文章总结: 本文系统介绍了蓝队溯源工作的核心方法与流程,涵盖系统日志分析(登录记录、操作历史、审计日志)、网络流量排查(实时连接、抓包分析)、文件痕迹检测(可疑文件、持久化入口)及Web攻击溯源(访问日志、WebShell识别)等关键技术。文档强调多维度证据交叉验证,提供具体命令示例和实操建议,并指出溯源需结合攻击路径反向推导,最终形成完整的攻击源画像以指导应急处置与防护优化。 综合评分: 85 文章分类: 应急响应,威胁情报,漏洞分析,安全运营,实战经验
常见的蓝队溯源手法
原创
小智 小智
智榜样网络安全学习中心
2026年6月17日 14:10 湖南
在小说阅读器读本章
去阅读
安全事件发生后,蓝队的工作不止是阻断攻击和清理后门,更重要的是还原完整的攻击过程,定位攻击来源与扩散范围,这就是溯源工作。有效的溯源能够帮助团队明确攻击入口、补齐防护短板,同时为后续的封禁、取证和处置提供依据。蓝队常用的溯源手法覆盖系统、网络、文件、Web 等多个层面,不同场景下需要组合使用不同方法,才能拼出完整的攻击路径。
一、溯源工作的基本思路
溯源的基本逻辑是从已发现的告警或受害点出发,沿着攻击路径反向推导,逐步还原红队从入口到驻留再到扩散的全过程。通常的排查顺序是先确认当前受害主机的状态,再寻找攻击入口,接着排查权限维持和横向移动痕迹,最终汇总出攻击源的完整画像。
实际工作中没有固定的排查顺序,很多时候需要根据现场情况灵活调整。比如日志被清空时,就要优先从网络连接和文件痕迹入手,而不是死磕单一日志源。
二、系统日志溯源手法
日志是溯源最基础的数据来源,服务器和终端运行过程中,会自动记录登录、进程启动、权限变更等各类事件,这些记录是还原攻击时间线的主要依据。
2.1 登录日志排查
几乎所有服务器都会记录登录行为,Linux 系统中可以通过 last、lastb 命令读取成功和失败的登录记录,Windows 系统则可以在安全事件日志中查看对应的登录事件。
以常见的 Linux 服务器为例,执行 last 命令可以快速查看近期成功登录记录:
image-20260616195343946
排查时重点关注三类异常:非办公网段的陌生源 IP、凌晨等非工作时段的登录行为、非常规业务账号的登录记录。如果同一 IP 在短时间内产生大量失败登录,随后出现一次成功登录,基本可以判定为口令爆破得手。
对应的失败登录记录可以用 lastb 命令查看:
image-20260616205217367
如果登录日志被清空,本身就是红队擦除痕迹的特征,说明攻击者已经获得了较高权限,需要转向其他日志源继续排查。
2.2 操作历史记录
用户登录系统后的命令操作,会默认保存在对应的历史文件中。Linux 环境下是用户家目录的 .bash_history 文件,Windows 环境则有 PowerShell 命令历史和远程桌面操作记录。
以 Linux 环境为例,直接读取用户家目录下的历史文件即可查看:
image-20260616205342042
通过历史记录可以直接还原红队登录后的操作流程,比如下载了什么文件、执行了什么命令、查看了哪些系统信息。需要注意的是,红队经常会清空历史记录或者修改历史文件,如果发现文件大小异常、末尾有清空历史的命令,就说明记录可能不完整,需要结合其他痕迹交叉验证。
2.3 系统安全审计日志
相比聚合后的登录统计,系统原生的安全审计日志包含更详细的事件信息。Ubuntu 系统的安全审计日志默认路径为 /var/log/auth.log,CentOS 系统对应 /var/log/secure,日志会记录每一次认证的精确时间、源端口、进程号,Windows 的安全日志则对应不同的事件 ID,分别代表登录成功、登录失败、权限提升等行为。
使用 grep 过滤关键字可以快速定位异常登录事件:
image-20260616205409723
image-20260616205436800
last 命令输出的是聚合后的登录统计,而安全审计日志是逐行的原始事件,包含更精确的时间戳和进程号。两者的区别在于,前者适合快速概览和批量统计,后者适合精细还原攻击时间线,实际排查中通常配合使用。
