护网中的溯源碎碎念思路

admin 2022年7月27日23:55:07应急响应评论49 views2419字阅读8分3秒阅读模式


护网中的溯源碎碎念思路
点击上方“蓝字”,发现更多精彩。

0x00 碎碎念

又是我,那个在等待中逐渐失望又燃起希望的菜鸟选手~


今天是正式护网的第三天,简单记录下这几天:

7月25日:第一天简单开了会,开始了正式护网之路。(第一天没什么流量)


7月26日:第二天还是没什么攻击流量。(已经有点闲的蛋疼了)


7月27日:第三天还是没流量,实在无奈从安全设备上随便找了几个探测资产存活的IP,扫了全端口反查了域名顺手审了个cms rce反打了下,溯了姓名、学校、家庭住址、身份证号、单位、联系方式、女朋友等信息(不加分,对方就是扫了个描)。


现在除了手上一堆最近的day,批量了一堆天x信、安x、深x服安全设备以及用友、泛微、通达等等,不过感觉没什么意思。



主要在心态上的变化,变化的比较多。感觉现在单位门口路过条狗多往单位里面看几眼,我都想溯源一波。


溯源攻击队的狗的思路(强调下不是说攻击队的是狗,而是形容护网期间本人的神经紧绷):

1、先检查狗子是否有正规的狗证,有狗证就排查其背后主人

2、没有狗证需要排查其攻击意向,是不是攻击队的狗派过来蹭wifi搞近源渗透

3、通过门口摄像头排查狗的这几天活动路线,是否有探测行为以及针对性探测行为

4、检查狗子的身体是否藏了某个物联网设备,是否肚子上绑了一块树莓派还带着移动电源


最终结果两个:

(1)狗子是攻击队的

结果如下👇:

护网中的溯源碎碎念思路


(2)狗子不是攻击队的

结果如下(纯粹闲的)👇

护网中的溯源碎碎念思路


总结下:溯源做多的毛病就是路过我值守单位的狗多看我单位两眼,我就觉得它有问题,它可能是“攻击队”的。


0x01. 溯源的总结

1、既然说到这了,就简单讲讲鄙人溯源的思路

总结下溯源的五种溯源方向吧:

1.1. IP溯源

1.2. 域名溯源

1.3. 邮件溯源

1.4. 木马溯源

1.5. 蜜罐溯源


1.1. IP溯源

  • IP威胁情报

寻找IP是否有域名解析,历史域名解析信息。(奇安信白泽yyds)


  • IP反查域名

通过IP反查接口,反查IP上的域名信息


  • 全端口扫描

通过端口漏洞去进行渗透(自己之前有一个案例就是通过smb的会话枚举,枚举到用户id最终一套溯源溯到目标攻击人员)


1.2. 域名溯源

  • 域名威胁情报(历史whois信息、解析的IP信息、历史IP解析信息)

  • 域名whois信息(获取到注册人、注册邮箱,这里去看2.3. 邮箱溯源)

  • web渗透(通过漏洞、审计0day等思路反打服务器)


1.3. 邮件溯源

  • 邮件服务器IP

邮件导出为eml格式,提取发件人IP(获取到IP后,去看1.1. IP溯源思路)


  • 邮件附件文档、附件

获取到执行程序、文档(这里去看1.4. 木马溯源)


1.4. 木马溯源

  • 木马云沙箱

提取C2域名、及一些木马信息


  • 木马反连IP

这里不一定是执行程序,可能是文档,放入虚拟机通过wireshark抓取流量抓取外联IP(获取到IP后,去看1.1. IP溯源思路)。


  • 木马逆向

对木马进行逆向,看木马是否包含红队物理路径信息,物理路径是否携带用户名ID


1.5. 蜜罐溯源

  • 蜜罐搭建

搭建思路:有条件每个段搭建几个,把真实业务网站1比1复刻做钓鱼页面。



2、不同信息的溯源思路

溯源思路目录:

2.1. ID溯源

2.2. 域名溯源

2.3. 邮箱溯源

2.4. 手机号溯源

2.5. QQ溯源

2.6. 姓名溯源

2.6. 社工库


2.1. ID溯源

  • github、csdn、博客园、i春秋、freebuf、t00ls、贴吧、微博、抖音、快手、百度贴吧等

  • 朋友圈溯源(多加几个群,总会用得上)

  • 好友溯源(一个牛逼的大佬能帮你省掉很多事)


2.2. 域名溯源

  • whois反查

  • whois隐私保护反查思路(域名历史IP解析)

  • 搜索引擎

  • (这里滑上去去看1.2. 域名溯源)


2.3. 邮箱溯源

  • 邮箱注册域名

  • 邮箱前缀可能是ID、手机号、QQ等信息

  • 爱企查、天眼查、企查查反查公司

  • reg007.com查邮箱注册过的网站,通过各个平台找回密码找信息


2.4. 手机号溯源

  • 查脉脉、领英,得到毕业院校、工作经历

  • 查微博、知乎、github等社交账号

  • 微信、支付宝转账,得到部分真实姓名


2.5. QQ溯源

  • 添加好友看QQ名片信息

  • QQ邮箱支付宝转账

  • 搜索引擎搜索QQ以及QQ邮箱

  • QQ邮箱历史注册信息


2.6. 姓名溯源

  • 缩小范围溯源效果最佳如:姓名 + ID、姓名 + 邮箱、姓名 + 省份/地点、姓名 + 手机号、姓名 + QQ、姓名 + 微信

  • 搜索引擎


2.7. 社工库

  • 查询姓名

  • 查询手机号

  • 查询邮箱

  • 查询QQ



0x02. 溯源的核心

一个优秀的蓝队必然也是一个优秀的红队。———— 菜鸟选手

1、鱼儿主动上钩(1)

    专门拿几台windows 10机器放上工具,放上资料,放上信息,搭建渗透环境渗透工具包,正常使用。正常写蓝队每日防守日报,统计资产数据的excel,这类文档捆绑上木马,资产数据放的是一开始1比1伪造的蜜罐资产。不中马就让对方中蜜罐。蓝队每日防守日报诱导性透露信息。

PS:此处把红队木马专门放到机器上运行,等红队上钩。如果木马免杀效果不佳就把杀软关了,或者放一些被免杀了的杀软。


2、鱼儿主动上钩(2)

    真实资产服务器同主动上钩(1),放木马文档、放蜜罐数据、钓出口IP等等。舍不得孩,套不着狼。

PS:真真假假,假假真真。红队又该何去何从?


3、近源蓝打红

    构造钓鱼网站、问卷钓鱼、程序钓鱼。这类钓鱼不需要做木马什么的,任意被杀,我们只需要获取出口IP,上门干红队。

PS:拿着抓来的day干,他山之石可攻玉。


4、信息的利用

    通过只言片语收集出来的攻击者信息:习惯、背景、性格、爱好、家乡、单位、所在地、出生年月日等信息。进行组合社工利用,还是前言说的一个优秀的蓝队必然是一个优秀的红队,拿个0day、1day博取攻击队信任又何尝不可呢?社工库查询的信息不一定有用,但是可以精确我们的判断。

PS:社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。


溯源的本质是信息的组合配合,也是信息组合利用与反打。————菜鸟选手


0x03. 闲谈

下次也许是三天后了,各位看官待着少年郎的故事继续~

我知道你在看
护网中的溯源碎碎念思路

原文始发于微信公众号(米瑞尔信息安全):护网中的溯源碎碎念思路

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月27日23:55:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  护网中的溯源碎碎念思路 http://cn-sec.com/archives/1205538.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: