在护网行动中需要有一些通过诱捕,制作相关反制木马来实现的朔源反制手段,那么今天来看看护网行动利用反控木马精准诱捕技战法,本技战法为总结概括实际情况还有根据实际情况进行更改。
技战法概述
在网络攻击溯源过程中,采用木马和远程控制程序作为反制手段是一种有效的技术策略。这种方法结合网络取证和威胁情报,能够有针对性地缓解或对抗网络攻击,有助于在造成损害前消除潜在威胁。这使得网络安全防御团队可以从被动防御转向主动进攻,提前制止攻击者的行为。
具体做法
- 反控程序的设计与选型
- 反控木马用于获取攻击者的计算机系统权限,直接从攻击者的主机收集证据,还原攻击过程,构建完整的攻击者画像。理想的反控木马应具备上线邮件提醒、桌面截图、密码记录、文件下载和远程控制等功能,以提高取证效率。
- 免处理
- 为了提高反控木马在面对防病毒软件时的存活率,需要对其进行免处理。这包括载荷加密、分阶段加载、远程线程注入、导入地址表隐藏、API钩子等技术手段,确保木马既能在静态分析中躲避检测,也能在动态执行时不被发现。
- 精心布局与精准诱捕
- 在蜜罐系统中部署反控程序,将其与伪造的数据和文档一起放置在权限区域内,只有在攻击者成功突破防御并获取权限后才能获得这些“战利品”。通过利用攻击者成功后的心理预期,降低他们对运行反控程序的警惕性。
技战法实践与应用
在某次网络安全演习中,一家公司成功部署了自主研发的免反控木马,通过巧妙设置蜜罐系统,成功诱捕了62台主机,其中有7台确认为攻击者主机。通过对一台台湾攻击者使用的主机进行远程取证,获得了该攻击者的APT组织归属、社交账号和个人照片等信息。
- 自研反控木马与诱捕蜜罐
- 该公司设计了多个仿真的蜜罐系统,例如健康打卡和公积金系统,并在其中部署了自主研发的免反控木马。通过在登录页面后设置“系统控件下载”、“VPN客户端下载”等诱饵,引导攻击者下载并运行木马。
- 获取主机权限与开展溯源
- 成功取得主机权限后,对主机进行了深度分析和取证。发现该主机安装有繁体中文操作系统,以及MobaXterm等远程运维工具。通过进一步调查,确定该主机属于实际的攻击者。
- 多维度情报对比与黑客身份确认
- 经过与公开情报的对比分析,确认了该主机归属于APT组织“毒云藤”,该组织通过社会工程学和鱼叉式钓鱼等方式窃取相关领域用户的邮箱密码。一名疑似组织成员“詹勋育”被识别出来,他参与了钓鱼网站的部署搭建。
- 这里需要用到相关工具验证个人信息是否正确,可以来看看这个人信息泄露查询API接口-
- 幂简集成是国内的API集成管理平台,专注于为开发者提供全面、高效、易用的API集成解决方案。幂简API平台可以通过以下两种方式找到所需API:通过关键词搜索API(例如,输入’个人信息泄露‘这类品类词,更容易找到结果)、或者从API Hub分类页进入寻找。这里需要用到相关工具验证个人信息是否正确,可以来看看这个人信息泄露查询API接口-
综上所述,此次攻击溯源分析得到的攻击者画像如下:
- 姓名:未公开
- Twitter:未公开
- 地区:台湾
- 毕业院校:未公开
- 组织:“毒云藤”(又称“绿斑”)
- 行为特征:在tt关注网络安全技术,自称研究蠕虫病毒,多次发布攻击脚本截图,并公开宣称通过黑客手段入侵并篡改一些官方机构网站。
