内网入侵溯源技术实战教学文档

1. 入侵检测与初步分析

1.1 入侵告警识别

主机防护告警：深夜主机防护系统检测到Cobalt Strike(CS)木马后门活动
流量分析：配合流量监测设备发现Shiro反序列化漏洞攻击成功痕迹
漏洞验证：确认目标网站存在Shiro反序列化漏洞

1.2 上机排查流程

恶意样本分析：
- 下载CS木马样本
- 使用云沙箱分析，发现外联IP地址
日志分析：
- 根据态势感知告警时间排查系统日志
- 发现异常文件上传记录
文件系统排查：
- 查找隐藏的木马文件（攻击者通常会修改文件名和时间属性）
- 发现哥斯拉JSP木马变种
- 找到反弹shell记录，IP与CS外联地址一致
- 发现攻击者下载的fscan扫描器及扫描结果

2. 溯源技术详解

2.1 IP/域名溯源

IP反查：
- 通过外联IP查询关联域名
- 访问域名发现个人博客
社交工程分析：
- 检查博客友链，识别可疑ID
- 通过昵称关联CSDN账号
- 利用CSDN密码找回功能爆破手机号（注：现CSDN已加强保护）
- 通过脉脉搜索确认职业身份

GitHub信息挖掘：

搜索域名关联的GitHub仓库
使用GitHub GraphQL API查询提交历史：

{
 repository(name: "name",owner: "test1278"){
  ref(qualifiedName: "master"){
  target{
  ... on Commit {
  id
  history(first: 5) {
  edges {
  node {
  author {
  name
  email
  }
  }
  }
  }
  }
  }
  }}}

获取开发者邮箱和QQ号
通过API查询QQ绑定手机号

社交验证：
- 通过手机号添加钉钉好友
- 尝试支付宝转账验证姓氏（需目标未关闭搜索功能）
- 微信群搜索确认身份

2.2 无安全设备环境下的应急响应

基础环境分析：
- 客户仅部署防火墙
- 重点检查Tomcat服务日志
攻击时间线重建：
- 发现凌晨0:39开始的异常扫描
- 0:40确认Struts2命令执行漏洞利用
- 2:02发现万户ezOFFICE smartUpload.jsp任意文件上传漏洞利用
网络设备分析：
- 识别F5转换后的IP(XXX.XX.1.142)
- 通过防火墙日志找到真实攻击IP(XXX.XXX.X.91)
恶意工具分析：
- 发现frp内网穿透工具
- 分析fscan扫描器使用痕迹
- 发现KSA.dat(看雪安全接入)工具及日志

2.3 高级溯源技术

证书信息分析：
- 检查服务器SSL证书
- 比对颁发者和使用者信息
- 与域名备案信息交叉验证
多维度身份关联：
- CSDN账号密码找回功能获取手机号
- Gitee账号关联分析
- 百度云盘账号找回功能验证IP关联
- 支付宝转账验证身份
网络资产关联：
- 域名反查备案信息
- 端口服务识别(nps服务)
- 搜索引擎关联分析

3. 防御建议

基础防护：
- 部署完善的安全监测设备
- 定期更新中间件和框架补丁
- 实施严格的访问控制策略
日志管理：
- 确保关键系统日志完整保存
- 建立集中式日志分析平台
- 设置合理的日志告警阈值
溯源能力建设：
- 建立完善的资产台账
- 定期进行红蓝对抗演练
- 培养专业的应急响应团队
个人信息保护：
- 安全人员应注意保护个人网络身份
- 使用不同账号关联不同服务
- 谨慎公开个人信息和代码

4. 工具清单

分析工具：
- 云沙箱(微步、Virustotal等)
- Wireshark流量分析
- LogParser日志分析
溯源工具：
- WHOIS查询
- DNS反查
- GitHub搜索
- 社交平台搜索
恶意软件分析：
- IDA Pro
- PEiD
- Detect It Easy
内网扫描工具：
- fscan
- nmap
- masscan

