一、攻击源捕获
-
1、安全设备
-
1、WAF类
-
手工试探类
-
扫描器探测类
-
公网傀儡机扫描类
-
Wehshell 上传写入类
-
命令执行远程下载攻击组件、反弹shell类
-
2、NTA类设备
-
Web类警告
-
异常流量类警告
-
回连
-
加密流量
-
隧道
-
3、EDR类设备
-
回连类IP、告警
-
命令执行下载攻击组件类告警
-
2、钓鱼邮件
-
发件IP、服务器、钓鱼网站
-
钓鱼附件
-
发件账号
-
其他特征
-
3、蜜罐
-
攻击者行为、意图、ID
-
攻击者IP、设备、次数、链路
-
其他特征
-
4、无安全设备
-
服务器资源异常
-
异常的文件、账号、进程、端口、启动项、计划任务、服务等
-
日常与流量分析
-
web应用服务日志异常
-
系统 网络流量异常
总结:通过攻击者攻击痕迹获取可疑IP&域名、后门、恶意程序、webshell、钓鱼附件等,用于下步溯源反制、获取攻击画像。
二、攻击溯源
1、IP定位
-
https://www.cz88.net/iplab?ipstr=
-
https://wigle.net/
-
https://www.opengps.cn/Data/IP/LocHighAcc.aspx
-
http://www.ipip.net/ip.html
-
https://bgp.he.net/ip/
-
https://www.hao7188.com/
-
https://ip.tool.chinaz.com
-
https://www.ipuu.net/query/ip?search=
-
https://www.whatismyip.com/ip-address-lookup/
-
https://iknowwhatyoudownload.com/en/peer/?ip=
-
https://www.ip2location.com/demo/
-
经纬度定位:https://lbs.amap.com/tools/picker
2、IP WHOIS
-
https://tool.chinaz.com/ipwhois
-
https://whois.domaintools.com/
-
https://dnschecker.org/
-
https://hackertarget.com/whois-lookup/
-
https://www.hashemian.com/tools/reverse-whois.php
-
http://whoissoft.com/
-
https://ipwhois.cnnic.net.cn/
-
https://www.whatismyip.com/
-
https://wq.apnic.net/static/search.html
3、IP反查域名
-
https://stool.chinaz.com/same
-
https://tools.ipip.net/ipdomain.php
-
https://viewdns.info/reverseip/
-
https://dnslytics.com/reverse-ip
-
https://reverseip.domaintools.com/search/?q=
-
https://site.ip138.com/
-
https://x.threatbook.com/
-
空间测绘
-
https://fofa.info/
-
https://www.shodan.io/
-
https://www.zoomeye.org/
-
https://www.oshadan.com/
-
https://quake.360.net/quake/#/index
-
https://www.bountyteam.com/
-
https://hunter.qianxin.com/
-
https://0.zone/
-
https://www.dbappsecurity.com.cn/member/login.html
4、IP威胁情报
-
国内
-
https://x.threatbook.com/
-
https://ti.360.cn/#/homepage
-
https://ti.qianxin.com/
-
https://www.venuseye.com.cn/
-
https://ti.venuseye.com.cn/#/home
-
https://nti.nsfocus.com/
-
https://ti.dbappsecurity.com.cn/
-
https://ti.sangfor.com.cn/analysis-platform
-
https://redqueen.tj-un.com/
-
国外
-
https://community.riskiq.com/
-
https://exchange.xforce.ibmcloud.com/
-
https://www.virustotal.com/gui/home/upload
-
https://isc.sans.edu/
-
https://www.threatcrowd.org/
-
https://www.threatminer.org/
-
https://www.greynoise.io/
5、IP反查手机号
-
IP 反查域名--> 域名whois
-
https://x.threatbook.com/ -->查询域名 --> 查 whois
-
腾讯云找回账号
-
https://cloud.tencent.com/account/recover
-
其他。。。
6、域名 whois 查询
-
http://whois.bugscaner.com/
-
https://whois.chinaz.com/
-
https://www.benmi.com/rwhois?q=
-
