2022hw行动 蓝队溯源攻击者三要素分析思路

          我就假设我们现在是这有一个用户,他是作为攻击者的话,我们是输入了这条命令然后是传给了对方的机器去运行,那么我们现在是作为一个应用程序大家可以看到这是一个应用程序,那么这个时候。它。有几个东西,比如说如果说你能够找到这个痕迹是在进程上,那么你就能够通过进程查看是否存在一些网络连接。我们可以再这样来想一想,比如说我们打开任务管理器。打开任务管理器比如说假设你知道。假设你现在定位到了这样一个,你收集到了第一条信息是这样一个。 So的时候在这里是吧。假设你现在找到了这样一个进程,找到了它的id。

那么你就可以根据这玩意儿去找到它相应的一些。比如说是它的一些连接。网络连接比如说你可以知道他这个东西是用了哪个端口,我看一下。可以在这里可以看得到。应该没啥问题,我看看什么东西。这个 Tcp。连接怎么打开了,稍等一下,打开资源管理器,你就能够通过这个进程找到端口号和远程地址

这是第一步,这是第一种方式,也说这三个要素这画图中的这三个要素,其实他们都是能够作为一个相互关联的。如果说你能够找到这三要素的其中一种,那么如果说存在其他的。比如。说既存在进程又存在网络连接的话,那么你就能找到其他的。比如说你找到了一个可疑的网络包,比如说是防火墙告警,或者说你的IPS设备报警了,说某个东西正在做一个非法的一些连接,或者说执行的一些什么或者说传输的流量一些恶意的内容。这个时候比如说我们来开一下抓包,假设现在是抓到了一个包。现在是抓到了一个内容是一些恶意的网络数据包,如何从这个网络数据包中定位到这样一个东西,也非常的简单比如说先找到这个包之后看一下。看一下它的的这个端口我看一下。比如说在TCP协议里面。它的那个有一个端口是这个是TCP的源端口是333,我看这是返回来的。

端口是56329。那么这个时候你就可以去看一下是哪个程序正在用56329这个端口。我尝试一下能不能找得到。能够找到对应的一个pid202420240,这样的话再返返回到任务管理器20240就能够从这样一个网络数据包去找到一个,对应的进程那么找到对应的进程之后,你自然就能够看得到打开文件所在的位置,你就能够看到对应的一个样本。这就是常见的一些就是说这三个要素,当然日志中也是。有相关的一些东西。

分享: