信息安全

记一次攻击溯源

证据获取分为:

1.主动式获取:
    通过服务器进行日志收集
2.被动式获取:
    通过监听(CyberSensor 启明星辰的一款监听产品)
    

获取方式:

1.线缆:
    1.1 铜质线缆:
        同轴电缆:
            介媒:铜芯,可以免遭电磁干扰,只要接触到铜芯就能监听所有流量
        双绞线:
            介媒:多对铜线
    1.2 光纤:
        介媒: 玻璃丝
    截取线缆中的流量:
        1.内接式网络分路器
        2.刺穿式搭接器
        3.感应线圈
        4.光线分光器
2.WIFI:
    加密方式:WEP/WAP/WAP2
    获取信息:
        1.广播SSID
        2.路由器MAC地址
        3.已经连接机器的MAC地址
        4.数据包内容
3.交换机:
    交换机中有一张CAM表,记录了站点与端口的绑定信息[包含了链接者的MAC地址](当接收到数据包时会将流量转发到目标端口)
    交换机可以将流量复制/转发到另一端口上,使得取证人员可以监听流量
    攻击交换机:
        1.MAC泛洪:
            原理,通过发送大量MAC地址不同的包,像CAM表注入虚假信息来导致交换机进入应急模式,把目标地址所有流量转发到每一个端口
        2.ARP欺骗:
            广播伪造ARP包,把攻击者的MAC地址和被攻击人的IP地址关联,局域网中的站点会将错误信息添加到ARP表中,并将发往路由的数据包填入攻击者的MAC地址,导致了发送给被攻击者的包全部发往了攻击者计算机中
流量嗅探:
    1.libpcap
    2.winpcap
    3.Tcpdump
    4.wireshark
    5.tshark
    6.dumpcap
4.Conlose接口
5.SSH
6.SCP
7.SFTP
8.Telnet
9.SNMP
10.WEB

协议分析:

在某服务器上捕获到某csp包,如下:

请输入图片描述

共三帧,直接看第三帧:

请输入图片描述

这里猜测9090端口是什么服务?

Webshpere的管理工具

1.金山毒霸
2.管理员修改过的端口

排除法,使用HTTP协议肯定不会是金山毒霸了,剩下两个我们看HTTP内容来进行验证

请输入图片描述

其中内容如上所示,可以看见payload是一个相对路径,进行百度之

请输入图片描述

muhstik僵尸网络,也就是说:199.195.254.118

此ip为目标服务器ip,ip whois:

请输入图片描述

访问IP后发现了一些没卵用的东西

请输入图片描述

其中有一段脚本如下:

请输入图片描述

绑定的域名为:yeet.mariokartayy.com

对域名进行whois无果

结论:

来自境外黑客的僵尸网络,非定向渗透,可排除

回复

This is just a placeholder img.