0x01 前言
0x02 数据的来源
1、蜜罐
2、流量监测设备
3、WAF、IPS、IDS
4、钓鱼邮件
0x03 数据分析思路
(一)WAF、流量监测设备
1、请求数据包 -> 可能包含攻击反弹的C2地址或者DNSLOG地址
2、某些可注册的网站,通过流量分析 -> 获取攻击者注册手机号,甚至身份证等信息
3、IP地址 - > 分析攻击行为,过滤掉国外肉鸡攻击IP。
4、重点关注来自阿里、腾讯等云服务器过来的攻击流量
(二) 钓鱼邮件
1、分析附件中样本外联的C2地址
2、获取邮件发送方的IP地址 -> 显示邮件原文
(三)巧借脚本帮助分析
1、调用监测设备接口获取互联网攻击IP
2、调用威胁情报分析平台和FOFA结构对攻击IP进行分析 -> 获取域名解析记录、端口
3、如果域名中包含”.cn”的域名,直接输出Whois反查的结果。
重点关注信息
在数据分析的过程中我们应该重点关注以下信息:
1、IP地址
2、DNSLOG C2地址
3、钓鱼邮件中的信息
4、蜜罐抓取到的Hacker ID
0x04 溯源反制
针对以上我们获取到的不同信息,有着不同的溯源思路。
IP地址分析
地理位置查询
红队攻击者会借用手机热点发起攻击,我们可以通过地理位置查询到他所处的位置,如果和攻防演练的比赛场地接近,可以暂时不封该IP,并重点进行关注分析。300米误差 地址:https://chaipip.com/aiwen.html
威胁情报分析
拿到攻击IP后我们可以在威胁情报平台中进行搜索,获取如主机信息、近期活动情况、域名解析等信息。这个就不多讲了。
主机信息
那么主机信息我们要重点关注端口信息
1、存在WEB应用端口 -> 反制
2、CS TeamServer(50050)
-> 爆破
脚本地址:https://github.com/LubyRuffy/csbruter
-> DDOS搅屎:批量上线钓鱼马,启几百个进程,DDOS 红方的cs 端
脚本地址:https://github.com/Tk369/pluginS/blob/master/ll.py
注意:隔离环境中使用!!!
实际测试结果:双方DDOS emmmm
域名解析记录
重点关注.cn域名
1、最近解析到该IP上的域名
存在 -> 继续分析
不存在,并且ping该域名的结果非攻击IP,则停止分析
2、域名 = Hacker ID
3、.cn的域名
直接获取域名注册信息 WHY?-> cnnic强制显示真实个人信息
地址:https://sg.godaddy.com/zh/whois/results.aspx?checkAvail=1&domain=
QQ号码溯源思路
拿到QQ号码之后重点应该是去社工库去查Q绑、地址等信息,其次就是在各大搜索引擎以及社交平台搜索其信息。
1、社工库 -> 手机号、身份证(运气好)等信息
2、搜索引擎 -> 推荐谷歌
3、社交平台 -> 百度贴吧、微博等
4、加好友,加好友聊天去套单位,伪装成学弟,可以去贴吧搜点学校照片发朋友圈,再加好友。
HackerID溯源思路
假如我们获取到了攻击者的HackerID,我们可以通过以下几种思路进行分析:
1、搜索引擎
2、各大SRC
3、问xxx你认识吗?emmmm
手机号码
拿到手机号码,我们可以做的事情就更多了。可以通过社工库获取到QQ信息,微博地址;其次可以通过支付宝确认攻击者的姓名等等。
1、支付宝转账 - > 确定姓名,甚至获取照片
2、微信搜索 -> 微信ID可能是攻击者的ID,甚至照片
3、社工库
微博账号
思路:
微博Oid -> TG社工库反查手机号码(微博5e数据)
百度账号
思路:
1、贴吧搜索
2、根据头像在GOOGLE中搜索
DNSLOG地址
1、思路和上述一致,不再赘述
2、搅屎:批量PING攻击机的DNSLOG地址,制造大量垃圾数据。
3、注意:
地址为以下地址可停止分析:*.dnslog.cn 、*.burpcollaborator.net、*.bxss.me
0x05 总结
监制:船长、铁子 策划:格纸 文案:ahu 美工:青柠
原文始发于微信公众号(我是安服):安服笔记:蓝队溯源反制技术分享
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论