声明
该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。
溯源分析
通常情况下,接到溯源任务时,获得的信息如下 :
攻击时间、攻击 IP、预警平台、攻击类型、恶意文件、受攻击域名/IP其中攻击 IP、攻击类型、恶意文件、攻击详情是溯源入手的点:
-
通过攻击类型分析攻击详情的请求包,看有没有攻击者特征。
-
如端口扫描大概率为个人云服务器或者灯塔等,在接到大量溯源任务时可优先溯源。
-
如命令执行大概率为未经任何隐匿的网络、移动网络、接到脚本扫描任务的肉鸡,在接到大量溯源任务时可优先溯源。
-
如爬虫大概率为空间搜索引擎,可放到最后溯源。
-
如恶意文件可获得 c2 地址、未删除的带有敏感信息的代码(如常用 ID、组织信 息)、持续化控制代码(C2 地址指在 APT 攻击里的命令与控制,若获取到 C2 地址可以使我们的溯源目标更有针对性)
溯源结果框架
在受到攻击、扫描之后,进行一系列溯源操作后,理想情况下想要获得如下数据, 来刻画攻击者画像。
姓名/ID: 攻击 IP: 地理位置:QQ: 微信: 邮箱: 手机号: 支付宝:IP 地址所属公司:IP 地址关联域名: 其他社交账号信息:人物照片溯源常用手法
威胁情报平台
https://x.threatbook.cn/https://ti.qianxin.com/https://ti.360.cn/https://www.venuseye.com.cn/
已知域名获取信息
通过威胁情报平台我们可以获取域名解析记录、历史 whois、子域名、SSL 证书:
已知 IP 获取信息
https://www.ipip.net/ip.htmlhttps://www.aizhan.com/https://www.whois.com/
IP 信息
https://www.ipip.net/http://ipwhois.cnnic.net.cn/index.jsp是否为移动网络、IDC 等、 IP段所属公司
IP 定位
https://chaipip.com/https://www.opengps.cn/Data/IP/ipplus.aspx
已知 ID/姓名/手机号/邮箱获取信息
手机号/邮箱
查支付宝转账,验证姓名。通过部分平台账号找回密码,可猜手机号。QQ 添加好友搜索 微信添加好友搜索 , 社交平台查找(抖音、脉脉搜索等)
https://www.reg007.com/
ID/姓名
谷歌/百度 src 搜索 微博搜索 贴吧搜索 社交平台查找(抖音、脉脉搜索等)
恶意文件
恶意文件通常会从邮件的路径获得,可以将邮件全格式保存,用十六进制编辑器 查看,可以获得发送邮件 IP 地址
在线沙箱
微步云沙箱 https://s.threatbook.cn/奇安信云沙箱 https://sandbox.ti.qianxin.com/sandbox/page腾讯哈勃 https://habo.qq.com/Joe Sandbox:https://www.joesandbox.com/
原文始发于微信公众号(Devil安全):【逃离计划】浅谈-溯源分析技术
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论