最近有很多小伙伴希望我讲一讲关于这个溯源与反溯源的一些事,在我们这个实际的这个工作中他经常会被攻击,然后我们就需要去溯源这个攻击者,然后这个攻击者肯定也是不希望自己被溯源到,就不希望自己被查到这个个人信息或者真实身份这些,所以这个攻击者可能也希望能够说反溯源,我给小伙伴们来讲一讲关于溯源与反溯源,一般情况下咱们渗透进这个目标有关服务器都会进行提前信息搜集,然后运行相关的这个权限维持程序,常见的比如说像这个power,还有这个可执行文件或者一些脚本,还有我们常说的木马远控这一类的,这个一般说为了扩大战果,维持对目标的控制,当然了有很多情况下还没有来得及到这一步,我们就发现了这个被攻击的情况,还没有到这个被植入脚本或者一些木马的这一步的时候,我们就可以及时的修补漏洞查日志,然后获取到攻击者的IP或者攻击者的这个跳板IP,之后就可以开始溯源,在溯源的这个阶段就可以更省事一些,咱们自身受到这个攻击的风险也更小,可以绕过分析攻击者的脚本或程序,而直接得到这个CC服务器的这个IP等信息。
那么溯源一般分为三个方向,第一个就是蜜罐,可以获取到更多更直观的这个攻击者信息,甚至很多蜜罐现在可以反向诱导这个攻击者去运行蜜罐,提前准备好的这个控制,或者信息收集的这些程序。如果提前部署好蜜罐,并且攻击者真的中招的话,咱们后面就可以去很容易的溯源到攻击者,甚至反过来控制这个攻击者的机器。
第二个分析攻击者所运行的power脚本,或者远控程序的这个CC服务器,也我刚才提到那个CC服务器,这个CC服务器其实应该是叫做这个CMC服务器,但是很多时候为了这个说起来方便就称之为这个CC服务器,它这个 common and control server的这个缩写,也命令和控制服务器。
简单来说这个 CMC服务器指这个攻击者的控制端服务器,那控制端服务器做什么事,对这个被控制的服务器里头,攻击者已经植入好的这个木马呀或者脚本,进行这个发号施令。
根据这个CC服务器的这个IP地址或者域名,咱们就可以去查询这个威胁情报。像在微博社区这种平台,看看是否有相关的情报或者记录,还有像通过佛法这一类的这个引擎查询相关的这个资产网络资产,还可以查这个域名或者IP曾经的一些解析记录,搜索引擎的一些快照等信息。
因为曾经有很多并不专业的这个攻击者,他可能使用的这个攻击服务器是自己曾经用来做博客,或者用来做其他可能暴露个人信息的事的这个服务器,就他做的所有事他都集中在他统一的一个服务器上,这样就很容易暴露他的个人信息。然后咱们获取到更多的个人信息之后,就可以利用类似社工库或者查询注册物的网站等方法,进一步的反制和溯源这个攻击者。
第三个说如果这个攻击者比较聪明,就使用了这个跳板服务器,跳板服务器一般说这个有漏洞的服务器被攻击者拿下了,然后用来做这个下一步攻击时候使用的跳板。他用跳板也为了更好的隐藏自己的这个信息和身份。那么一般情况下,既然这个跳板的主机都是有漏洞的,那么我们也可以反向去黑进这个攻击者的跳板主机,以此来获取攻击者更多的信息,甚至我们可以在这个跳板主机里头布置一些东西来诱导这个攻击者下载我们藏在跳板主机的一些木马或者脚本,以此来反制和溯源这个攻击者。
当然了也有一些比较聪明的这个黑客或者说攻击者,他就会把跳板搞下来之后修复好这个漏洞,那如果遇到那种情况,可能这一步就比较难实现了。