有趣的溯源/反制案例&&思路

有意思的反制案例

漫漫长夜，身为一只值守的小牛马，突然看见蜜罐上上线了一个奇怪的告警~

oh~有攻击者被反制上鱼了

看看上线的机器都有什么信息呢？

嗯，手机号有了，报告稳了！

wifi信息确认了大概的单位名，结合ip定位可以大致印证一下是否有溯偏，我这里用埃文免费查了一次发现两个信息是对得上的

趁着机器还在线，去找找攻击者MacOS上的宝藏

路径东西倒是不少呢，录用通知书都出来了，这里可以写完整报告了

折腾完毕，在访问其他路径的时候估计是触发了MacOS的弹窗，被攻击者发现，清理离线了

那么根据当前的情况，过滤一下攻击者的ip，还原一下攻击者的上线经过，完善整体的反制路径

根据日志得知攻击者在通过git扫描的钓鱼页面的时候被反制了，之后没看见对我们单位有什么动作，估计是因为git反制的原理导致的，他日后估计还会多次上线。

既然上线了那就只好把你写进我的报告啦~

常见的几种溯源/反制手法

现代化蜜罐都做了哪些溯源/反制的操作呢？

1. 1. 可克隆相关系统页面，伪装“漏洞”系统，以此进行反制。常见的有git反制、svn反制、goby反制、cs反制、还有一些应用的 0 day和 n day等。

2. 2. 可克隆相关系统页面，伪装内部应用下载，以此诱导攻击者运行网站的木马程序进行反制。

3. 3. 互联网端投饵，一般会在Github、Gitee、Coding上投放蜜标（有可能是个单独的网站地址、也有可能是个密码本引诱中招）。

4. 4. 利用JSONP、XSS、CSRF等前端类漏洞获取访问蜜标的攻击者网络身份（网络画像）。

溯源社交平台到验证身份

所有的社交id都是为了得到 攻击者手机号/网络ID 以便于进一步得到攻击者详细信息

例如网络id可以拿到Google、Github、各大src等平台中访问搜索。

百度、微博、qq号都是可以尝试查看发布的公开信息的。

例如百度可以通过 baidu贴吧 --> qq号 --> 手机号 --> 支付宝查询真实姓名

良好的案例：

百度贴吧的回帖中发现红队老哥泄露了自己的联系方式

搜索QQ查看一些基本信息

SG库检索QQ号获取到了手机号

手机号检索到了微信号、脉脉等信息

支付宝转账验证，得到真实姓名

如果是打马中间四位数的手机号，可以去找找在线去空号的接口，或者付费去空号。

得到可用手机号之后，再给安卓手机批量导入剩余非空号的号码，去脉脉、百度贴吧等地方查看攻击者的详细信息，筛选定位出具体的攻击者。

手机号可以通过支付宝转账获得攻击者的真实姓名(可配合银行卡转账信息)，得到完整手机号。

通过在线的各种信息检测接口来得到更多的信息。例如:https://privacy.aiuys.com/

得到进一步的更多信息，坐实攻击者身份

原文始发于微信公众号（安全光圈）：反制取证典范with思路