一.引言
企业内部署的安全设备能够捕获大量威胁信息,特别是在部署了蜜网的情况之下,可以捕获到与攻击者所使用网络id以及对应的攻击IP。在此场景下对捕获的网络id和攻击IP进行追溯,一方面能够更好地丰富攻击者画像,另一个方面能够将白帽子和真实攻击者有效区分。
二.溯源思路及自动化实现
蜜罐捕获的攻击者网络id包含了baidu、csdn、weibo等。获取此类id后,我们第一时间通常会使用搜索引擎来搜索网络上是否有相关信息,再看网络id是否有存在泄露的真实信息,如手机号、qq号等,再者就能对应上攻击者的真实身份。接下来将通过实例来阐述溯源思路。
2.1溯源思路一
假设当前获取了一个攻击者的baiduid,先通过百度旗下产品百度贴吧对攻击者的历史记录进行查看,查看他的日常网络活动是否泄露了自己的社交账号,如手机号、qq号等。通过访问https://tieba.baidu.com/home/main?un=baiduid,填入baiduid可以直达用户的百度贴吧页面,但是因为一些限制原因会出现下述的情况
1.用户被屏蔽
2.帖子被隐藏
在此情况下,需要使用一些贴吧工具如82cat、zzzztop.com,这些贴吧工具相当于历史贴吧发言记录,虽然可能存在一定限制,但大部分情况下都能搜索到相关发言记录。下面通过实例进行说明:
我们捕获到一个攻击者的baiduid为“№xxxxx”,在贴吧被屏蔽的情况之下,通过贴吧工具找到其发言记录如下图:
其在发言记录中泄露了自己的QQ号“28xxxxxxx”, 那么有一定概率可以直接通过qq反查到对应手机号,如下图:
2.1.1自动化溯源
输出手机号之后再结合一些SGK就能够快速识别出攻击者的真实身份。溯源的可实现具体路径以及整体的思路如下图所示:
将上述思路的关键节点再进一步细化做成自动化溯源脚本,可以快速提升溯源效率。实现效果如下:
2.2溯源思路二
当攻击者并没有使用贴吧,可以从其攻击IP入手,通过VT来关联其使用的文件。例如捕获到攻击者baiduid为“木xxxxx”,攻击IP为“115.236.xxx.xxx”,通过VT查找并下载到对应的样本分析,样本为一个zip包,如下:
分析zip包中的文件,发现该文件是一个微信传输文件,其中包含了攻击者的通讯路径
“C:UsersqDocumentsWeChat Fileswxid_hpxxxxxxxxx22configAccInfo.dat”
通讯路径包含了wxid,所以我们只需要去SGK匹配是否有该wxid或者使用wxid还原工具就能提取到攻击者的微信号。
2.2.1半自动化溯源
根据IP相关联的文件分析需要结合人工分析,所以基本实现就只能半自动,半自动化流程大致如下图:
前段功能自动化只需要调用VT的API功能,即可获取到与IP相关联文件的hash值,实现效果如下图所示:
下载文件的话可以通过VT、微步沙箱以及其他开源渠道下载到对应样本。
三.总结
网络ID溯源追踪旨在确认特定网络ID的真实身份、位置和活动轨迹,以解决网络安全问题、打击网络犯罪、维护网络秩序等。上述的两个溯源思路只是抛砖引玉,在实际的溯源分析中还需要更多的信息来辅助分析,例如社交平台撞库、C2反制等手段;但在进行网络ID溯源追踪时,需要遵循相关法律法规,尊重个人隐私权,确保合法合规,并采取必要的隐私保护措施,防止滥用个人信息。
原文始发于微信公众号(企业安全实践):自动化溯源思考实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论