零、绪论:
一旦发生攻击行为,确定攻击者或者说是责任人一般是定损止损快速恢复业务之后的第二反应。谁要为事件负责?谁该承担责任变成了进一步追查的目标。可是在网络攻击行为中能够查到人或者组织谈何容易,一般能够抓到攻击者或者攻击组织的大约能到30%就很不错了。但是呢下面还是从几个维度谈谈如何找人。
一、公司或组织内部的异常操作者
一般异常操作者,这里我们指误操作者,不是有意进行的攻击行为,所以不会进行诸如IP隐藏、日志删除等等行为。
1、从内部监控设备或者受攻击设备上面调取日志,查询到IP、根据资产登记情况追溯到个人就可以了。
2、一般异常操作者,可追查到IP但是资产没有归属登记的。可以根据内部相关信息查询。第一观察此IP访问的邮箱、QQ号等互联网账号的相关情况,如果有可以关联到内部人员。
3、查看主机名(与域控通信中一般会有相关信息),或者系统指纹等等,然后根据域控信息查询到姓名或者手机号或者工号,可以完成对应。
4、内网服务器,没有域控的,可以查看那个IP登录了相关联的21、22、23、3389等端口,查到源IP,根据源IP进行上述查询。
二、公司内部的攻击者
如果是公司内部的攻击者,尤其是熟悉内部网络架构的攻击者,对于追溯攻击来源是一种挑战。因为他可能是熟悉安全攻防的专家,又了解内部网络架构,可以抹除痕迹,避开监控等等,但是总有蛛丝马迹留存。
1、收集相关信息,能有多少收集多少,根据一中的方法进行查询。
2、判断攻击方式和手法,例如WEB攻击一般来源于熟悉WEB安全攻防的团队人员,恶意样本攻击很可能来自二进制或者系统安全人员的攻击。然后结合攻击手法是否是熟悉的特征并结合1中的一些信息综合判断。(备注:其实每个人都有其独特的攻击特征,现在广泛的要求建立攻击者画像就是可以做这个内容)。
三、公司外部的攻击者
这里一般分为两种人:
1、一般白帽子和脚本小子:
这一类攻击者,对自身的防护也不是很强,(可以参考世纪佳缘案呵呵哒,广大白帽子还是不要刷世纪佳缘了呵呵哒),触发报警或者被日志审计是很正常的,根据IP追踪地理位置;如果是白帽子结合公司SRC的白帽子数据库可以基本确定,如果是脚本小子,可以追查到IP或者地理位置就很不容易了。脚本小子群体数量庞大,没有明显的极具特征的标识,有时候可以通过测试用的ID来搜索一些论坛。社交平台从而发现攻击者。一般而言这类攻击者造成的损失不会太大。
2、针对性攻击者:
这一类攻击者最为麻烦,一般包括专业间谍、竞争对手的攻击团队、专业的攻击组织,例如一些APT组织。出名的海莲花啊等等。这一类攻击者的特点:
(1)攻击手段多样:包括鱼叉钓鱼、恶意样本(PDF或者DOC类文档)、木马后门、暴力破解、水坑攻击、DDOS、网络以及应用层多重攻击手段、社会工程学攻击等等。
(2)隐蔽性强:懂得绕开监控(使用不触发报警的攻击方式和payload),注意隐蔽自己(一般都有跳板肉鸡或者挂着VPN)、具备恶意程序开发能力(开发过杀软的或者隐藏自身进程rootkit且可以不断迭代更新对抗分析,或许还具备沙箱、虚拟机环境识别能力),注意清除痕迹(清除、替换日志、替换一些命令等等)
(3)反侦查能力强:例如不断变换IP连接后门,使用多种不同的方式特征来进行等等。
针对这类攻击者:
1、收集到所有能收集的信息,尤其是域名、IP、whois、ipwhois、url 样本hash等等基础设施信息。
(1)域名:可以通过域名注册信息来定位人员或者组织(结合whois),像海莲花特有域名、wannecry也有自己的所谓的开关域名,DGA域名可以结合DGA算法和字符串来定位攻击者或者组织。
(2)IP:攻击攻击者具有自己的大量的IP基础设施,很多威胁情报厂商都会提供类似的IP恶意信息库。
(3)URL和样本hash同理,未知样本hash还可以使用seep比较样本相似度来确定或者定位。
2、组织专家分析攻击特征和手段,例如是使用的是鱼叉钓鱼针对公司内部敏感人员的,可以主要排查竞争对手。如果没有明显目标的,主要是针对服务器进行攻击的可能考虑高级白帽子,主要针对整个公司生产环境做全面攻击,那么就怀疑APT组织。
说实话针对APT组织还有可能通过威胁情报定位一些攻击者信息,但也不能确定,因为样本泛滥,很多人都可以拿到、修改、投放、进行攻击。
至于特定攻击者,还需要依靠多种手段去定位。