- 本月热门
第1页
剑 客 世界的溯源神话 青衣2 0 1 1 .0 8 .2 9
第2页
💔 伤⼼心的鱼🐟 程序猿🐒
户实验室
渗透狗🐶
⿊黑阔杂志编辑👨
产品经理💻 销售💰
青衣2 0 1 1 .0 8 2. 9
户实验室
渗透狗🐶
⿊黑阔杂志编辑👨
产品经理💻 销售💰
青衣2 0 1 1 .0 8 2. 9
第3页
何为溯源?
青衣2 0 1 1 .0 8 2. 9
青衣2 0 1 1 .0 8 2. 9
第4页
何为溯源?⼀一个找爹的过程
⼀一定要给孩⼦子找到爸爸, 不能让他么有爹。
乔布斯⼤大神,完全就是《天龙⼋八部》中乔峰!都是自小没见过亲⽣生⽗父母,被平凡养 ⽗父母带⼤大。少年成名,⼀一跃登顶。然后在世⼈人瞩目中,众叛亲离,含恨隐去……再 然后,王者归来,傲凌绝顶。最终,盛年之时,颠峰乐章戛然⽽而⽌止,留给世界⼀一片
惊愕。他俩共用⼀一个称谓:乔帮主!
溯源⿊黑客的攻击过程,就像⼀一个给孩⼦子找爹的过程!
青衣2 0 1 1 .0 8 2. 9
⼀一定要给孩⼦子找到爸爸, 不能让他么有爹。
乔布斯⼤大神,完全就是《天龙⼋八部》中乔峰!都是自小没见过亲⽣生⽗父母,被平凡养 ⽗父母带⼤大。少年成名,⼀一跃登顶。然后在世⼈人瞩目中,众叛亲离,含恨隐去……再 然后,王者归来,傲凌绝顶。最终,盛年之时,颠峰乐章戛然⽽而⽌止,留给世界⼀一片
惊愕。他俩共用⼀一个称谓:乔帮主!
溯源⿊黑客的攻击过程,就像⼀一个给孩⼦子找爹的过程!
青衣2 0 1 1 .0 8 2. 9
第5页
美国⼈人是如何溯源的
藏宝图计划
青衣2 0 1 1 0. 8 2. 9
藏宝图计划
青衣2 0 1 1 0. 8 2. 9
第6页
溯源能做神马?
青衣2 0 1 1 0. 8 .2 9
青衣2 0 1 1 0. 8 .2 9
第7页
•安全事件轨迹 •攻击者历史轨迹
溯源能做神马?
•攻击⼿手段分析 •⿊黑客⼯工具分析
why
Where
who
•攻击者身份、个⼈人信息 •⽹网络指纹
青衣2 0 1 1 0. 8 .2 9
溯源能做神马?
•攻击⼿手段分析 •⿊黑客⼯工具分析
why
Where
who
•攻击者身份、个⼈人信息 •⽹网络指纹
青衣2 0 1 1 0. 8 .2 9
第8页
我们如何溯源?
青衣2 0 1 1 0. 8 .2 9
青衣2 0 1 1 0. 8 .2 9
第9页
我们如何溯源?
青衣2 0 1 1 0. 8 .2 9
青衣2 0 1 1 0. 8 .2 9
第10页
我们如何溯源?
青衣2 0 1 1 0. 8 .2 9
青衣2 0 1 1 0. 8 .2 9
第11页
我们如何溯源?
青衣2 0 1 1 0. 8 .2 9
青衣2 0 1 1 0. 8 .2 9
第12页
我们如何溯源?
