IP 画像对于安全人员来说是一个很普遍且通用的场景。
以一个真实的钓鱼事件为例:得到钓鱼短链接后,整个溯源的流程如下图所示:
在这个过程中,对违法 IP 对应资产进行全面分析,是后续处理动作的关键一环。然而,不同的团队、网络安全人员水平由于知识与经验的差异,对于 IP 资产理解有很大的差异,导致 IP 资产分析的结果及效果有很大的差别。行业需要一个规范通用的 IP 资产画像流程,让画像效果更好。
以下是我们团队对于 IP 资产画像的实践总结,供大家参考。
▌规范
输入输出规范使一个工作得以广泛地分享与交流;正确地使用规范可以有效节省沟通成本、开发成本,也可以保证我们的工作可以有序顺利地进行,从而极大地提高我们的协作效率。
输入规范:输入目标 IP 或者上传包含有 IP 的文件;
也可通过 "Upload Files" 上传包含 IP 的以 .txt/.csv/.excel 为后缀的文件
输出规范:整体压缩包,有输出结果的 JSON 文件、生成的 Excel 表格文件、还有 Web 资产的截图文件;
输出结果规范:以 Excel 表格为例,输出内容包含:IP、IP 地理位置、Web 端口分布(IP C 段端口分布)、注册商、IP 关联域名信息(包含邮箱、注册公司名称、注册时间等信息)、威胁情报信息、网络资产信息(端口、协议、产品信息、CERT、更新时间)、Web 页面信息(端口、title、更新时间、截图);
我们对工作流输出的数据有一套评分标准以保证输出质量。
评估标准:标准输出字段覆盖度、字段数据准确性、情报标签数量、情报标签准确度
▌流程
![最佳实践:如何固化IP画像流程]( "最佳实践:如何固化IP画像流程")
流程执行动画:
以此视频为例,该次执行输入为日本钓鱼事件中的其中一个目标 IP,通过自动化流程输出的结果分析可发现此 IP 为韩国首尔的一台服务器,同时开通了“ XX ”,而且有可能是攻击者资产。
信息收集:查询 IP 的基本信息,以及 DNS 解析记录;
测绘信息查询:通过 FOFA API 查询 IP 的测绘信息(host 聚合信息、Web 资产信息等);
数据整合:对以上收集的数据进行分析、过滤整合,输出更有效的画像信息;
简介:通过输入 IP 进行自动化画像:基于目标 IP,通过威胁情报平台查询获取威胁信息;通过 FOFA 来采集测绘数据;
输入数据:目标 IP,输入可以为 .txt/.json/.csv 为后缀的文件;
1. 按照工作流文档来设置工作流需要的环境变量和 Secret;
2. 输入目标 IP 或者上传包含有 IP 的文件;
4. 执行结束后下载右侧最上方的打包文件,解压后可看到画像结果,包含最终 JSON,Excel 表格,以及 Excel 表格中对应的截图。
2. 对有恶意或者有违法行为的 IP 进行归属定位进行监管;
人工完成完成一个复杂的 IP 画像流程至少需要大半天去分析搜集,而此工作流完成则只需不到一分钟的时间,极大地提高了 IP 画像的效率。
▌End
欢迎各位白帽师傅们加入我们的社区大家庭,一起交流技术、生活趣事、奇闻八卦,结交无数白帽好友。
也欢迎投稿到 FOFA,审核通过后可加 5000-10000 社区积分哦,我们在积分商城准备了好礼,快来加入微信群体验吧~~~
-
微信群:扫描下方二维码,加入 FOFA 社群!获取更多一手信息!
原文始发于微信公众号(FOFA):最佳实践:如何固化IP画像流程
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/1514249.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论