域控服务器被黑 溯源追踪攻击者的IP

          我们点进去,什么关键信息登录类型,三是网络登录,别人连自己,我们怎么会知道攻击者来连接这台域控?接下来看在原来的这个报告上面是没有做到这个这个截图的,但是这里我可以给他我可以给大家讲,就是它有一个登录类型,我看看这里有没有计算机记录时间,这个是没有,但是这里会有一个中文的一个资料。

登录类型,三就是说明是网络登录是别人来连自己,谁会来连自己肯定就是攻击者了。攻击者来连自己的话,那是不是就可以证明攻击者来连了这台电脑?是这样子分析的,整体流程是这样子。那么再往后还会分析什么?再往后我们还会分析,定位下载恶意问文件的时间,那么下载恶意文件就有很多种方式,也就是这个过程是什么呀,是属于权限维持的过程,权限维持的过程你需要用到我们刚才说了需要用的、脚本程序各种东西对不对?

那么就肯定需要什么?要么让我们的受害者去下载这个恶意文件,是不是?我们直接去传,那么我们刚才定位到的这几个是定位进程是吧?定位进程这里这个是攻击者传上来的,是不是也有可能是它下载下来的?那么它上传,它下载下来的时间,这个我们也是需要去摸排清楚的,他去下载有哪些方式,就这个方式就比较多了,、他可以自主动的去通过控制我们这台域控,去向外面去下载,或者是通过partial的方式来去进行下载。

那么我们这里去排查的是partial的一个日志,抛出下这个日志,然后我们就发现攻击者在5月19号2:10分17秒的时候,建立了连接内对内的攻击,之后,然后去下载了这一个东西,他去访问了攻击者的IP80端口,然后去下载这个恶意文件。

下载这个恶意文件以后,但是其实这个文件我们去排查的时候是没有的,那么应该是被攻击者删掉了,但是这个攻击者的IP是不是暴露了?好,暴露了这个IP,那么接下来,我们就通过这个IP再进一步的去排查,你既然有IP,那么我们就去看,就把这个IP,怎么去看,就是通过各大威胁平台去检索之后去判断,就是可以通过这些设备去判断,或者说通过是检索出来的信息,百度、谷歌、 vt等等这些这些平台,我们去进行判断之后,这一个IP是为恶意IP,并且还发现了攻击样本,虽然它删掉了,在我们的电脑上删掉了,但是我们发现了恶意样本,这个恶意样本,我们把它丢到云沙箱去进行分析以后,视为恶意的,也就是可以肯定这个IP就是攻击者的IP,这个给我们后续做溯源提供了一个什么?

提供了一个依据,也就是说我们在目前就得到了攻击者的好几个IP,好几个是这样子。这个是我们的一个整体分析思路和流程,这个是对域控的一个分析流程,再接下来就进入到了这1.11.1的这个域控的攻击路径,现阶段还原部分,两点零 5分对他发起的攻击,控制了他之后登录创建域控,然后下载文件是不是?

但目前并没有发现,他去打击了谁,对不对?这是因为我们在安全设备上看不见的,那么在安全设备上看不见,就能说他没有打吗?不是的,那么我们就要去看域控他和哪些是有联系的,和哪些受联系了,比较重要的是哪些?

所以说我们后面为了肯定是要去先去帮助比较重要的人,那么我们就去看另外一台域控,因为域控和域控之间是有沟通的,那么我们就去排查另外一台域控,所以说接下来,我们就开始对域控二进行了一个升级排查和分析。虽然我们在安全设备上面没有发现域控一对其他进行了攻击,但是但是我们也需要去看一下比较重要的一个部分,所以说我们接下来会去对域控二进行一个分析排查。

分享: