一个案例，剖析攻防演练中威胁溯源的正确姿势

标签：攻防攻击 WAF 客户攻击者日志演练溯源

一年一度的攻防演练即将拉开帷幕。“威胁溯源”一直是演练活动中一个十分重要的工作项，它不仅有助于理解和分析攻击的来源、方法和动机，还能够显著提升整体安全防护水位，提升组件与人员的联动协作能力。在真实的攻击场景中，溯源工作还能造成对攻击者的威慑，进一步净化网络安全空间。

网宿作为重要的基础设施服务提供商，参与了多次各种类型和级别的攻防演练，同时也作为服务商为客户提供攻防演练保障服务，包括防御、监控、溯源和应急响应等，保护客户网络和系统安全，帮助客户发现漏洞、改进安全措施、提升应对真实威胁的能力。

下面，我们将从一个溯源案例说起，剖析攻防大战中“威胁溯源”的正确姿势，希望能够为读者提供一些思路，也预祝大家在演练中都能取得优异的成绩。

案例纪实

在某次攻防演练期间，网宿安服团队在为客户开展安全运维保障工作的过程中，发现219.*.*.247非法攻击IP。219.*.*.247对客户的多个域名进行多种Web攻击尝试，攻击行为已被WAF拦截并记录，同时该IP在客户官网注册账号，试图登录多个客户方站点进一步攻击。网宿通过联动分析两个系统的日志，最终溯源到攻击者的真实身份。

WAF日志监控到异常攻击行为

安服团队成员首先通过网宿WAF产品攻击日志监控到异常攻击行为。WAF监测到从早上9点开始北京地区IP 219.*.*.247针对大量客户域名的Web攻击行为，并且触发了多类攻击规则，这些客户方站点均已上WAF进行攻击行为的监控记录及拦截。

1717661324_66616e8c4e1dd7bd2441d.png!small

图1 219.*.*.247攻击日志

登录日志监控到异常登录行为

在WAF监测到异常攻击的同时，网宿安服团队成员通过客户单点登录认证系统日志监测到该IP有登录客户方站点（官网，控制台）的行为。所使用的账号“wenhu”经后期分析确认是攻击者个人注册使用的账号，同时，我们还查询到该IP在使用wenhu登录之前还使用过1、test、admin这些可疑账号尝试登录。结合WAF记录到的大量攻击请求行为，判定该IP行为高度恶意，锁定到恶意账号wenhu。

1717661439_66616eff55c7228653b86.png!small

图2 219.*.*.247异常登录日志

深入分析WAF日志定位入侵点&应急响应

然后我们对WAF日志深入分析定位入侵点，以及进行应急响应。首先与负责对接此次攻防演练的客户方安全部门接口人协作，针对该IP和账号在网宿全球边缘节点及客户本地边界防护设备和应用系统进行全面封禁，避免进一步的入侵。同时我们深度分析该IP在WAF上的日志，发现该IP针对某客户站点的登录页面有大量访问尝试，并且使用了异常的UA，包含java和版本，怀疑该站点的登录入口存在java类漏洞可以被利用。团队分析研判组人员进一步排查到该网站使用shiro框架，尝试进行漏洞利用成功。

1717663215_666175ef96abddd672e90.png!small

图3 219.*.*.247 WAF攻击日志

接着网宿侧迅速将此次事件反馈到本次攻防演练的协作群进行站点归属确认，并找到该站点相关的运维管理员，登录服务器进行应急排查，发现网站使用shiro框架且存在漏洞，于是立即通知管理员进行修复，然后检查利用成功的操作行为记录和已部署的HIDS的告警记录确认服务器是否有入侵痕迹，所幸未发现攻击者明显入侵成功的痕迹。当天客户运维方完成漏洞修复，分析研判组进行修复验证，确认站点已不存在漏洞。

攻击者溯源

经了解，客户官网注册必须使用真实存在的手机号接收验证码，我们通过客户方后台账号管理系统查询到wenhu账号的注册手机为189******24，运营商归属为北京电信，该真实手机号和攻击者的IP都在北京地区，因此判定该手机号很可能为攻击者真实使用的手机号。我们进一步通过社工库、各种社交网站/APP、互联网信息门户等渠道进行综合查询，定位到人员真实姓名及其位于北京的住址。