青衣2 0 1 1 0. 8 .2 9
青衣2 0 1 1 0. 8 .2 9
第13页
蜜罐🍯
青衣2 0 1 1 0. 8 .2 9
青衣2 0 1 1 0. 8 .2 9
第14页
hack数据 14
青衣2 0 1 1 0. 8 .2 9
青衣2 0 1 1 0. 8 .2 9
第15页
蜜罐搜集到的信息
目前捕获的总数据量:IP:20104、URL:
969
、用户名:28387、密码:869544、软件及版本:188 日增量:IP:398、URL:15、用户名:2785、密码:16149、软件及版本:23
青衣2 0 1 1 0. 8 2. 9
目前捕获的总数据量:IP:20104、URL:
969
、用户名:28387、密码:869544、软件及版本:188 日增量:IP:398、URL:15、用户名:2785、密码:16149、软件及版本:23
青衣2 0 1 1 0. 8 2. 9
第16页
蜜罐搜集到的信息
青衣2 0 1 1 .0 8 2. 9
青衣2 0 1 1 .0 8 2. 9
第17页
青衣2 0 1 1 .0 8 2. 9
第18页
这些信息咋用?
密罐----攻击来源------自动⼊入库-----程序提取地址并解析倒⼊入nmap自动扫描——根 据namp扫描结果调用不同程序进⾏行检测。
青衣2 0 1 1 .0 8 2. 9
密罐----攻击来源------自动⼊入库-----程序提取地址并解析倒⼊入nmap自动扫描——根 据namp扫描结果调用不同程序进⾏行检测。
青衣2 0 1 1 .0 8 2. 9
第19页
终于有卵用了
X.220.187.X ---- 这服务器太屌 ⼀一不小⼼心就摘了桃⼦子... 才3100个⾁肉机⽽而已。
青衣2 0 1 1 .0 8 2. 9
X.220.187.X ---- 这服务器太屌 ⼀一不小⼼心就摘了桃⼦子... 才3100个⾁肉机⽽而已。
青衣2 0 1 1 .0 8 2. 9
第20页
终于有卵用了
青衣2 0 1 1 0. 8 2. 9
青衣2 0 1 1 0. 8 2. 9
第21页
这B到底在这⼲干什么?
⼀一直在对开放SSH的服务器进⾏行爆破
• 扫描mfu—自动探测弱⼝口令—搜集⼊入库 • 运⾏行了screen脚本,然后出现⼀一句话“Toata
dragostea mea pentru diavola”
青衣2 0 1 1 .0 8 2. 9
⼀一直在对开放SSH的服务器进⾏行爆破
• 扫描mfu—自动探测弱⼝口令—搜集⼊入库 • 运⾏行了screen脚本,然后出现⼀一句话“Toata
dragostea mea pentru diavola”
青衣2 0 1 1 .0 8 2. 9
第22页
这B到底在这⼲干什么?
relaxscan暴力破解SSH,百度一下, 你全知道。
青衣2 0 1 1 0. 8 2. 9
relaxscan暴力破解SSH,百度一下, 你全知道。
青衣2 0 1 1 0. 8 2. 9
第23页
你敢动我就把你老窝端了
青衣2 0 1 1 0. 8 .2 9
青衣2 0 1 1 0. 8 .2 9
第24页
监测到的后门程序
该后门存在于www.gzs.gov.cn上,被检测 到的时间上2015年8月6日00:25分,⿊黑客 访问过3次。
青衣2 0 1 1 0. 8 2. 9
该后门存在于www.gzs.gov.cn上,被检测 到的时间上2015年8月6日00:25分,⿊黑客 访问过3次。
青衣2 0 1 1 0. 8 2. 9
第25页
00:25分到00:13分来自美国的 IP为199.30.18.212 的⿊黑客通过⽊木马对⽹网站进⾏行了操作,具体操作可以 通过溯源系统的返回包来查看。
青衣2 0 1 1 .0 8 2. 9
青衣2 0 1 1 .0 8 2. 9
第26页
来就来了还你妹的拿东西
内⽹网IP:192.168.0.163 在2015.06.07.15:23频繁请求107.151.222.17:1250 ⼀一分钟内频繁请求msmm.exe此可疑⽂文件 32次
青衣2 0 1 1 0. 8 2. 9
内⽹网IP:192.168.0.163 在2015.06.07.15:23频繁请求107.151.222.17:1250 ⼀一分钟内频繁请求msmm.exe此可疑⽂文件 32次
青衣2 0 1 1 0. 8 2. 9
第27页
青衣2 0 1 1 .0 8 2. 9
第28页
美国队长!
