反制取证典范with思路

admin 2024年7月2日12:30:43评论11 views字数 1128阅读3分45秒阅读模式

有趣的溯源/反制案例&&思路

有意思的反制案例

漫漫长夜,身为一只值守的小牛马,突然看见蜜罐上上线了一个奇怪的告警~

oh~有攻击者被反制上鱼了

反制取证典范with思路

看看上线的机器都有什么信息呢?

反制取证典范with思路

嗯,手机号有了,报告稳了!

反制取证典范with思路

wifi信息确认了大概的单位名,结合ip定位可以大致印证一下是否有溯偏,我这里用埃文免费查了一次发现两个信息是对得上的

反制取证典范with思路

趁着机器还在线,去找找攻击者MacOS上的宝藏

反制取证典范with思路

反制取证典范with思路

路径东西倒是不少呢,录用通知书都出来了,这里可以写完整报告了

反制取证典范with思路

折腾完毕,在访问其他路径的时候估计是触发了MacOS的弹窗,被攻击者发现,清理离线了

那么根据当前的情况,过滤一下攻击者的ip,还原一下攻击者的上线经过,完善整体的反制路径

反制取证典范with思路

根据日志得知攻击者在通过git扫描的钓鱼页面的时候被反制了,之后没看见对我们单位有什么动作,估计是因为git反制的原理导致的,他日后估计还会多次上线。

既然上线了那就只好把你写进我的报告啦~

反制取证典范with思路

常见的几种溯源/反制手法

现代化蜜罐都做了哪些溯源/反制的操作呢?

  1. 1. 可克隆相关系统页面,伪装“漏洞”系统,以此进行反制。常见的有git反制、svn反制、goby反制、cs反制、还有一些应用的 0 day和 n day等。

  2. 2. 可克隆相关系统页面,伪装内部应用下载,以此诱导攻击者运行网站的木马程序进行反制。

  3. 3. 互联网端投饵,一般会在Github、Gitee、Coding上投放蜜标(有可能是个单独的网站地址、也有可能是个密码本引诱中招)。

  4. 4. 利用JSONP、XSS、CSRF等前端类漏洞获取访问蜜标的攻击者网络身份(网络画像)。

反制取证典范with思路

溯源社交平台到验证身份

所有的社交id都是为了得到 攻击者手机号/网络ID 以便于进一步得到攻击者详细信息

例如网络id可以拿到Google、Github、各大src等平台中访问搜索。

百度、微博、qq号都是可以尝试查看发布的公开信息的。

例如百度可以通过 baidu贴吧 --> qq号 --> 手机号 --> 支付宝查询真实姓名

良好的案例:

反制取证典范with思路

百度贴吧的回帖中发现红队老哥泄露了自己的联系方式

反制取证典范with思路

搜索QQ查看一些基本信息

反制取证典范with思路

SG库检索QQ号获取到了手机号

反制取证典范with思路

手机号检索到了微信号、脉脉等信息

反制取证典范with思路
反制取证典范with思路

支付宝转账验证,得到真实姓名

反制取证典范with思路

如果是打马中间四位数的手机号,可以去找找在线去空号的接口,或者付费去空号。

得到可用手机号之后,再给安卓手机批量导入剩余非空号的号码,去脉脉、百度贴吧等地方查看攻击者的详细信息,筛选定位出具体的攻击者。

手机号可以通过支付宝转账获得攻击者的真实姓名(可配合银行卡转账信息),得到完整手机号。

通过在线的各种信息检测接口来得到更多的信息。例如:https://privacy.aiuys.com/

反制取证典范with思路

得到进一步的更多信息,坐实攻击者身份

原文始发于微信公众号(安全光圈):反制取证典范with思路

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月2日12:30:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   反制取证典范with思路http://cn-sec.com/archives/2909369.html

发表评论

匿名网友 填写信息