0x01. 溯源的总结
1.溯源的思路
总结下溯源的五种溯源方向吧:
1.1. IP溯源
1.2. 域名溯源
1.3. 邮件溯源
1.4. 木马溯源
1.5. 蜜罐溯源
1.1. IP溯源
-
IP威胁情报
寻找IP是否有域名解析,历史域名解析信息。(奇安信白泽yyds)
-
IP反查域名
通过IP反查接口,反查IP上的域名信息
-
全端口扫描
通过端口漏洞去进行渗透(自己之前有一个案例就是通过smb的会话枚举,枚举到用户id最终一套溯源溯到目标攻击人员)
1.2. 域名溯源
-
域名威胁情报(历史whois信息、解析的IP信息、历史IP解析信息)
-
域名whois信息(获取到注册人、注册邮箱,这里去看2.3. 邮箱溯源)
-
web渗透(通过漏洞、审计0day等思路反打服务器)
1.3. 邮件溯源
-
邮件服务器IP
邮件导出为eml格式,提取发件人IP(获取到IP后,去看1.1. IP溯源思路)
-
邮件附件文档、附件
获取到执行程序、文档(这里去看1.4. 木马溯源)
1.4. 木马溯源
-
木马云沙箱
提取C2域名、及一些木马信息
-
木马反连IP
这里不一定是执行程序,可能是文档,放入虚拟机通过wireshark抓取流量抓取外联IP(获取到IP后,去看1.1. IP溯源思路)。
-
木马逆向
对木马进行逆向,看木马是否包含红队物理路径信息,物理路径是否携带用户名ID
1.5. 蜜罐溯源
-
蜜罐搭建
搭建思路:有条件每个段搭建几个,把真实业务网站1比1复刻做钓鱼页面。
2.不同信息的溯源思路
溯源思路目录:
2.1. ID溯源
2.2. 域名溯源
2.3. 邮箱溯源
2.4. 手机号溯源
2.5. QQ溯源
2.6. 姓名溯源
2.6. 社工库
2.1. ID溯源
-
github、csdn、博客园、i春秋、freebuf、t00ls、贴吧、微博、抖音、快手、百度贴吧等
-
朋友圈溯源(多加几个群,总会用得上)
-
好友溯源(一个牛逼的大佬能帮你省掉很多事)
2.2. 域名溯源
-
whois反查
-
whois隐私保护反查思路(域名历史IP解析)
-
搜索引擎
-
(这里滑上去去看1.2. 域名溯源)
2.3. 邮箱溯源
-
邮箱注册域名
-
邮箱前缀可能是ID、手机号、QQ等信息
-
爱企查、天眼查、企查查反查公司
-
reg007.com查邮箱注册过的网站,通过各个平台找回密码找信息
2.4. 手机号溯源
-
查脉脉、领英,得到毕业院校、工作经历
-
查微博、知乎、github等社交账号
-
微信、支付宝转账,得到部分真实姓名
2.5. QQ溯源
-
添加好友看QQ名片信息
-
QQ邮箱支付宝转账
-
搜索引擎搜索QQ以及QQ邮箱
-
QQ邮箱历史注册信息
2.6. 姓名溯源
-
缩小范围溯源效果最佳如:姓名 + ID、姓名 + 邮箱、姓名 + 省份/地点、姓名 + 手机号、姓名 + QQ、姓名 + 微信
-
搜索引擎
2.7. 社工库
-
查询姓名
-
查询手机号
-
查询邮箱
-
查询QQ
0x02. 溯源的核心
一个优秀的蓝队必然也是一个优秀的红队。———— 菜鸟选手
1.鱼儿主动上钩(1)
专门拿几台windows 10机器放上工具,放上资料,放上信息,搭建渗透环境渗透工具包,正常使用。正常写蓝队每日防守日报,统计资产数据的excel,这类文档捆绑上木马,资产数据放的是一开始1比1伪造的蜜罐资产。不中马就让对方中蜜罐。蓝队每日防守日报诱导性透露信息。
PS:此处把红队木马专门放到机器上运行,等红队上钩。如果木马免杀效果不佳就把杀软关了,或者放一些被免杀了的杀软。
2.鱼儿主动上钩(2)
真实资产服务器同主动上钩(1),放木马文档、放蜜罐数据、钓出口IP等等。舍不得孩,套不着狼。
PS:真真假假,假假真真。红队又该何去何从?
3.近源蓝打红
构造钓鱼网站、问卷钓鱼、程序钓鱼。这类钓鱼不需要做木马什么的,任意被杀,我们只需要获取出口IP,上门干红队。
PS:拿着抓来的day干,他山之石可攻玉。
4.信息的利用
通过只言片语收集出来的攻击者信息:习惯、背景、性格、爱好、家乡、单位、所在地、出生年月日等信息。进行组合社工利用,还是前言说的一个优秀的蓝队必然是一个优秀的红队,拿个0day、1day博取攻击队信任又何尝不可呢?社工库查询的信息不一定有用,但是可以精确我们的判断。
PS:社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。
溯源的本质是信息的组合配合,也是信息组合利用与反打。————菜鸟选手
攻击者溯源反制
https://github.com/SuperDolby/hw-推荐阅读
原文始发于微信公众号(哆啦安全):溯源思路总结
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论