1717663226_666175face60d9c02578a.png!small

图4 219.*.*.247攻击者溯源

小结：实战演习期间的溯源要点

每个公司的应用系统、组织架构、团队工作模式均有不同，在实际的攻防演练场景中，溯源工作流程及方式也不尽相同，但大概率都会经历以下这5个阶段：

1、检测阶段：这一阶段的目的是识别网络或系统中是否存在安全事件或攻击活动，通常通过监控日志文件、网络流量、安全工具告警来实现。

2、响应阶段：在确认安全事件或攻击之后，立即采取行动以最小化损害，保护关键资产，隔离受影响的资产防止进一步扩散，应急响应正是在这个阶段执行。

3、分析阶段：包括收集和分析相关证据。收集所有与安全事件相关的数据。这包括但不限于日志文件、网络流量、入侵检测系统（IDS）/入侵防御系统（IPS）/防火墙/网络流量分析（NTA）/ Web应用防火墙（WAF)/ 安全访问服务边缘（SASE)/防病毒软件/端点防护（EDR）/主机入侵检测系统（HIDS)等安全工具告警、恶意样本以及任何可以提供攻击线索的信息。在收集到足够的数据后进行更深入的分析，以识别攻击的特征和模式，确定攻击者可能利用的漏洞、攻击手法、恶意样本类型等。这个过程可能涉及到网络流量深度分析、日志文件详细审查、恶意样本逆向工程等技术。

4、溯源阶段：主要包括确定攻击源、追踪攻击路径和归属分析。基于深入分析的结果，尝试识别具体的攻击源。这可能包括识别攻击者使用的IP地址、域名、服务器位置、或者其他可以指向攻击者身份的信息。这一步骤也可能非常复杂，因为攻击者可能会通过代理网络、域前置、僵尸网络等方式来隐藏自己。确定攻击源后，下一步是追踪攻击的路径。这包括确定攻击者是如何进入网络的，他们访问了哪些系统，以及他们是如何从初始入侵点向其他系统扩散并进行访问权限的扩展的。归属分析是尝试将攻击归属于特定的个体、组织或国家。这可能涉及到分析攻击的动机、使用的特定工具或技术、行动模式、以及任何可能与之前已知攻击相匹配的指标，并且常常涉及到大量猜测，因为攻击者往往会通过各种手段来隐藏其真实身份。

5、处置阶段：主要包括系统和服务的恢复、漏洞修补和系统加固，根据溯源了解到攻击行为模式制定有效的防御措施和应对策略来防止未来类似的攻击，以及编写并提交详细的溯源报告，总结溯源过程中的发现、分析结果和推荐的应对措施，通告报告以提高组织的安全意识。

1717663237_666176058b0532c11c29b.png!small

图5 攻击溯源流程图

威胁溯源就是与攻击者斗智斗勇的过程，十分考验安全人员的分析研判能力和信息收集能力，我们认为，一次成功的溯源，少不了这几个关键要素：

1、详细的日志记录：利用系统和网络设备的日志文件来追踪攻击者的活动。这要求防守方必须有良好的日志管理和分析能力。可以借助安全工具的日志和告警获取攻击发生前后的详细信息，包括但不限于IDS/IPS、防火墙、NTA、WAF、SASE、HIDS、EDR等。例如上述两起溯源案例中，网宿WAF都详细记录了网络攻击及拦截日志信息，客户业务系统登录日志也详细记录了各账户的登录时间和结果。

2、深入的网络流量监控和分析：实时监控进出网络的数据流量，分析异常流量，识别潜在的攻击行为，例如上述溯源案例通过严密监控WAF日志初步发现攻击行为并对异常网络流量进行深入分析，包括但不限于源IP地址、端口、协议、请求头特征、及其它传输层特征，这可以帮助识别攻击的路径和方法，如此前分析出的异常的UA头帮助定位攻击者利用java类漏洞入侵。

3、丰富的威胁情报：有效利用威胁情报可以帮助识别攻击者的身份、使用的技术、工具和基础设施。包括但不限于利用外部威胁情报数据库，与其它组织或安全机构共享威胁情报，利用社工库，利用各种互联网资源查询等。例如在每年的演练期间，网宿安全的客户均能够收到网宿安全平台同步的攻击队IP情报及高危漏洞情报，情报来源于网宿平台上百家参与演习的客户的攻击样本，经过网宿安全团队分析研判，确认其恶意程度，并实时通过API或邮件共享给客户。这些情报具有极高的应用价值和准确度，能够帮助演练客户尽可能地消除攻防对抗中的信息差，进行事前防护。

4、专业的溯源工具和技术：应用专业的溯源工具和技术，如反向DNS查询、IP地址地理位置查询、网络探针和蜜罐技术等，可以为溯源提供更多线索，帮助确定攻击者的位置和身份。

5、高效的跨团队协作：包括防守方团队内部各组间的紧密协作，例如监控组、分析研判组、应急响应组之间的高效协作；也包括防守方团队与组织内部其它团队间的协作，例如上述案例中的信息技术部门和业务运维方；可能还包括防守方团队与外部组织间的协作，如与其它安全团队或安全研究机构合作。团队间高效的沟通和协作，能够提高溯源的速度和成功率。

6、丰富的应急响应经验：丰富的应急响应经验能够帮助快速识别攻击特征和模式，如高效利用各种取证、分析工具快速从大量攻击数据中提取出攻击特征，识别出隐藏的攻击行为，通过样本分析定位出样本家族、C2和攻击团伙。