
攻击者利用短信重放漏洞可对网站的短信验证功能进行抓包分析,通过短信验证码接口进行短信重放,这样会导致短信平台在短时间内大量发送恶意短信,实施短信轰炸。攻击者在测试短信类漏洞时,往往会使用个人手机号码接收短信验证漏洞是否存在,短信平台的后台管理一般会记录短信发送者的IP地址和发送时间,防守方可以根据掌握的攻击IP、攻击时间,在短信平台查找对应的手机号码。如果获得了攻击者的手机号码,可以在各类网站和应用进行搜索,交叉查询验证,进一步掌握攻击者的其他信息,对攻击者进行精准画像。当然,如果攻击者反溯源经验比较丰富,会使用不常用的手机号码进行测试,防守方通过正规渠道无法溯源到个人信息。
越权漏洞是指应用在身份验证或权限验证不充分,使得攻击者在获得低权限用户账户后,利用一些方式绕过权限验证,执行其他用户权限或者执行更高权限的漏洞。越权漏洞是一种常见漏洞,主要分为水平越权、垂直越权,危害性较大。攻击者在测试越权漏洞时,首先需要注册网站用户,使用个人手机或者电子邮箱进行验证,网站后台管理功能会记录下注册用户的IP地址等相关信息,防守方可使用攻击者的IP地址在网站后台进行查找,检查是否有使用此IP地址的注册用户。找到相关用户后,可根据攻击者的注册信息进一步溯源分析。
攻击者在进行越权漏洞的水平越权测试时,往往会修改get或post参数测试,尝试获得他人权限。在测试垂直越权时,攻击者以普通用户身份访问后台管理页面,借助身份验证功能存在的缺陷获得后台管理权限。笔者在渗透测试过程中,多次遇到水平越权漏洞和垂直越权漏洞,态势感知或WAF等安全设备对这类漏洞测试不一定能识别出是攻击行为,防守方在分析访问日志应关注这类访问。
搭建蜜罐系统,获取攻击者信息
蜜罐系统通过部署一些仿真的系统、网络服务来诱惑攻击者对其实施攻击,从而捕获攻击行为,通过分析攻击手段与方式或收集攻击者的个人信息来进行分析画像,达到溯源的目的。蜜罐溯源的主要方式有以下三种。一是利用第三方站点的JSONP接口,在攻击者访问蜜罐系统的同时,抓取攻击者的各类社交ID,进一步溯源。但随着浏览器安全不断进步,以及各大社交媒体的JSONP接口漏洞被修复,通过JSONP接口溯源攻击者越来越困难。二是诱导攻击者下载运行防守方制作的插件或软件,软件运行后,会将攻击者信息回传到防守方。三是利用攻击者常用的某些第三方软件漏洞,在满足一定条件下,攻击者实施攻击的同时,会泄露自己的一些信息或者被防守方远程命令执行反制。例如,防守方可搭建My SQL服务蜜罐,利用LOAD DATA LOCAL语句读取攻击者计算机上的敏感文件内容,如/etc/shadow、/etc/passwd、/etc/group、c:/install.log、c:/windows/PFRO.log等文件。
部署钓鱼页面,获取攻击者个人信息
……………………
网络攻防中的溯源方法 PDF 完整版下载(文字可复制):
https://www.aliyundrive.com/s/77QT4395ZUG 提取码: yk92