【蓝队】攻击溯源-反制&思维导图

admin 2024年11月8日16:37:01评论9 views字数 4253阅读14分10秒阅读模式

【蓝队】攻击溯源-反制&思维导图

一、攻击源捕获

  • 1、安全设备

    • 1、WAF类

      • 手工试探类

      • 扫描器探测类

      • 公网傀儡机扫描类

      • Wehshell 上传写入类

      • 命令执行远程下载攻击组件、反弹shell类

    • 2、NTA类设备

      • Web类警告

      • 异常流量类警告

        • 回连

        • 加密流量

        • 隧道

    • 3、EDR类设备

      • 回连类IP、告警

      • 命令执行下载攻击组件类告警

  • 2、钓鱼邮件

    • 发件IP、服务器、钓鱼网站

    • 钓鱼附件

    • 发件账号

    • 其他特征

  • 3、蜜罐

    • 攻击者行为、意图、ID

    • 攻击者IP、设备、次数、链路

    • 其他特征

  • 4、无安全设备

    • 服务器资源异常

      • 异常的文件、账号、进程、端口、启动项、计划任务、服务等

    • 日常与流量分析

      • web应用服务日志异常

      • 系统 网络流量异常

总结:通过攻击者攻击痕迹获取可疑IP&域名、后门、恶意程序、webshell、钓鱼附件等,用于下步溯源反制、获取攻击画像。

二、攻击溯源

1、IP定位

  • https://www.cz88.net/iplab?ipstr=

  • https://wigle.net/

  • https://www.opengps.cn/Data/IP/LocHighAcc.aspx

  • http://www.ipip.net/ip.html

  • https://bgp.he.net/ip/

  • https://www.hao7188.com/

  • https://ip.tool.chinaz.com

  • https://www.ipuu.net/query/ip?search=

  • https://www.whatismyip.com/ip-address-lookup/

  • https://iknowwhatyoudownload.com/en/peer/?ip=

  • https://www.ip2location.com/demo/

  • 经纬度定位:https://lbs.amap.com/tools/picker

2、IP WHOIS

  • https://tool.chinaz.com/ipwhois

  • https://whois.domaintools.com/

  • https://dnschecker.org/

  • https://hackertarget.com/whois-lookup/

  • https://www.hashemian.com/tools/reverse-whois.php

  • http://whoissoft.com/

  • https://ipwhois.cnnic.net.cn/

  • https://www.whatismyip.com/

  • https://wq.apnic.net/static/search.html

3、IP反查域名

  • https://stool.chinaz.com/same

  • https://tools.ipip.net/ipdomain.php

  • https://viewdns.info/reverseip/

  • https://dnslytics.com/reverse-ip

  • https://reverseip.domaintools.com/search/?q=

  • https://site.ip138.com/

  • https://x.threatbook.com/

  • 空间测绘

    • https://fofa.info/

    • https://www.shodan.io/

    • https://www.zoomeye.org/

    • https://www.oshadan.com/

    • https://quake.360.net/quake/#/index

    • https://www.bountyteam.com/

    • https://hunter.qianxin.com/

    • https://0.zone/

    • https://www.dbappsecurity.com.cn/member/login.html

4、IP威胁情报

  • 国内

  • https://x.threatbook.com/

  • https://ti.360.cn/#/homepage

  • https://ti.qianxin.com/

  • https://www.venuseye.com.cn/

  • https://ti.venuseye.com.cn/#/home

  • https://nti.nsfocus.com/

  • https://ti.dbappsecurity.com.cn/

  • https://ti.sangfor.com.cn/analysis-platform

  • https://redqueen.tj-un.com/

  • 国外

  • https://community.riskiq.com/

  • https://exchange.xforce.ibmcloud.com/

  • https://www.virustotal.com/gui/home/upload

  • https://isc.sans.edu/

  • https://www.threatcrowd.org/

  • https://www.threatminer.org/

  • https://www.greynoise.io/

5、IP反查手机号

  • IP 反查域名--> 域名whois

  • https://x.threatbook.com/ -->查询域名 --> 查 whois

  • 腾讯云找回账号

    • https://cloud.tencent.com/account/recover

  • 其他。。。

6、域名 whois 查询

  • http://whois.bugscaner.com/

  • https://whois.chinaz.com/

  • https://www.benmi.com/rwhois?q=

  • https://www.ggcx.com/main/whois

  • https://whois.aliyun.com/whois/domain

7、域名ICP 备案查询

  • http://whois.west.cn/icp/

  • https://www.ggcx.com/main/record

