最佳实践:如何固化IP画像流程

admin
admin
admin
67188
文章
39
评论
2023年1月12日08:20:57安全闲碎评论4 views1525字阅读5分5秒阅读模式
最佳实践:如何固化IP画像流程
正文共:1482 字 10 图  
预计阅读时间:4 分钟

▌前言
IP 画像对于安全人员来说是一个很普遍且通用的场景。
以一个真实的钓鱼事件为例:得到钓鱼短链接后,整个溯源的流程如下图所示:
最佳实践:如何固化IP画像流程
在这个过程中,对违法 IP 对应资产进行全面分析,是后续处理动作的关键一环。然而,不同的团队、网络安全人员水平由于知识与经验的差异,对于 IP 资产理解有很大的差异,导致 IP 资产分析的结果及效果有很大的差别。行业需要一个规范通用的 IP 资产画像流程,让画像效果更好。
以下是我们团队对于 IP 资产画像的实践总结,供大家参考。


规范


输入输出规范使一个工作得以广泛地分享与交流;正确地使用规范可以有效节省沟通成本、开发成本,也可以保证我们的工作可以有序顺利地进行,从而极大地提高我们的协作效率。
输入规范:输入目标 IP 或者上传包含有 IP 的文件;
最佳实践:如何固化IP画像流程
可通过 "Gen" 块直接输入 IP;
最佳实践:如何固化IP画像流程
也可通过 "Upload Files" 上传包含 IP 的以 .txt/.csv/.excel 为后缀的文件
输出规范:整体压缩包,有输出结果的 JSON 文件、生成的 Excel 表格文件、还有 Web 资产的截图文件;

输出结果规范:以 Excel 表格为例,输出内容包含:IP、IP 地理位置、Web 端口分布(IP C 段端口分布)、注册商、IP 关联域名信息(包含邮箱、注册公司名称、注册时间等信息)、威胁情报信息、网络资产信息(端口、协议、产品信息、CERT、更新时间)、Web 页面信息(端口、title、更新时间、截图);

字段详情如下图所示:

最佳实践:如何固化IP画像流程

▌效果评估

我们对工作流输出的数据有一套评分标准以保证输出质量。

评估标准:标准输出字段覆盖度、字段数据准确性、情报标签数量、情报标签准确度

得分明细

最佳实践:如何固化IP画像流程

▌流程

最佳实践:如何固化IP画像流程

流程执行动画

以此视频为例,该次执行输入为日本钓鱼事件中的其中一个目标 IP,通过自动化流程输出的结果分析可发现此 IP 为韩国首尔的一台服务器,同时开通了“ XX ”,而且有可能是攻击者资产。

IP 画像工作流主要有四部分内容来实现:

信息收集:查询 IP 的基本信息,以及 DNS 解析记录;

威胁信息查询:通过威胁情报平台数据聚合查询;

测绘信息查询:通过 FOFA API 查询 IP 的测绘信息(host 聚合信息、Web 资产信息等);

数据整合:对以上收集的数据进行分析、过滤整合,输出更有效的画像信息;

最佳实践:如何固化IP画像流程

简介:通过输入 IP 进行自动化画像:基于目标 IP,通过威胁情报平台查询获取威胁信息;通过 FOFA 来采集测绘数据;

输入数据:目标 IP,输入可以为 .txt/.json/.csv 为后缀的文件;

使用流程
1. 按照工作流文档来设置工作流需要的环境变量和 Secret;
2. 输入目标 IP 或者上传包含有 IP 的文件;
3. 执行并等待流程结束;
4. 执行结束后下载右侧最上方的打包文件,解压后可看到画像结果,包含最终 JSON,Excel 表格,以及 Excel 表格中对应的截图。

适用场景
1. 对攻击 IP 进行总结分析;
2. 对有恶意或者有违法行为的 IP 进行归属定位进行监管;
3. IP 溯源反制;
4. IP 信息收集。

输出截图

最佳实践:如何固化IP画像流程

▌效率优先

人工完成完成一个复杂的 IP 画像流程至少需要大半天去分析搜集,而此工作流完成则只需不到一分钟的时间,极大提高了 IP 画像的效率。

▌Reference

《针对日本网络钓鱼活动溯源分析》
《最佳实践:仿冒站点一键自动化拓线(修订版)》 

▌End

欢迎各位白帽师傅们加入我们的社区大家庭,一起交流技术、生活趣事、奇闻八卦,结交无数白帽好友。
也欢迎投稿到 FOFA,审核通过后可加 5000-10000 社区积分哦,我们在积分商城准备了好礼,快来加入微信群体验吧~~~
  • 微信群:扫描下方二维码,加入 FOFA 社群!获取更多一手信息!

最佳实践:如何固化IP画像流程

原文始发于微信公众号(FOFA):最佳实践:如何固化IP画像流程

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月12日08:20:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  最佳实践:如何固化IP画像流程 https://cn-sec.com/archives/1514249.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: