大漏洞时代下的僵尸网络追踪
僵尸网络组建:(三板斧)
1,弱口令 telnet、ssh、物联网设备,网络设备
3306,1433,4899,3389,。。。爆破成功后,会切换/tmp目录执行命令wget某个文件,然后赋予执行权限,然后执行。
扫描数据库,链接后,使用mof,udf提权完后dumpfile
2,漏洞利用。。热衷于命令执行,使用肉鸡扩大战果。
反序列化,MS17010,搭建蜜罐研究。
3,IOT设备后门 出厂自带内部使用的。
僵尸网络发现——蜜罐:
CNC服务器(木马样本服务器) 提权特征,ddos
不同攻击场景的追踪分析:
情报搜集-渗透攻击-病毒感染-远程控制-设备沦陷-往外攻击
蜜罐分析- 事件分析内部互连-
主机溯源
内部监控
日志分析
网络监控
跳板回溯
入侵时间分析
时间约束
时间合并与归并
时间分析与融合
命令与控制信道破解
攻击者溯源
攻击代码分析
文档分析溯源
虚拟身份关联分析
物理位置溯源
真实身份追踪
社工库、公开社交信息
成员信息与组织规模
技术特长与目标群体