AirJD 焦点
  • 本月热门
AirJD

没有录音文件
00:00/00:00
加收藏

剑客世界的溯源神话 by 伤心的鱼

发布者 security
发布于 1454634636097  浏览 3779
分享到

第1页

剑 客 世界的溯源神话 青衣2 0 1 1 .0 8 .2 9



第2页

💔 伤⼼心的鱼🐟 程序猿🐒

户实验室



渗透狗🐶

⿊黑阔杂志编辑👨

产品经理💻 销售💰

青衣2 0 1 1 .0 8 2. 9



第3页

何为溯源?

青衣2 0 1 1 .0 8 2. 9



第4页

何为溯源?⼀一个找爹的过程



⼀一定要给孩⼦子找到爸爸, 不能让他么有爹。



乔布斯⼤大神,完全就是《天龙⼋八部》中乔峰!都是自小没见过亲⽣生⽗父母,被平凡养 ⽗父母带⼤大。少年成名,⼀一跃登顶。然后在世⼈人瞩目中,众叛亲离,含恨隐去……再 然后,王者归来,傲凌绝顶。最终,盛年之时,颠峰乐章戛然⽽而⽌止,留给世界⼀一片

惊愕。他俩共用⼀一个称谓:乔帮主!



溯源⿊黑客的攻击过程,就像⼀一个给孩⼦子找爹的过程!

青衣2 0 1 1 .0 8 2. 9



第5页

美国⼈人是如何溯源的

藏宝图计划

青衣2 0 1 1 0. 8 2. 9



第6页

溯源能做神马?



青衣2 0 1 1 0. 8 .2 9





第7页

•安全事件轨迹 •攻击者历史轨迹



溯源能做神马?

•攻击⼿手段分析 •⿊黑客⼯工具分析

why



Where



who



•攻击者身份、个⼈人信息 •⽹网络指纹



青衣2 0 1 1 0. 8 .2 9





第8页

我们如何溯源?

青衣2 0 1 1 0. 8 .2 9



第9页

我们如何溯源?



青衣2 0 1 1 0. 8 .2 9





第10页

我们如何溯源?



青衣2 0 1 1 0. 8 .2 9





第11页

我们如何溯源?



青衣2 0 1 1 0. 8 .2 9





第12页

我们如何溯源?



青衣2 0 1 1 0. 8 .2 9





第13页

蜜罐🍯

青衣2 0 1 1 0. 8 .2 9



第14页

hack数据 14

青衣2 0 1 1 0. 8 .2 9



第15页

蜜罐搜集到的信息

目前捕获的总数据量:IP:20104、URL:
  969
   、用户名:28387、密码:869544、软件及版本:188 日增量:IP:398、URL:15、用户名:2785、密码:16149、软件及版本:23

青衣2 0 1 1 0. 8 2. 9



第16页

蜜罐搜集到的信息



青衣2 0 1 1 .0 8 2. 9





第17页

青衣2 0 1 1 .0 8 2. 9





第18页

这些信息咋用?

密罐----攻击来源------自动⼊入库-----程序提取地址并解析倒⼊入nmap自动扫描——根 据namp扫描结果调用不同程序进⾏行检测。



青衣2 0 1 1 .0 8 2. 9





第19页

终于有卵用了

X.220.187.X  -­-­-­-­ 这服务器太屌 ⼀一不小⼼心就摘了桃⼦子...  才3100个⾁肉机⽽而已。



青衣2 0 1 1 .0 8 2. 9





第20页

终于有卵用了



青衣2 0 1 1 0. 8 2. 9





第21页

这B到底在这⼲干什么?

⼀一直在对开放SSH的服务器进⾏行爆破



• 扫描mfu—自动探测弱⼝口令—搜集⼊入库 • 运⾏行了screen脚本,然后出现⼀一句话“Toata

dragostea mea pentru diavola”



青衣2 0 1 1 .0 8 2. 9





第22页

这B到底在这⼲干什么?

relaxscan暴力破解SSH,百度一下, 你全知道。



青衣2 0 1 1 0. 8 2. 9





第23页

你敢动我就把你老窝端了



青衣2 0 1 1 0. 8 .2 9





第24页

监测到的后门程序

该后门存在于www.gzs.gov.cn上,被检测 到的时间上2015年8月6日00:25分,⿊黑客 访问过3次。



青衣2 0 1 1 0. 8 2. 9





第25页

00:25分到00:13分来自美国的 IP为199.30.18.212 的⿊黑客通过⽊木马对⽹网站进⾏行了操作,具体操作可以 通过溯源系统的返回包来查看。



青衣2 0 1 1 .0 8 2. 9





第26页

来就来了还你妹的拿东西

内⽹网IP:192.168.0.163 在2015.06.07.15:23频繁请求107.151.222.17:1250 ⼀一分钟内频繁请求msmm.exe此可疑⽂文件 32次



青衣2 0 1 1 0. 8 2. 9





第27页

青衣2 0 1 1 .0 8 2. 9





第28页

美国队长!

恶意IP1: msmm.exe 可能是远控⽊木马,107.151.222.17为美国服务器,非常可能机 ⼦子是专业的上线服务器,并且有可能潜伏较久,(⽊木马运⾏行时间为: 2015.06.07 15:23,下载32次)



青衣2 0 1 1 .0 8 2. 9





第29页

美国队长!

恶意IP2: 发现此gy.exe是⼀一款下载者程序,并且下载服务器同样为美国,同时下 载者执⾏行后,会再次连接到美国服务器的1996端⼝口,很可能是更新列 表,或者上线端⼝口。(下载者运⾏行时间为2015.06.06 11:43 下载两次)



青衣2 0 1 1 0. 8 2. 9





第30页

你敢来犯,就把你⽼老窝端了



青衣2 0 1 1 0. 8 .2 9





第31页

⿊黑



客 老 攻击⼿手法分析



巢 ⼀一



⾁肉鸡数据分析



日 游



反⼊入侵调查



青衣2 0 1 1 .0 8 2. 9



第32页

平台于2015年1月7号左右搭建⾄至2015年5月6号, 搜集以上数据



青衣2 0 1 1 .0 8 2. 9





第33页

ftpBrute攻击为主

青衣2 0 1 1 .0 8 2. 9





第34页

ftpBrute攻击部分代码

青衣2 0 1 1 .0 8 2. 9



第35页

ftpBrute攻击流程



攻击程序 是否登录



ftpBrute



客户端返回 成功信息



服务端验 证参数



入库



平台



青衣2 0 1 1 .0 8 2. 9





第36页

⾁肉鸡数据分析—地域分布

青衣2 0 1 1 .0 8 .2 9



第37页

⾁肉鸡数据分析—地域分布

1391例识别CMS类型分布

青衣2 0 1 1 0. 8 2. 9



第38页

⾁肉鸡数据分析—WEB容器类型

青衣2 0 1 1 0. 8 2. 9



第39页

幕后⼤大杂烩



反⼊入 ⾁肉鸡 攻击 老巢



侵调 查



数据 分析



⼿手法 分析



⼀一日







美国 这些 hack 溯源



队长 暴露



信息 怎么



数据 来源



靠⼭山



用?



我们 何为



怎样 溯 源?



溯 源?



青衣2 0 1 1 .0 8 2. 9





第40页

谢谢!

青衣2 0 1 1 0. 8 .2 9



支持文件格式:*.pdf
上传最后阶段需要进行在线转换,可能需要1~2分钟,请耐心等待。