  • https://www.benmi.com/icp/

  • https://icp.chinaz.com/

  • https://www.sojson.com/beian/

  • https://www.beian.gov.cn/portal/recordQuery

8、端口扫描

  • 无端口开发

    • 端口限制策略

    • NAT

  • 网络空间测绘

    • fofa

    • shadon

    • 钟馗之眼

  • 获取域名

    • 根据ssl证书

  • 开放网站

    • 是否有备案号

    • 是否存在历史漏洞-->反制

9、邮件头分析

  • https://www.whatismyip.com/email-header-analyzer/

  • http://tool.chacuo.net/mailverify

10、邮件信息收集

  • 人人网

  • 注册过的网站

    • http://www.skymem.info/

    • https://hunter.io/

    • https://www.email-format.com/i/search/

    • https://www.reg007.com/

    • https://tools.epieos.com/holehe.php

    • https://intelx.io/

  • whois反查

  • 获取手机号

    • https://passport.58.com/forgetpassword?null

    • https://passport.baidu.com/?getpassindex

    • https://passport.taobao.com/ac/password_find.htm?from_site=0

    • https://reg.163.com/naq/findPassword#/verifyAccount

11、手机号信息收集

  • 搜索引擎

    • Googlehack

    • baidu

  • 社工库

    • 常用密码、qq、微博、地址、身份证等

    • https://sgk66.cc/search.html

    • https://www.privacys.club/

  • 手机号查询真实姓名

    • 支付宝转账、微信转账

  • 常用昵称

    • 微信、微博、qq、博客、b站、百度账号等等

  • whois 反查

  • 邮件查询手机号

    • 如上

  • 手机号注册查询

    • http://www.newx007.com/

  • QQ密码找回

    • https://accounts.qq.com/find/password

  • 抖音、快手等

  • 手机查qq:https://privacy.aiuys.com/?ref=@

  • 手机号查注册了什么:https://www.reg007.com/search?q=

12、QQ信息收集

  • Google hacking

  • QQ昵称

  • QQ空间

  • 社工库

  • QQ找回密码--手机号

  • 手机查qq:https://privacy.aiuys.com/?ref=@

13、图片信息获取

  • 提取exif 信息

  • https://www.sojson.com/image/exif.html

  • https://exiftool.org/

14、ID追踪

1、蜜罐等安全设备获取攻击者ID,IP反查域名信息获取攻击者ID,业务功能日志抓到攻击者ID

  • 社工库匹配

  • 白帽子信息库比对

  • 威胁情报匹配

  • 网络ID昵称信息收集

    • 社交账号

    • 知乎

    • 微博

    • facebook

    • 贴吧

    • github

    • gitte

    • 豆瓣

    • 陌陌

    • google hacking

2、ID 类型

  • 手机号

  • qq

  • 邮箱

  • 微博

  • 博客

  • 其他

15、恶意样本分析

  • 逆向分析提取样本特征

    • 用户名、ID、C2服务器、邮箱、终端信息等

  • 威胁情报

    • 反向连接域名/IP等

16、钓鱼邮件反查

  • 沙盒检测

    • 恶意URL、附件MD5、IP等

  • 反查邮件

    • 追踪发送者的IP位置

  • docx 文件

    • 解压查询远程模板地址

    • 可能存在“最后编辑者名称“

  • PDF 信息获取等

  • LNk 文件

    • LNK 文件在新建的时候会带入计算机名称,可能存在个人昵称

  • EXE 文件

    • 存在 PDB 信息,部分开发人员将项目存放在桌面,这会导致编译信息带入开发人员的终端名称(极大可能为个人昵称)

三、攻击者画像

1、攻击行为推演结果

  • 攻击行为

  • 攻击源地址、目的地址

  • 攻击手法

  • 服务器情况

2、攻击者画像

  • 身份信息

    • 姓名

    • 电话

    • 工号

    • 团队

    • 地址

  • 社交账号

    • 微信、qq、支付宝

    • 邮箱

    • 看雪、语雀、freebuf、CSDN、GitHub、gitte、gitbokk 等

  • 公司 所属

    • 公司地址

    • 公司职位

    • 所属团队

四、溯源反制

1、溯源环境构建

【蓝队】攻击溯源-反制&思维导图

2、诱捕蜜罐构建

【蓝队】攻击溯源-反制&思维导图

3、反制专用远控

【蓝队】攻击溯源-反制&思维导图

4、诱捕

【蓝队】攻击溯源-反制&思维导图

5、信息收集

【蓝队】攻击溯源-反制&思维导图

6、反制

【蓝队】攻击溯源-反制&思维导图

7、后反制

【蓝队】攻击溯源-反制&思维导图

蓝队思维导图:https://github.com/Pik-sec/blue-team

攻击溯源反制:https://mmbiz.qpic.cn/mmbiz_png/4LicHRMXdTzB0BmrL4n02HCamUPxmAvK4DWDfWK8CpicEiaibMUY1GAVzzicGW7NYjahCr4wia4IUzhaHjTheYF6WoNg/0?wx_fmt=png

End

【蓝队】攻击溯源-反制&思维导图

原文始发于微信公众号(贝雷帽SEC):【蓝队】攻击溯源-反制&思维导图

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月8日16:37:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【蓝队】攻击溯源-反制&思维导图http://cn-sec.com/archives/1823502.html

发表评论

匿名网友 填写信息