2022年hvv蓝队溯源到C2真实IP的思路

       就比如说你是什么样的应用程序,假设我们这里开了一个应用服务。比如说开个apache,假设有人现在去做了一个攻击。那么Apache本身第一他也有日志,当然Apache的日志我这就懒得打开了。当然其实大家也可以去看一看稍微找一找应该是在这里。Apache的日志你可以去看一下有哪些比如说是有接触的一些东西。我看一下这里好像我这边都没有,我这边有发了什么样的请求那么发的请求中。带的一些参数。其实网络中的信息基本上就能够看得到一些。比如说是可能一些IP地址,或者说它的一些特征流量等等之类的一些东西。

这里好像可能还没有,看一下这边好像也没有,都是一些头部信息那么这东西你就能够看得到,或者说你可以安装一些。安全的一些设备,也能够看到像那些记录,那么这种记录。就当这个Apache假设它出现了一些异常。可以做一些状态监控,假设就是说这个Apache的状态不正常,那么就会触发,那么在当前触发的那一瞬间,是有怎样的一些网络请求出来,或者说怎样的网络请求进来你就能够看到相应的一些日志记录,同样的也是一样能够通过日志和进程这个日志和网络这样一个对应关系,就这样一个对应关系,去追溯到我们的一个源代码,相关的就是说不管是你是溯源到像那些痕迹,我们第一步是找痕迹我们待会来讲。再比如说隐藏C2的一些东西。

好,第二的话就是说我们溯源的第二个东西就是说。这个东西就是说可能同学们说的C2对吧。不管是team server也好,或者说什么其他的东西也好,隐藏c2的话,其实问题也不大,大家想一想。首先我们可以通过c2去找到它的一些什么东西, c2的一些属性什么叫c2的属性,比如说你中间用一些其他的什么御前制这些东西没有,它到底是一个cdn,还是nginx转发,你得把这些东西搞懂还说是云函数或者说是一些云网关等等之类的,要把这些属性或者说它就是一个单纯的不管是什么VPS等等也好,你首先要搞清楚它到底是个啥,那么你这找到这些事之后,那么你就去想一想有没有可能去绕过它的,比如说CBA,有没有什么相应的一些方法去绕过,如果说是nginx有没有什么方法可以绕过的, Vps就不用说了,那就不用去绕了就直接去干它。找到这个C2之后。如果说你这些方法都尝试过,如果说这些方法你都尝试过都行不通,假设这些方法你都查出来都行不通,那么这时候也不要慌,大家想一想C2,虽然说c2是隐藏的,但是 meaning和控制,就是说命令和控制,也就说不管是就说,这里面的内容是我们可控的,假设我们作为一个防守方来说我们虽然说不知道攻击者的c2他到底是真实的IP,还是隐藏的IP。但是内容是我们可以控制的。

分享: