网络空间资产测绘技术在新型网络犯罪中的应用

点击上方蓝字“小谢取证”一起玩耍

什么是新型网络犯罪？

“新型网络犯罪”是指随着信息时代的到来，在信息技术的不断发展和广泛应用而出现的具有新特点、新手段和新形式的犯罪活动。

这类犯罪通常利用互联网、移动通讯、大数据、人工智能等新兴技术，实施欺诈、侵犯隐私、传播有害信息、网络攻击等违法犯罪行为。例如，网络诈骗犯罪，通过社交网络、虚假网站等渠道骗取他人财物；网络传销犯罪，借助互联网平台进行非法的传销活动；网络赌博犯罪，利用在线平台组织赌博活动；网络侵犯知识产权犯罪，非法传播、销售未经授权的数字内容等。

什么是网络空间资产测绘？

网络空间资产测绘（也称为网络空间测绘或网络资产发现）是一种网络安全实践，它涉及到识别、分类和映射组织内或互联网上的所有网络资产。这些资产可能包括服务器、工作站、路由器、交换机、防火墙、应用程序、数据库、IoT设备等。进行网络空间资产测绘通常使用自动化工具和技术，如网络扫描器、端口扫描器、漏洞扫描器和被动DNS服务等。这些工具可以快速识别网络中的资产，并收集有关这些资产的关键信息，如操作系统、开放端口、运行的服务和应用程序版本等。

那么，利用网络空间资产测绘的特性，其优势可以在打击新型网络犯罪活动中得以发挥出他的优势。那么网络空间资产测绘技术在打击新型网络犯罪的活动中有哪些应用场景？

1.**目标识别**：犯罪分子使用资产测绘技术来发现组织内或互联网上的网络资产，识别可能的攻击目标。

2.**漏洞发现**：通过资产测绘，犯罪分子可以识别出存在安全漏洞的系统或应用程序，这些漏洞可能被用来进行进一步的攻击。

3.**信息收集**：犯罪分子可以收集有关目标网络的详细信息，如IP地址、操作系统版本、开放端口、使用的服务和应用程序等，为攻击做准备。

4.**社会工程学**：在进行网络攻击之前，犯罪分子可能会利用资产测绘收集的信息来进行社会工程学攻击，如钓鱼邮件、假冒网站等。    

5.**横向移动**：在成功入侵一个系统后，犯罪分子可能会使用资产测绘技术来识别同一网络中的其他系统，以便进行横向移动和进一步的攻击。

6.**持久性控制**：犯罪分子可能会在网络中部署后门或恶意软件，以实现对网络资产的持久性控制。

7.**数据泄露**：在识别出存储敏感数据的系统后，犯罪分子可能会尝试窃取这些数据，用于出售、勒索或其他非法目的。

8.**拒绝服务攻击**：犯罪分子可能会使用资产测绘技术来识别关键的网络基础设施，如DNS服务器或负载均衡器，然后发起拒绝服务攻击。为了防范这些新型网络犯罪，组织需要采取相应的安全措施，如定期进行网络空间资产测绘，及时发现和修复安全漏洞，加强访问控制，实施入侵检测和防御系统，以及提高员工的安全意识等。同时，执法机构也可以利用网络空间资产测绘技术来追踪和打击网络犯罪活动。

说白了，网络空间资产测绘就是利用现有公开的数据进行获取与收集。

既然网络空间资产测绘在打击新型网络犯罪活动中起到重要作用，那网络空间资产测绘具体的操作方法是什么呢？下面我们来说说网络空间资产收集的三种方法。

法一：企业信息收集

1.社交媒体监控，通过监控企业的社交媒体账号，如微信公众号、抖音视频号、Twitter、Facebook、LinkedIn等平台，也可通过访问公司官方网站、阅读新闻报道、行业杂志和在线文章，可以获取企业的最新动态、产品发布、合作伙伴关系和市场表现。

2.投资关系：如上市公司，通过年报、半年报、季度报查看企业的投资者关系页面，获取财务报告、年度报告。或是通过企查查、天眼查，查询企业信息。

3.开源数据查询：AIGC、搜索引擎搜索、Whois信息查询。

4.查询企业信息也可以通过在线资源网站进行查询。

1.**国家企业信用信息公示系统**：在中国，这是查询企业注册信息、信用记录等官方信息的主要平台。

2.**天眼查**：提供企业信息查询服务，包括企业基本信息、股东信息、对外投资、主要成员等。

3.**企查查**：类似于天眼查，提供企业工商信息、司法信息、知识产权等查询服务。

4.**启信宝**：提供企业信用报告、企业图谱、企业监控等信息查询服务。

5.**Dun & Bradstreet**：全球领先的商业信息提供商，提供企业信用报告和商业风险评估。

6.**Hoovers**：提供企业概况、财务数据、行业分析等信息。

7.**Bloomberg**：提供全球企业的财务信息、新闻和分析。

8.**EDGAR**：美国证券交易委员会的电子数据收集、分析和检索系统，提供公开上市公司的财务报告和文件。

9.**Crunchbase**：专注于科技行业的企业信息，包括创业公司的融资信息、投资者信息等。

10.**LinkedIn**：通过企业的LinkedIn页面，可以了解企业的业务、团队成员和职业机会。

11.**Glassdoor**：提供员工对企业的评价、薪资报告和招聘信息。

12.**Google Finance**：提供上市公司的财务摘要、股票价格和市场数据。

13.**Yahoo Finance**：类似于Google Finance，提供财务信息和股票市场数据。

14.**SEC Info**：提供美国证券交易委员会的文件搜索服务，包括招股说明书、年报等。

15.**Orbis**：提供全球企业的财务信息和市场研究。使用这些网站时，请注意它们可能需要注册账户或订阅服务才能访问全部功能。此外，确保在使用这些资源时遵守相关的隐私政策和法律法规。

常用查询企业网站：

https://www.qcc.com/

   

https://www.tianyancha.com/

https://opencorporates.com/

......

