V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
XIoYi
V2EX  ›  信息安全

[求助] 请教下如何找到这个攻击者

  •  
  •   XIoYi · 26 天前 · 2533 次点击
    前置信息:
    1 、被攻击者,我们假设为电脑 A,IP 地址为 192.168.1.1 ,是员工个人电脑
    2 、攻击者,我们假设为电脑 B ,IP 地址为 192.168.1.2
    3 、A 和 B 在同一网段
    事件详情如下:
    A 电脑上安装的火绒安全提示在被 B 进行 SMB 扫描爆破攻击,根据火绒的安全防护日志显示,本次共计共持续了 2 到 3 天,每次攻击的开始时间都是在下班后,攻击停止时间就是在上班时间开始的时候。
    排查:
    1 、经过网管排查,B 的 IP 实际已经至少 300 多天没使用过了,这个 IP 并没有实际使用人;
    2 、通过 A 电脑的 arp -a 命令,可以获取到 B 的 IP 地址与 MAC 地址;
    3 、A 使用的是网线连接电脑;
    4 、A 的使用者并未私接网关、路由器等网络分接设备;
    公司网络环境与安全软件:
    1 、每台电脑有安装加密软件,该软件会自动搜集电脑的 IP 地址与 MAC 至后台;
    2 、公司内网段并没有做严格的分段处理;
    3 、没有态势感知、edr 、蜜罐等安全设备;
    4 、小公司,不大

    求助各位大佬,还能如何排查,如何找到这个攻击源?
    23 条回复    2024-10-29 14:40:19 +08:00
    kenneth104
        1
    kenneth104  
       26 天前
    考虑一下,是不是一些媒体软件闲时在扫可以共享的目录
    adoal
        2
    adoal  
       26 天前
    交换器上根据 mac 查端口
    XIoYi
        3
    XIoYi  
    OP
       26 天前
    @kenneth104 在 A 电脑关闭了一个叫打印机什么的服务后,攻击行为就彻底停了
    XIoYi
        4
    XIoYi  
    OP
       26 天前
    @adoal 嗯嗯好
    shixuedela
        5
    shixuedela  
       25 天前
    为什么我感觉好像有人不想让你加班的感觉。一下班就攻击,一上班就不攻击了?
    wheat0r
        6
    wheat0r  
       25 天前
    操作系统、杀毒软件都想到了,就是没想到网络设备是可以管理的
    benjaminliangcom
        7
    benjaminliangcom  
       25 天前
    @XIoYi #3 是不是扫描的 161 端口, 很多打印机的驱动会扫描这个
    donaldturinglee
        8
    donaldturinglee  
       25 天前
    最好重新划一下子网,不然真容易就被一锅端了。排查攻击源的话得看对面是怎么扫的,如果是脚本小子的话,用 wireshark 仔细检查一下总能抓到线索。如果是一些隐蔽的扫描的话,想溯源还是比较难的
    vip5000521
        9
    vip5000521  
       25 天前
    我一猜就是你 A 电脑开了打印机共享.
    XIoYi
        10
    XIoYi  
    OP
       25 天前
    @benjaminliangcom 不是,是 445 端口
    XIoYi
        11
    XIoYi  
    OP
       25 天前
    @vip5000521 他确实开了个打印机的共享服务,用来给打印机直接传输 PDF 什么的
    XIoYi
        12
    XIoYi  
    OP
       25 天前
    @wheat0r 说来惭愧,主要是网络设备不在我这边管理,而网管也上网络设备查过,没查出什么东西……
    XIoYi
        13
    XIoYi  
    OP
       25 天前
    @donaldturinglee 前天去问,他说把打印机共享服务关闭后就没攻击行为了……
    XIoYi
        14
    XIoYi  
    OP
       25 天前
    @shixuedela 这是想让我狠狠加班,狠狠地应急,很可恶啊
    tsingkong
        15
    tsingkong  
       25 天前
    跟最近发现的 cups 漏洞有没有关系:CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177
    proxytoworld
        16
    proxytoworld  
       25 天前
    wireshark 抓包,trace 以下 route ,看样子是内网,那么路由路径很容易排查,在最后一台路由器看路由表吧
    proxytoworld
        17
    proxytoworld  
       25 天前
    @tsingkong 445 明显是 windows...
    XIoYi
        18
    XIoYi  
    OP
       25 天前
    @tsingkong 看了下漏洞详情,应该没关系
    XIoYi
        19
    XIoYi  
    OP
       25 天前
    @proxytoworld 好,我试试
    sweelia
        20
    sweelia  
       25 天前
    查交换机 arp 表,看接到哪个端口上。一路查过去。必要时可以采用 ping+拔网线大法
    benjaminliangcom
        21
    benjaminliangcom  
       25 天前
    @XIoYi #10 B 电脑安装 sysmon
    wheat0r
        22
    wheat0r  
       25 天前
    @XIoYi #12 网络侧的排错,不要想得太复杂,找到端口抓人就行
    JK2333
        23
    JK2333  
       7 天前
    一般都是某些终端设备自己悄咪咪搞事情,扫描下内网识别服务之类的····

    这种一般去流量层排查吧,比如交换机上去看
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5336 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 09:19 · PVG 17:19 · LAX 01:19 · JFK 04:19
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.