一、研究背景和目的
网安行业一年一度的重保结束后,网安从业者们基本都进入了复盘总结阶段。本文主要研究探讨的是作为一名蓝队防守人员,怎么摆脱被动挨打的局面,为自己的客户争取更多得分机会。
一个完整的防守流程包括监测发现→分析研判→应急处置→通报预警→协同联动→溯源反制六个步骤。其中前五步为每个蓝队人员都应具备的能力,真正能拉开分数差距,体现防守人员水平的,还是在反制溯源这一方面。进攻就是最好的防守,这也要求防守人员有一定的红队水平。
二、使用场景
通过IP域名进行溯源。
三、阶段一:IP域名溯源
3.1 目标的获取
3.1.1 安全设备告警获取目标
攻击者IP可直接从安全设备上获取,域名可根据IP反查得出(如果有绑定的话),这两个要素是我们最容易获得的一个溯源起点。
首先应该看看这个攻击IP是来自何处,把IP输入情报威胁中心并查询,如果被标记为移动基站或移动网络,代表攻击者为连着手机热点攻击;如果被标记为住宅用户或家庭宽带,代表攻击者连着家用宽带网络攻击。这两种情况都没有溯源下去的必要。
|
|
如果IP被标记为IDC服务器、企业出口、企业专线,此时便可对其展开下一步溯源。
|
|
3.1.2 钓鱼邮件获取目标
钓鱼邮件无非两种,一种是忽悠人打开链接输入账号密码等信息,从而达到骗取他人账号密码的目的;另一种则是忽悠人下载邮件中经过伪装的.exe木马附件,从而达到控制受害者电脑、实现互联网到内部网络穿透的目的。
相反之下,作为防守人员,我们就可以尝试从钓鱼链接、木马文件、以及邮件源码中的头信息中获取到可以追溯的目标IP及域名。
如下图即为钓鱼邮件中的CS木马,伪装成微信截图,骗取公司运维人员点击。
使用安恒云沙箱进行在线分析,提取其C2服务器的地址。
如下为从钓鱼邮件源码中获取发件者IP地址:
3.2 域名溯源
3.2.1 威胁情报库溯源
获取攻击IP后不仅仅只能反查域名,还可查询其历史攻击画像,例如攻击手法、木马下载地址等等,有时往往就能查询到归属。
如图案例所示,目标IP大量关联到一个dnslog平台地址,查询域名备案为某某公司。
|
|
3.3 IP溯源
3.3.1 地理位置溯源
此方法适用于查询到攻击IP为企业专线、但IP又无绑定过域名。此时可以在CNNIC查询该IP有过备案,再加上地理位置溯源就能为你提供进一步的证据支撑。
如图案例:攻击IP为企业专线,未绑定域名,使用CNNIC查询该IP,可以查询到运营商划分给目标单位的网段、目标单位的中文拼音缩写等信息。
CNNIC网址:https://ipwhois.cnnic.cn
|
|
使用某度搜索目标单位拼音缩写,能大致确认公司名称及地址。
|
|
再结合IP定位,可以进一步确认目标单位。
工具网址:https://www.chaipip.com
|
|
3.3.2 反攻溯源
俗话说,进攻就是最好的防御,此方法适用于查询到攻击IP为企业专线或云服务器。当获取到攻击IP后,可以先使用资产测绘平台被动探测其上开放的服务,如有发现再进行全端口扫描拓展攻击面。
如图案例:捕获到攻击IP后,在安恒sumap资产测绘平台查询到该IP上开放着大量web服务,其中就有其攻击团队的名称,可以根据这一ID信息展开进一步的溯源。
|
|
有时往往能发现攻击者云服务器上还开放着许多扫描器,这时可以试试弱口令或者默认密码,运气好就能登上。
|
|
使用docker版的AWVS默认密码: [email protected]/Admin123,成功登录攻击者AWVS,获取其邮箱账号,以此展开下一步的溯源。
|
|
使用弱口令admin/admin成功登录攻击者QingScan,从配置文件的fofa账号中获取其QQ邮箱以及token,以此展开下一步的溯源。
|
|
四、阶段二:社交ID溯源
通过阶段一我们拿到了攻击者的社交账号ID,例如邮箱、QQ号、百度ID等等。本阶段主要讲的是如何通过攻击者的社交ID溯源到攻击者,着重讲百度和QQ这两个受众较广的社交平台。
4.1 百度ID账号溯源
百度贴吧是中国最大的社交化问答和讨论平台,用户可以在各个吧内自由发帖、回复、点赞,涵盖了各种主题和兴趣,任何留言都会被记录并留下用户ID。
4.1.1 贴吧主页溯源
一般我们通过蜜罐抓取或者各种技术手段可获得攻击者的百度贴吧用户名ID,如获得攻击者百度用户名为XXX,使用如下链接可直接查看其贴吧主页:
https://tieba.baidu.com/home/main/?un=XXX
从贴吧主页我们可以获得许多信息,通过查看个人资料信息以及收集发布/回复的帖子包含的信息(例如:照片、QQ、邮箱、学校、兴趣爱好、从事行业等等。如在溯源过程中发现攻击者关注“某某大学学院”贴吧,则可大致确定其为该校学生。
|
|
确定学校后可尝试在学校官网的搜索引擎上搜索其名字,有可能就能发现有用信息。
|
|
也有可能在学校贴吧中获取到攻击者曾经留下的QQ。
|
|
4.1.2 百度账号找回溯源
使用找回密码功能,可能获取到其绑定的手机号。
|
|
4.1.3 百度网盘溯源
同样的,使用百度网盘的添加好友功能,可以反查到百度账号用户名。可以用于验证找回密码功能中得到的带星手机号。
|
|
4.2 QQ账号溯源
QQ同样也是受众较广的社交软件,很多时候能发现很多有用的信息。
4.2.1 QQ主页信息溯源
有些网络安全从业人员无反溯源意识,无需添加好友即可查看其QQ空间,可从中获取大量信息。
|
|
4.2.2 QQ密保手机溯源
可使用工具站查询历史的QQ绑定手机号以及微博UID。
工具网址:https://zy.xywlapi.cc/home.html
可使用QQ密码找回功能查询QQ现今绑定的带星手机号。
https://accounts.qq.com/find?aquin=XXXXX*左右滑动查看更多
|
|
五、阶段三:溯源真实身份
本阶段主要讲得是获取到个人信息三要素(姓名、手机、身份证)之一后,怎么继续完善攻击者画像。
5.1 支付宝姓名校验
支付宝作为一个几乎人手一个的支付软件,是我们重点的利用目标。其转账功能在输入手机号后默认会显示对方的昵称(默认为名字)及带星的姓名,使用验证功能验证其姓氏往往就能得到全名。
|
|
5.2 脉脉查询真实姓名
脉脉作为一个求职软件,往往大家都把自己的姓名作为昵称,且可以通过手机号查询用户名,又可以看到部分履历、职业等等往往可以成为一个突破点。
|
|
5.3 学信网个人身份三要素核验
学信网是中国教育部管理的官方教育信息服务平台,提供学历学位认证、学籍查询、学信档案等服务,帮助个人和机构查询和验证教育背景信息。凭借其健全的数据库,利用其找回密码功能来做溯源信息三要素核验再合适不过。
|
|
往期回顾
收录于合集 #九维技术团队
255个
上一篇九维团队-绿队(改进)| Java Spring编码安全系列之日志记录和监控不足
原文始发于微信公众号(安恒信息安全服务):九维团队-蓝队(防御)| 浅析多场景下的溯源反制
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论