Individuazione dell'origine dell'indirizzo IP di un malware attacker dietro VPN e proxy

0

Ho un cliente che vuole che inizi a fare ricerche per trovare l'origine di un attaccante persistente nella loro rete e dipendenti. Non ho ancora ottenuto le specifiche, ma sto cercando di pensare ai modi e agli strumenti che utilizzerei per trovare l'origine di un attacco. Conosco gli strumenti di data mining da usare, ma questi sarebbero inutili finché non riuscirò a individuare dove si trova questo aggressore. Qual è la migliore pratica (utilizzando la toolbox di Kali Linux) che potrebbe aiutare a capire il punto finale?

Grazie!

    
posta MF SPOOF 17.09.2014 - 00:33
fonte

2 risposte

1

Se l'attaccante ha qualche esperienza, non lo troverai.

TOR è un proxy di anonimato, progettato per rendere i clienti non rintracciabili. Ci vuole un grande sforzo per rintracciare una persona quando usano metodi proxy o VPN molto semplici - se usano qualcosa come TOR allora puoi dimenticare di essere in grado di trovarli.

Se l'origine di un attacco appartiene all'intervallo IP del client assegnato dall'ISP, come quelli rilasciati ai clienti della banda larga domestica, allora hai la possibilità che l'IP che sta attaccando il tuo sistema sia effettivamente il cliente ha assegnato quell'indirizzo IP. Naturalmente se esiste un indirizzo IP che trasmette semplicemente l'attacco da qualche altra parte (malware come RAT s può fornire questo servizio), quindi la tua ricerca è diventata molto più difficile.

    
risposta data 18.03.2015 - 18:44
fonte
1

Come dice Stampycode, se l'attaccante ha usato praticamente qualsiasi tecnica per evitare di essere tracciato direttamente, dovrai lottare per tracciarle direttamente.

A seconda del tuo mandato e delle leggi ovunque tu sia, puoi passare all'utilizzo di tecniche attive per cercare di rintracciarli.

Se, ad esempio, stanno tentando di accedere ai documenti aziendali, sarebbe possibile inserire nella rete "honeypot" documenti che contengono beacon o un exploit (che sono molti per PDF, documenti Word e documenti Excel) . Questo potrebbe consentire di vedere il loro reale IP (se aprono il documento al di fuori della VPN / Tor) o persino di ottenere il controllo della loro macchina. Ancora una volta, un sensitivo attaccante eseguirà questo in una macchina virtuale.

Ci sono naturalmente altre tecniche attive - si basano in gran parte sull'attacco che diventa avido o pigro però.

    
risposta data 18.03.2015 - 19:29
fonte

Leggi altre domande sui tag