恶意IP1: msmm.exe 可能是远控⽊木马,107.151.222.17为美国服务器,非常可能机 ⼦子是专业的上线服务器,并且有可能潜伏较久,(⽊木马运⾏行时间为: 2015.06.07 15:23,下载32次)
青衣2 0 1 1 .0 8 2. 9
恶意IP1: msmm.exe 可能是远控⽊木马,107.151.222.17为美国服务器,非常可能机 ⼦子是专业的上线服务器,并且有可能潜伏较久,(⽊木马运⾏行时间为: 2015.06.07 15:23,下载32次)
青衣2 0 1 1 .0 8 2. 9
第29页
美国队长!
恶意IP2: 发现此gy.exe是⼀一款下载者程序,并且下载服务器同样为美国,同时下 载者执⾏行后,会再次连接到美国服务器的1996端⼝口,很可能是更新列 表,或者上线端⼝口。(下载者运⾏行时间为2015.06.06 11:43 下载两次)
青衣2 0 1 1 0. 8 2. 9
恶意IP2: 发现此gy.exe是⼀一款下载者程序,并且下载服务器同样为美国,同时下 载者执⾏行后,会再次连接到美国服务器的1996端⼝口,很可能是更新列 表,或者上线端⼝口。(下载者运⾏行时间为2015.06.06 11:43 下载两次)
青衣2 0 1 1 0. 8 2. 9
第30页
你敢来犯,就把你⽼老窝端了
青衣2 0 1 1 0. 8 .2 9
青衣2 0 1 1 0. 8 .2 9
第31页
⿊黑
客 老 攻击⼿手法分析
巢 ⼀一
⾁肉鸡数据分析
日 游
反⼊入侵调查
青衣2 0 1 1 .0 8 2. 9
客 老 攻击⼿手法分析
巢 ⼀一
⾁肉鸡数据分析
日 游
反⼊入侵调查
青衣2 0 1 1 .0 8 2. 9
第32页
平台于2015年1月7号左右搭建⾄至2015年5月6号, 搜集以上数据
青衣2 0 1 1 .0 8 2. 9
青衣2 0 1 1 .0 8 2. 9
第33页
ftpBrute攻击为主
青衣2 0 1 1 .0 8 2. 9
青衣2 0 1 1 .0 8 2. 9
第34页
ftpBrute攻击部分代码
青衣2 0 1 1 .0 8 2. 9
青衣2 0 1 1 .0 8 2. 9
第35页
ftpBrute攻击流程
攻击程序 是否登录
ftpBrute
客户端返回 成功信息
服务端验 证参数
入库
平台
青衣2 0 1 1 .0 8 2. 9
攻击程序 是否登录
ftpBrute
客户端返回 成功信息
服务端验 证参数
入库
平台
青衣2 0 1 1 .0 8 2. 9
第36页
⾁肉鸡数据分析—地域分布
青衣2 0 1 1 .0 8 .2 9
青衣2 0 1 1 .0 8 .2 9
第37页
⾁肉鸡数据分析—地域分布
1391例识别CMS类型分布
青衣2 0 1 1 0. 8 2. 9
1391例识别CMS类型分布
青衣2 0 1 1 0. 8 2. 9
第38页
⾁肉鸡数据分析—WEB容器类型
青衣2 0 1 1 0. 8 2. 9
青衣2 0 1 1 0. 8 2. 9
第39页
幕后⼤大杂烩
反⼊入 ⾁肉鸡 攻击 老巢
侵调 查
数据 分析
⼿手法 分析
⼀一日
游
美国 这些 hack 溯源
队长 暴露
信息 怎么
数据 来源
靠⼭山
用?
我们 何为
怎样 溯 源?
溯 源?
青衣2 0 1 1 .0 8 2. 9
反⼊入 ⾁肉鸡 攻击 老巢
侵调 查
数据 分析
⼿手法 分析
⼀一日
游
美国 这些 hack 溯源
队长 暴露
信息 怎么
数据 来源
靠⼭山
用?
我们 何为
怎样 溯 源?
溯 源?
青衣2 0 1 1 .0 8 2. 9
第40页
谢谢!
青衣2 0 1 1 0. 8 .2 9
青衣2 0 1 1 0. 8 .2 9