三、网络连接与流量溯源
日志只能记录已经落地的事件,如果红队仍在服务器上驻留,或者攻击流量还在传输,网络层面的痕迹会更直接地暴露行踪。
3.1 实时连接状态排查
通过查看当前系统的网络连接状态,可以快速发现活跃的异常连接。正常的业务连接通常有固定的端口和进程,比如 Web 服务对应 80、443 端口,SSH 对应 22 端口。如果出现陌生端口的监听,或者非业务进程主动向外建立连接,就需要重点核查。
使用 netstat 命令可以查看当前所有 TCP 连接与对应进程:
image-20260616205448254
比较典型的特征是 bash、cmd 这类系统外壳进程主动向外网 IP 建立连接,这大概率是反向 Shell,说明红队正在实时控制服务器。遇到这种情况,请不要直接终止进程,先做好证据留存再进行处置,避免丢失内存中的攻击痕迹。
3.2 流量抓包分析
当连接状态存在疑点,或者需要确认通信内容时,可以通过抓包工具捕获原始网络流量。常用的工具有 tcpdump、Wireshark,针对特定 IP 或端口抓取数据包后,可以进一步分析通信内容。
以 tcpdump 为例,下面的命令抓取 eth0 网卡上与指定 IP 相关的流量,保存为 pcap 文件用于后续分析:
image-20260617140329152
如果是明文通信,可以直接还原红队执行的命令和传输的数据;如果是加密流量,也可以通过通信频率、数据包大小规律、连接时长等特征,判断是否为 C2 控制通道,或者是否存在数据外传行为。
3.3 端口与进程关联排查
很多红队会在服务器上开启隐蔽端口作为后门,或者搭建代理工具用于内网穿透。除了常用的业务端口,出现陌生的监听端口都需要核查对应的进程。
使用 ss 命令可以快速列出所有监听端口与对应进程:
image-20260616210026275
找到可疑进程后,可以进一步查看进程的启动命令、运行路径、打开的文件和环境变量,判断是正常业务程序还是恶意工具。
四、文件与进程痕迹溯源
红队入侵后,几乎都会上传工具、植入后门,这些文件和对应的运行进程,是溯源的重要物证。
4.1 可疑文件排查
临时目录是红队最常存放工具的位置,比如 Linux 的 /tmp、/dev/shm,Windows 的临时目录,这类目录权限宽松,且通常不会被重点监控。排查时按修改时间排序,就能快速发现攻击时段新增的文件。
以 Linux 的 /tmp 目录为例,按修改时间倒序排列可以快速定位新增文件:
image-20260616210040662
另外还要注意隐藏文件和隐藏目录,以点开头的文件名在 Linux 下默认不会被普通 ls 命令显示,Windows 下也有隐藏文件属性,属于很常见的隐藏手法。
4.2 文件特征分析
拿到可疑文件后,可以先做静态分析,不用运行样本就能获取很多信息。比如计算文件哈希值,可以和威胁情报库比对,确认该样本是否为已知恶意程序,是否有对应的攻击组织关联。
先计算文件哈希值,用于后续威胁情报比对:
image-20260616210607547
提取文件中的可打印字符串,也能快速判断样本功能,比如是否包含外联 IP 和端口、是否有自启动相关的配置、是否调用了危险的系统函数。使用 strings 命令即可提取,无需运行样本:
image-20260616210615005
这些信息不仅能用于溯源,还能直接指导后续的清理工作。
4.3 持久化痕迹排查
红队为了长期控制服务器,通常会留下多个持久化入口,保证即使后门被清理也能重新获得权限。常见的持久化方式包括计划任务、系统服务、开机启动项、注册表项、用户登录脚本等。
以计划任务为例,查看指定用户的定时任务:
image-20260616210826764
排查时请不要只检查单一位置,很多红队会同时在多处留下后门,只清理一处无法彻底清除风险。
五、Web 攻击溯源
如果攻击入口是 Web 应用,Web 服务器和中间件的日志就是还原攻击路径的首要依据。
5.1 访问日志分析