5. 法律与伦理

合法授权：确保所有调查行为获得合法授权
证据保全：遵循电子证据取证规范
隐私保护：仅获取与事件相关的必要信息
报告撰写：客观记录调查过程和发现

注：文中提及的具体技术方法可能随着平台安全策略调整而变化，实际操作中应遵守最新法律法规和平台规则。

内网入侵溯源技术实战教学文档 1. 入侵检测与初步分析 1.1 入侵告警识别主机防护告警：深夜主机防护系统检测到Cobalt Strike(CS)木马后门活动流量分析：配合流量监测设备发现Shiro反序列化漏洞攻击成功痕迹漏洞验证：确认目标网站存在Shiro反序列化漏洞 1.2 上机排查流程恶意样本分析：下载CS木马样本使用云沙箱分析，发现外联IP地址日志分析：根据态势感知告警时间排查系统日志发现异常文件上传记录文件系统排查：查找隐藏的木马文件（攻击者通常会修改文件名和时间属性）发现哥斯拉JSP木马变种找到反弹shell记录，IP与CS外联地址一致发现攻击者下载的fscan扫描器及扫描结果 2. 溯源技术详解 2.1 IP/域名溯源 IP反查：通过外联IP查询关联域名访问域名发现个人博客社交工程分析：检查博客友链，识别可疑ID 通过昵称关联CSDN账号利用CSDN密码找回功能爆破手机号（注：现CSDN已加强保护）通过脉脉搜索确认职业身份 GitHub信息挖掘：搜索域名关联的GitHub仓库使用GitHub GraphQL API查询提交历史：获取开发者邮箱和QQ号通过API查询QQ绑定手机号社交验证：通过手机号添加钉钉好友尝试支付宝转账验证姓氏（需目标未关闭搜索功能）微信群搜索确认身份 2.2 无安全设备环境下的应急响应基础环境分析：客户仅部署防火墙重点检查Tomcat服务日志攻击时间线重建：发现凌晨0:39开始的异常扫描 0:40确认Struts2命令执行漏洞利用 2:02发现万户ezOFFICE smartUpload.jsp任意文件上传漏洞利用网络设备分析：识别F5转换后的IP(XXX.XX.1.142) 通过防火墙日志找到真实攻击IP(XXX.XXX.X.91) 恶意工具分析：发现frp内网穿透工具分析fscan扫描器使用痕迹发现KSA.dat(看雪安全接入)工具及日志 2.3 高级溯源技术证书信息分析：检查服务器SSL证书比对颁发者和使用者信息与域名备案信息交叉验证多维度身份关联： CSDN账号密码找回功能获取手机号 Gitee账号关联分析百度云盘账号找回功能验证IP关联支付宝转账验证身份网络资产关联：域名反查备案信息端口服务识别(nps服务) 搜索引擎关联分析 3. 防御建议基础防护：部署完善的安全监测设备定期更新中间件和框架补丁实施严格的访问控制策略日志管理：确保关键系统日志完整保存建立集中式日志分析平台设置合理的日志告警阈值溯源能力建设：建立完善的资产台账定期进行红蓝对抗演练培养专业的应急响应团队个人信息保护：安全人员应注意保护个人网络身份使用不同账号关联不同服务谨慎公开个人信息和代码 4. 工具清单分析工具：云沙箱(微步、Virustotal等) Wireshark流量分析 LogParser日志分析溯源工具： WHOIS查询 DNS反查 GitHub搜索社交平台搜索恶意软件分析： IDA Pro PEiD Detect It Easy 内网扫描工具： fscan nmap masscan 5. 法律与伦理合法授权：确保所有调查行为获得合法授权证据保全：遵循电子证据取证规范隐私保护：仅获取与事件相关的必要信息报告撰写：客观记录调查过程和发现注：文中提及的具体技术方法可能随着平台安全策略调整而变化，实际操作中应遵守最新法律法规和平台规则。