护网中的溯源碎碎念思路

点击上方“蓝字”，发现更多精彩。

0x00 碎碎念

又是我，那个在等待中逐渐失望又燃起希望的菜鸟选手~

今天是正式护网的第三天，简单记录下这几天：

7月25日：第一天简单开了会，开始了正式护网之路。（第一天没什么流量）

7月26日：第二天还是没什么攻击流量。（已经有点闲的蛋疼了）

7月27日：第三天还是没流量，实在无奈从安全设备上随便找了几个探测资产存活的IP，扫了全端口反查了域名顺手审了个cms rce反打了下，溯了姓名、学校、家庭住址、身份证号、单位、联系方式、女朋友等信息（不加分，对方就是扫了个描）。

现在除了手上一堆最近的day，批量了一堆天x信、安x、深x服安全设备以及用友、泛微、通达等等，不过感觉没什么意思。

主要在心态上的变化，变化的比较多。感觉现在单位门口路过条狗多往单位里面看几眼，我都想溯源一波。

溯源攻击队的狗的思路（强调下不是说攻击队的是狗，而是形容护网期间本人的神经紧绷）：

1、先检查狗子是否有正规的狗证，有狗证就排查其背后主人

2、没有狗证需要排查其攻击意向，是不是攻击队的狗派过来蹭wifi搞近源渗透

3、通过门口摄像头排查狗的这几天活动路线，是否有探测行为以及针对性探测行为

4、检查狗子的身体是否藏了某个物联网设备，是否肚子上绑了一块树莓派还带着移动电源

最终结果两个：

（1）狗子是攻击队的

结果如下👇：

（2）狗子不是攻击队的

结果如下（纯粹闲的）👇：

总结下：溯源做多的毛病就是路过我值守单位的狗多看我单位两眼，我就觉得它有问题，它可能是“攻击队”的。

0x01. 溯源的总结

1、既然说到这了，就简单讲讲鄙人溯源的思路

总结下溯源的五种溯源方向吧：

1.1. IP溯源

1.2. 域名溯源

1.3. 邮件溯源

1.4. 木马溯源

1.5. 蜜罐溯源

1.1. IP溯源

• IP威胁情报

寻找IP是否有域名解析，历史域名解析信息。（奇安信白泽yyds）

• IP反查域名

通过IP反查接口，反查IP上的域名信息

• 全端口扫描

通过端口漏洞去进行渗透（自己之前有一个案例就是通过smb的会话枚举，枚举到用户id最终一套溯源溯到目标攻击人员）

1.2. 域名溯源

• 域名威胁情报（历史whois信息、解析的IP信息、历史IP解析信息）

• 域名whois信息（获取到注册人、注册邮箱，这里去看2.3. 邮箱溯源）

• web渗透（通过漏洞、审计0day等思路反打服务器）

1.3. 邮件溯源

• 邮件服务器IP

邮件导出为eml格式，提取发件人IP（获取到IP后，去看1.1. IP溯源思路）

• 邮件附件文档、附件

获取到执行程序、文档（这里去看1.4. 木马溯源）

1.4. 木马溯源

• 木马云沙箱

提取C2域名、及一些木马信息

• 木马反连IP

这里不一定是执行程序，可能是文档，放入虚拟机通过wireshark抓取流量抓取外联IP（获取到IP后，去看1.1. IP溯源思路）。

• 木马逆向

对木马进行逆向，看木马是否包含红队物理路径信息，物理路径是否携带用户名ID

1.5. 蜜罐溯源

• 蜜罐搭建

搭建思路：有条件每个段搭建几个，把真实业务网站1比1复刻做钓鱼页面。

2、不同信息的溯源思路

溯源思路目录：

2.1. ID溯源

2.2. 域名溯源

2.3. 邮箱溯源

2.4. 手机号溯源

2.5. QQ溯源

2.6. 姓名溯源

2.6. 社工库

2.1. ID溯源

• github、csdn、博客园、i春秋、freebuf、t00ls、贴吧、微博、抖音、快手、百度贴吧等

• 朋友圈溯源（多加几个群，总会用得上）

• 好友溯源（一个牛逼的大佬能帮你省掉很多事）

2.2. 域名溯源

• whois反查

• whois隐私保护反查思路（域名历史IP解析）

• 搜索引擎

• （这里滑上去去看1.2. 域名溯源）

2.3. 邮箱溯源

• 邮箱注册域名

• 邮箱前缀可能是ID、手机号、QQ等信息

• 爱企查、天眼查、企查查反查公司

• reg007.com查邮箱注册过的网站，通过各个平台找回密码找信息

2.4. 手机号溯源

• 查脉脉、领英，得到毕业院校、工作经历

• 查微博、知乎、github等社交账号

• 微信、支付宝转账，得到部分真实姓名

2.5. QQ溯源

• 添加好友看QQ名片信息

• QQ邮箱支付宝转账

• 搜索引擎搜索QQ以及QQ邮箱

• QQ邮箱历史注册信息

2.6. 姓名溯源

• 缩小范围溯源效果最佳如：姓名 + ID、姓名 + 邮箱、姓名 + 省份/地点、姓名 + 手机号、姓名 + QQ、姓名 + 微信

• 搜索引擎

2.7. 社工库

• 查询姓名

• 查询手机号

• 查询邮箱

• 查询QQ

0x02. 溯源的核心

一个优秀的蓝队必然也是一个优秀的红队。———— 菜鸟选手

1、鱼儿主动上钩（1）

    专门拿几台windows 10机器放上工具，放上资料，放上信息，搭建渗透环境渗透工具包，正常使用。正常写蓝队每日防守日报，统计资产数据的excel，这类文档捆绑上木马，资产数据放的是一开始1比1伪造的蜜罐资产。不中马就让对方中蜜罐。蓝队每日防守日报诱导性透露信息。

PS：此处把红队木马专门放到机器上运行，等红队上钩。如果木马免杀效果不佳就把杀软关了，或者放一些被免杀了的杀软。

2、鱼儿主动上钩（2）

    真实资产服务器同主动上钩（1），放木马文档、放蜜罐数据、钓出口IP等等。舍不得孩，套不着狼。

PS：真真假假，假假真真。红队又该何去何从？

3、近源蓝打红

    构造钓鱼网站、问卷钓鱼、程序钓鱼。这类钓鱼不需要做木马什么的，任意被杀，我们只需要获取出口IP，上门干红队。

PS：拿着抓来的day干，他山之石可攻玉。

4、信息的利用

    通过只言片语收集出来的攻击者信息：习惯、背景、性格、爱好、家乡、单位、所在地、出生年月日等信息。进行组合社工利用，还是前言说的一个优秀的蓝队必然是一个优秀的红队，拿个0day、1day博取攻击队信任又何尝不可呢？社工库查询的信息不一定有用，但是可以精确我们的判断。

PS：社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。

溯源的本质是信息的组合配合，也是信息组合利用与反打。————菜鸟选手

0x03. 闲谈

下次也许是三天后了，各位看官待着少年郎的故事继续~

我知道你在看哦

原文始发于微信公众号（米瑞尔信息安全）：护网中的溯源碎碎念思路