Web 服务器的访问日志会记录每一次 HTTP 请求的源 IP、请求时间、请求路径、状态码、User-Agent 等信息。筛选 POST 请求、异常状态码、特殊路径,可以快速定位上传、命令执行、SQL 注入等攻击行为。
以 Nginx 访问日志为例,筛选状态码为 200 的 POST 请求:
image-20260616212312812
日志量较大时,可以用 awk 统计每个 IP 的请求次数,快速定位高频访问源:
image-20260616212330301
结合时间线排序,就能还原红队从扫描、探测到漏洞利用的完整过程。
5.2 WebShell 痕迹识别
WebShell 是 Web 入侵后常见的驻留方式,访问日志中通常有明显特征。比如固定的异常脚本路径、携带命令执行参数的 URL、响应大小随请求变化的规律。
筛选访问路径包含 .php 且响应体较大的请求,可以快速定位可疑的 WebShell 访问:
image-20260616212815383
结合上传日志和文件创建时间,可以对应出 WebShell 的上传时间和上传入口,进而定位到具体的漏洞点,为后续修复提供方向。
5.3 中间件与错误日志
除了访问日志,Web 中间件的错误日志也能提供很多信息。比如扫描器探测产生的大量 404 请求、漏洞利用失败产生的 500 错误,都能反映红队的探测和攻击尝试。有些漏洞利用会在中间件日志中留下报错信息,能够直接对应到具体的漏洞类型。
六、横向移动与攻击范围排查
完成单台服务器的溯源后,还需要扩大排查范围,确认攻击是否已经扩散到内网其他主机。
6.1 横向移动痕迹排查
红队拿到一台服务器权限后,通常会以它为跳板,尝试访问内网其他机器。可以排查内网其他主机的登录日志,看是否有来自受害服务器 IP 的登录记录。
在内网其他主机的日志中检索受害服务器 IP,即可确认是否存在横向移动:
image-20260616213231620
另外还要关注内网的 SMB、RDP、WinRM、SSH 等服务的连接记录,如果受害机对内网其他主机发起了大量连接尝试,说明红队正在进行横向移动。一旦发现有成功登录的记录,就要立即将对应主机纳入处置范围。
6.2 攻击源画像汇总
收集完所有痕迹后,可以汇总出完整的攻击源画像,内容通常包括攻击 IP、攻击时间分布、入口漏洞、使用工具、权限维持方式、扩散范围等。
这份画像是溯源报告的主要内容,所有结论都要基于客观的日志和文件证据,完整还原攻击链的每一个环节。
七、溯源工作的注意事项
溯源过程中操作不当,很容易破坏原始证据,或者惊动红队导致其加速破坏和清理痕迹,有几点需要格外注意。
1、登录受害服务器时,请不要直接使用常规管理员账号登录,优先通过带外管理通道查看状态,避免红队通过登录日志察觉排查动作。
2、排查操作尽量保持只读,修改文件、终止进程、删除数据这类操作,要在证据固定完成后再执行。尽量使用系统原生命令排查,不要随意上传第三方工具,避免污染现场证据。
3、重要的日志和文件要及时备份到独立的存储设备,防止红队后续清理痕迹导致证据丢失。
4、排查范围要覆盖所有可能关联的主机,不能只处理已发现的受害机,避免留下遗漏的后门和跳板。
总结
蓝队溯源没有万能的固定流程,不同攻击手法留下的痕迹各不相同,日志、网络、文件、Web 这几类手法,构成了溯源工作的基础能力。实际工作中往往需要多种手法交叉验证、互相补充,才能还原出完整的攻击路径。
溯源能力的提升离不开经验积累,接触的攻击样本和安全事件越多,对异常痕迹的敏感度就越高。建议定期开展应急演练,熟悉不同系统的日志格式和正常业务基线,这样在真实事件发生时才能快速定位问题,高效完成处置。
🎁 互动与福利
分享本文到朋友圈,点赞+在看+关注,一键三联,可以凭截图找老师领取
上千学习资料+工具哦
22919c6e4ef945aa9a9cbf0f6df4f6ff
分享后扫码加我!
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:智榜样网络安全学习中心 小智 小智《常见的蓝队溯源手法》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论