网安面经收集

Appearance

反制思路

1. 溯源反制经验

答:

  1. 通过攻击IP反打,反向渗透服务器进行分析,最终定位到攻击者相关信息。
  2. 通过攻击IP历史解析记录/域名,对域名注册信息进行溯源分析。
  3. 利用ID追溯邮箱、真实姓名,通过姓名找到相关简历信息。
  4. 提取木马样本特征、用户名、ID、邮箱、C2服务器等信息,进行同源分析。
  5. 基于JSONP跨域,获取攻击者的主机信息、浏览器信息、真实IP及社交信息等。

2. 常用的威胁情报平台有哪些

答:
使用过的溯源平台有:

  • 微步情报中心
  • 安恒威胁情报中心
  • 奇安信威胁情报中心
  • 绿盟威胁情报中心

3. 蓝队常用的反制手段有哪些?

答:

  1. 蜜罐技术:通过布置诱饵主机、网络服务或信息,诱使攻击方实施攻击,从而捕获和分析攻击行为。
  2. 对攻击目标进行反渗透:包括IP定位、IP端口扫描、web站点扫描。
  3. 应用漏洞挖掘和利用:常用工具有菜刀、Goby、蚁剑。
  4. ID关联社交特征。
  5. 钓鱼网站反制:后台扫描、XSS盲打。
  6. 木马文件同源样本关联:通过敏感字符串特侦检测等手段反制。

4. 蜜罐原理

答:

  • 创建虚拟环境:在网络中创建一个看似易受攻击的虚拟环境,模拟真实系统的功能。
  • 引诱攻击者:通过暴露蜜罐的存在,吸引攻击者入侵、扫描或攻击蜜罐系统。
  • 监测和记录:记录攻击者的行为、攻击技术和使用的工具。
  • 分析和响应:分析记录的数据,识别攻击者的行为模式和漏洞利用方法,用于改进系统安全性和应对新威胁。

蜜罐的优势在于提供高质量的攻击数据和情报,帮助安全团队了解攻击者的行为模式和目的,加强防御措施并及时应对威胁。蜜罐需要专业人员来设计、部署和管理,以确保其安全性和有效性,避免对真实系统造成潜在风险。

溯源

IP类

  1. 问题:知道一个恶意攻击我们的域名,反查域名后得到一个IP,但是此IP没有与我们进行流量交互,这是什么原因?

答:
可能的原因包括:

  • 攻击者使用了代理服务器进行攻击,IP不是攻击者的真实IP。
  • 攻击者通过DNS隧道等技术隐藏了真实的流量来源。
  • IP地址可能已经变更,当前的IP不是攻击者使用的IP。
  1. 问题:如果有个IP在攻击你,如何溯源出攻击者的真实信息?如何反制攻击者?

答:
溯源方法:

  • 分析攻击IP的历史解析记录和域名注册信息。
  • 利用开源情报(OSINT)工具和技术追踪IP相关信息。
  • 分析攻击流量中的特征信息,如使用的工具、方法等。
  • 利用社交工程学方法,追踪与攻击相关的社交媒体和网络活动。

反制方法:

  • 反向渗透攻击者的服务器,收集更多信息。
  • 使用蜜罐技术吸引攻击者,记录并分析其行为。
  • 通知相关ISP或执法机构进行处理。
  1. 问题:如果攻击方用了域前置技术,如何找到真实IP?

答:
可以通过以下方法找到真实IP:

  • 分析流量模式和特征,识别出伪装的流量。
  • 使用网络流量监测工具,捕获并分析攻击流量的源头。
  • 通过多层代理服务器记录和分析,逐步追踪到真实IP。
  1. 问题:如果红队用了代理池,如何找到真实IP?

答:
可以采取以下方法:

  • 监测和记录多次攻击的流量特征,识别出一致性特征。
  • 分析代理池的IP分布和使用模式,寻找潜在的规律。
  • 结合其他溯源技术,如社交工程学和开源情报,综合分析。

溯源攻击链的思路

  1. 常见思路:

    • 从已知的攻击痕迹和特征入手,分析和提取有用的信息。
    • 利用开源情报(OSINT)工具和技术,收集更多背景信息。
    • 通过网络流量分析和日志分析,识别和定位攻击者。
    • 结合社会工程学和其他溯源技术,追踪和确认攻击者身份。

  2. 问题:C2隐匿-云函数上怎么溯源?

答:
可以通过以下方法溯源:

  • 分析云函数的调用日志和事件记录,寻找异常行为和特征。
  • 利用蜜罐技术诱捕攻击流量,分析攻击源头。
  • 结合开源情报和其他溯源工具,进一步追踪攻击者的信息。

钓鱼邮件

  1. 问题:如何判断钓鱼邮件以及如何溯源?

答:
判断钓鱼邮件的方法:

  • 检查邮件的发件人地址和域名,识别是否为伪造。
  • 分析邮件内容中的链接和附件,查看是否存在恶意代码或钓鱼页面。
  • 利用安全工具扫描和检测邮件内容的安全性。

溯源方法:

  • 分析邮件头信息,提取发送路径和中继服务器的信息。
  • 追踪邮件中的恶意链接和附件,分析其来源和目标。
  • 利用开源情报工具,收集和分析与钓鱼邮件相关的背景信息,寻找攻击者线索。