0x00写在前面

      该场景多用于HW溯源，追查黑产等场景！

0x01内容正文

      前言-使用场景

      常规攻击：一般事件复杂度不高，杂音较低，线性且可直接推测出攻击目的。其中包括定向钓鱼，端口服务扫描，SQL 注入、文件上传，反序列化攻击等，能够得到的不是整条攻击链路，而只是攻击过程的一环，必要时可通过一环接一环形成完整攻击链路。

       具体场景：常规应急响应，客户深究想找到攻击者（或可立案或想找到是谁攻击的我）、HW溯源找到攻击队（可加分）。

      APT（有专业的大哥们专业的方法），一般耗时长久，可参考大哥方法：

https://paper.seebug.org/1132/

       前提-发现可疑点

      通过安全防护设备（流量监测类、waf、蜜罐、失陷主机得到的攻击痕迹、失陷主机的样本分析、钓鱼邮件捕获的样本分析等信息）获取到攻击者的“能力”和“基础设施”。

      常规得到的基础信息如下（IP、域名、邮箱等）：

      攻击者IP

      扫描IP（企图但未攻击成功的IP）漏洞扫描、webshell扫描、nmap/masscan扫描等各种发起扫描探测的IP，扫描过程中payload远程拉取的IP地址。

      入侵IP（成功进行攻击的IP）

      连接webshell的IP、反弹shell的IP、CS上线的IP、钓鱼邮件的recieve_IP、钓鱼邮件附件样本的C&C地址IP、漏洞利用成功的直接攻击IP（文件上传成功的IP、反序列化或S2直接攻击成功的IP）。

       其他IP

       通过以上信息关联得到的可疑IP。

       域名

       攻击者拥有域名，命令执行尝试回连的测试域名【排除公共使用的dnslog平台：dnslog.cn,dnslog.io,ceye.boomeye.com,xss.me,xip.io,burpcollaborator.net,r87.me等】、webshell(黑产常见),样本文件(恶意软件常见),payload远程拉取域名地址

IP-域名之间的反查最为重要，需要确认时间对应情况，当前域名解析情况等多种因素，可在以下平台查询PDNS

https://ti.qianxin.com/https://x.threatbook.cn/https://otx.alienvault.com/https://www.virustotal.com/gui/https://community.riskiq.com/(强烈推荐)

     其他域名

     公共站点，攻击者攻陷肉鸡等

    邮箱（最为难找）

     攻击者的邮箱（钓鱼使用邮箱）

     域名反查找到的whois信息里面的邮箱

     信息查找-本地告警+日志关联

     以上的信息查找的基础是：本地提供高质量的威胁信息：

     本地的流量溯源分析（常规的webshell连接行为进行分析）：

     确认事件有效性（即事件是不是真的成功了？）

     这块其实最难判断，后面可能单独拉出来讨论做成专题研究。

     溯源分析（找到漏洞点即怎么攻击成功的？）

     行为分析（使用木马干了什么，下载了什么）

     关联分析（攻击IP还做了什么其他行为？）

     网络空间追寻（根据基础设置尽可能定位人员）

      定性属性

      IP终端电脑（家庭、热点）-攻击者家庭或者热点，追踪成本较高

      VPS（腾讯云、阿里云、天地祥云） 

     开放服务信息（如：该IP开放端口对应服务：nessuss、FRP、CS、w12scan、博客信息等），通过开放服务信息找到可用信息，进一步反查域名，根据时间对应关系确认域名

     PDNS、域名的对应情况（根据对方的IP和域名，看看ip下面有哪些域名，那些还活跃、是否有必然联系、这些域名下面有哪些IP是否同为攻击IP）

     域名：根据域名可反查whois信息得到邮箱、电话、QQ等

     邮箱：反查其github、域名、微信、知乎、贴吧、微博等平台找到个人信息（容易打偏）

     举个例子（这个还是用这位大哥的吧，溯的很全，学习ing）：

https://wiki.0-sec.org/#/md

     后面继续补全......

     魔高一尺，道高一丈。

    目前发现的很多都是最终只能定位到家庭电脑或广东移动，甚至有些更厉害的攻击者伪造假的攻击身份（丢下假的证据）进行攻击。

    有一些通过攻击payload就能判断是恶意软件，可视情况进行溯源。

    恶意软件:

原文始发于微信公众号（哆啦安全）：追踪溯源、深挖和定性