Individuazione dell'origine dell'indirizzo IP di un malware attacker dietro VPN e proxy

Se l'attaccante ha qualche esperienza, non lo troverai.

TOR è un proxy di anonimato, progettato per rendere i clienti non rintracciabili. Ci vuole un grande sforzo per rintracciare una persona quando usano metodi proxy o VPN molto semplici - se usano qualcosa come TOR allora puoi dimenticare di essere in grado di trovarli.

Se l'origine di un attacco appartiene all'intervallo IP del client assegnato dall'ISP, come quelli rilasciati ai clienti della banda larga domestica, allora hai la possibilità che l'IP che sta attaccando il tuo sistema sia effettivamente il cliente ha assegnato quell'indirizzo IP. Naturalmente se esiste un indirizzo IP che trasmette semplicemente l'attacco da qualche altra parte (malware come RAT s può fornire questo servizio), quindi la tua ricerca è diventata molto più difficile.

Come dice Stampycode, se l'attaccante ha usato praticamente qualsiasi tecnica per evitare di essere tracciato direttamente, dovrai lottare per tracciarle direttamente.

A seconda del tuo mandato e delle leggi ovunque tu sia, puoi passare all'utilizzo di tecniche attive per cercare di rintracciarli.

Se, ad esempio, stanno tentando di accedere ai documenti aziendali, sarebbe possibile inserire nella rete "honeypot" documenti che contengono beacon o un exploit (che sono molti per PDF, documenti Word e documenti Excel) . Questo potrebbe consentire di vedere il loro reale IP (se aprono il documento al di fuori della VPN / Tor) o persino di ottenere il controllo della loro macchina. Ancora una volta, un sensitivo attaccante eseguirà questo in una macchina virtuale.

Ci sono naturalmente altre tecniche attive - si basano in gran parte sull'attacco che diventa avido o pigro però.