法二：域名信息查询

1.Whois查询：使用Whois服务来查询域名的注册信息，包括注册者、注册日期、到期日期和DNS服务器等。常用网站：

ICANN Lookup：https://lookup.icann.org/zh/lookup

who.is：https://who.is/

微步：https://x.threatbook.cn/

阿里云域名信息查询：https://whois.aliyun.com

爱站：https://whois.aizhan.com/

站长之家：http://whois.chinaz.com/

2.DNS解析：通过DNS查询来获取域名解析的IP地址，以及其他相关的DNS记录。

常用网站：

https://dnschecker.org/、

https://mxtoolbox.com/

https://www.whatsmydns.net/

https://www.ultratools.com/tools/dns-configuration

https://www.virustotal.com/

https://securitytrails.com/

  https://passivedns.scienceinc.com/

3.域名注册信息：查看域名的注册信息，了解域名所有者、注册商和注册状态。

4.SSL/TLS证书信息：检查域名使用的SSL/TLS证书，收集子域名，获取证书颁发机构、有效期和证书所有者等信息。

5.搜索引擎：利用搜索引擎查找与特定域名相关的信息，例如使用Google Hacking 语法对网站内容、提及该域名的文章进行查看。

（1）常用语法:

site:xxxx 指定域名，将只返回在此域名(关键字)下的内容

inurl:xxxx 返回 url 中存在此关键字的内容

intitle:xxxx 返回网页标签中存在此关键字的内容

intext:xxxx 返回网页正文中存在此关键字的内容

filetype:doc 返回指定文件格式的内容    

cache:www.aaa.com 返回指定网站的快照信息

related:www.aaa.cn 返回和指定网站类似的网页

（2）特殊字符：

""：双引号，表示完全匹配搜索

-：减号，返回不包含此关键字的内容

*：星号，通配符

6.安全工具：使用安全工具扫描域名，检测潜在的安全漏洞或恶意软件。

法三：其他资产收集方式

1.微信公众号/程序信息

2.利用搜索网盘搜索引擎，如找网站源码。下载之，找网站源码漏洞及网站后台地址与网站后台加密方式等。

3.网络空间测绘搜索引擎。常用网络空间测绘搜索引擎地址：

1)https://fofa.info

2)https://search.censys.io

3)https://www.shodan.io

4)https://quake.360.net/quake/#/index

5)https://x.threatbook.com

4.网络扫描：使用网络扫描工具（如Nmap）来发现网络上的设备、服务及其端口。

5.安全漏洞数据库：查询已知的安全漏洞和漏洞数据库，如CVE、Exploit Database。

6.开源情报（OSINT）工具：使用开源情报工具来收集公开可用的信息。

7.法律和监管文件：查阅与资产相关的法律文件、注册信息和监管记录

8.人工情报（HUMINT）：通过与资产相关的人员交流来收集信息。

9.社交媒体和论坛：在社交媒体和论坛上搜索，了解公众对特定资产的讨论和反馈。

10.搜索引擎：使用搜索引擎（如Google、Bing）来搜索与特定资产相关的信息。

11.通过旁站收集

12.通过C段收集：确定了目标的真实IP后，可以对其 C 段进行探测，在C 段的主机中有可能会有目标相关的资产及服务。常用工具：

(1)在线C段查询工具

(2)K8 scan

(3)routescan

13.通过 icon_hash 收集:打开网页时,网页标签上一般都会有一个小图标。我们可以通过这个特征，利用资产搜索引擎查找其他使用这个图标的网站。常用工具：

(1)fofa:icon_hash="xxxx"

(2)shodan:http.favicon.hash:xxxx

14.通过网页特征收集：一般来说，同一集团或公司的网站都会拥有相同点。可以通过这些网页特征,利用资产搜索引擎查找其他具有这个特征的网站。一般用来当做特征的有：

(1)powered by 信息

(2)copyright 信息

(3)首页 js 代码

(4)fofa:body="xxxx"

有了上面的理论知识后，接下来咱们进入实操环节。

案例1：利用企查查网站查询公司信息

在企查查直接搜索公司名称

点击需要查询的公司，以比亚迪汽车有限公司为例，首先可以看到其地址，官网。

点击“比亚迪汽车有限公司”，再点击“股权穿透”，通过股权穿透图可查询目标企业的子公司，孙公司。  

点击知识产权，可以查看到微信公众号及抖音快手账号。

案例2：使用Google Hacking 语法对目标网站进行搜索：搜索结果的标题含有“国投”

案例3：利用fofa资产搜索引擎收集baidu.com的证书信息：

案例4：利用fofa资产搜索引擎收集含有“国家开发投资集团有限公司，国投集团，国投...”关键词特征的网站：

   

案例5：提取“https://www.freebuf.com/”网站的icon_hash。使用fofa资产搜索引擎对其进行搜索。

提取icon哈希值：   

使用fofa语句进行搜索

以上的小案例是网络空间资产测绘中信息收集的具体应用场景，希望对大家能够有一个抛砖引玉的效果，更多具体的操作，如fofa查询语句的具体应用，shodan常用的命令，主动扫描技术的应用等，敬请期待后期内容。

 

敬请各位大佬关注：小谢取证

点赞、好看的你最好看

↓↓↓

原文始发于微信公众号（数据取证杂谈）：网络空间资产测绘技术在新型网络犯罪中的应用