https://www.ggcx.com/main/whois
-
https://whois.aliyun.com/whois/domain
7、域名ICP 备案查询
-
http://whois.west.cn/icp/
-
https://www.ggcx.com/main/record
-
https://www.benmi.com/icp/
-
https://icp.chinaz.com/
-
https://www.sojson.com/beian/
-
https://www.beian.gov.cn/portal/recordQuery
8、端口扫描
-
无端口开发
-
端口限制策略
-
NAT
-
网络空间测绘
-
fofa
-
shadon
-
钟馗之眼
-
获取域名
-
根据ssl证书
-
开放网站
-
是否有备案号
-
是否存在历史漏洞-->反制
9、邮件头分析
-
https://www.whatismyip.com/email-header-analyzer/
-
http://tool.chacuo.net/mailverify
10、邮件信息收集
-
人人网
-
注册过的网站
-
http://www.skymem.info/
-
https://hunter.io/
-
https://www.email-format.com/i/search/
-
https://www.reg007.com/
-
https://tools.epieos.com/holehe.php
-
https://intelx.io/
-
whois反查
-
获取手机号
-
https://passport.58.com/forgetpassword?null
-
https://passport.baidu.com/?getpassindex
-
https://passport.taobao.com/ac/password_find.htm?from_site=0
-
https://reg.163.com/naq/findPassword#/verifyAccount
11、手机号信息收集
-
搜索引擎
-
Googlehack
-
baidu
-
社工库
-
常用密码、qq、微博、地址、身份证等
-
https://sgk66.cc/search.html
-
https://www.privacys.club/
-
手机号查询真实姓名
-
支付宝转账、微信转账
-
常用昵称
-
微信、微博、qq、博客、b站、百度账号等等
-
whois 反查
-
邮件查询手机号
-
如上
-
手机号注册查询
-
http://www.newx007.com/
-
QQ密码找回
-
https://accounts.qq.com/find/password
-
抖音、快手等
-
手机查qq:https://privacy.aiuys.com/?ref=@
-
手机号查注册了什么:https://www.reg007.com/search?q=
12、QQ信息收集
-
Google hacking
-
QQ昵称
-
QQ空间
-
社工库
-
QQ找回密码--手机号
-
手机查qq:https://privacy.aiuys.com/?ref=@
13、图片信息获取
-
提取exif 信息
-
https://www.sojson.com/image/exif.html
-
https://exiftool.org/
14、ID追踪
1、蜜罐等安全设备获取攻击者ID,IP反查域名信息获取攻击者ID,业务功能日志抓到攻击者ID
-
社工库匹配
-
白帽子信息库比对
-
威胁情报匹配
-
网络ID昵称信息收集
-
社交账号
-
知乎
-
微博
-
facebook
-
贴吧
-
github
-
gitte
-
豆瓣
-
陌陌
-
google hacking
2、ID 类型
-
手机号
-
qq
-
邮箱
-
微博
-
博客
-
其他
15、恶意样本分析
-
逆向分析提取样本特征
-
用户名、ID、C2服务器、邮箱、终端信息等
-
威胁情报
-
反向连接域名/IP等
16、钓鱼邮件反查
-
沙盒检测
-
恶意URL、附件MD5、IP等
-
反查邮件
-
追踪发送者的IP位置
-
docx 文件
-
解压查询远程模板地址
-
可能存在“最后编辑者名称“
-
PDF 信息获取等
-
LNk 文件
-
LNK 文件在新建的时候会带入计算机名称,可能存在个人昵称
-
EXE 文件
-
存在 PDB 信息,部分开发人员将项目存放在桌面,这会导致编译信息带入开发人员的终端名称(极大可能为个人昵称)
三、攻击者画像
1、攻击行为推演结果
-
攻击行为
-
攻击源地址、目的地址
-
攻击手法
-
服务器情况
2、攻击者画像
-
身份信息
-
姓名
-
电话
-
工号
-
团队
-
地址
-
社交账号
-
微信、qq、支付宝
-
邮箱
-
看雪、语雀、freebuf、CSDN、GitHub、gitte、gitbokk 等
-
公司 所属
-
公司地址
-
公司职位
-
所属团队
四、溯源反制
1、溯源环境构建
2、诱捕蜜罐构建
3、反制专用远控
4、诱捕
5、信息收集
6、反制
7、后反制
蓝队思维导图:https://github.com/Pik-sec/blue-team
攻击溯源反制:https://mmbiz.qpic.cn/mmbiz_png/4LicHRMXdTzB0BmrL4n02HCamUPxmAvK4DWDfWK8CpicEiaibMUY1GAVzzicGW7NYjahCr4wia4IUzhaHjTheYF6WoNg/0?wx_fmt=png
End
原文始发于微信公众号(贝雷帽SEC):【蓝队】攻击溯源-反制&思维导图
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论