本篇文章主要分享利用捕获的信息进行溯源反制,以及常见的溯源反制思路。
一、蜜罐常见的溯源技术
在伪装的网站上插入精心构造的JS文件,该JS文件会cors漏洞通过攻击者浏览器中缓存的Cookies 去各大社交系统的 Jsonp 接口获取攻击者的 ID 和手机号等社交信息。
二、通过蜜罐获取信息溯源思路
1、通过蜜罐等设备获取真实IP,对IP进行查询,可获取具体位置。
定位IP网站:
https://www.opengps.cn/Data/IP/ipplus.aspx
2、威胁情报平台
针对IP及域名,可通过开源情报+开放端口分析查询。
https://x.threatbook.cn/(主要)
https://ti.qianxin.com/
https://ti.360.cn/
更多威胁情报平台详见:速存!推荐几个好用的威胁情报平台
3、域名反查注册信息
可针对其进行whois反查:
https://whois.chinaz.com/
https://www.benmi.com/rwhois?q=
查询备案信息:
https://beian.miit.gov.cn/
4、端口扫描
通过网络空间搜索引擎查找对应IP,可查看开放服务进行进一步利用。
网络空间搜索引擎:
https://fofa.info/
https://hunter.qianxin.com/
https://www.zoomeye.org/
也可考虑使用masscan快速查看开放端口
masscan -p 1-65535 ip --rate=500
或通过nmap 对开放端口进行识别
nmap -p 3389,3306,6378 -Pn IP
端口对应漏洞详见:科普时间 | 高危端口的暴露与风险(附常见高危端口列表)
5、对获取到的社交信息进行深入挖掘
微信/支付宝溯源:
(1)通过转账方式查找攻击者身份信息
(2)在各大安全群中,查找相关ID信息
(3)直接添加攻击者的微信/支付宝账号
搜索引擎查找ID信息:
(1)百度搜索
(2)必应搜索
(3)谷歌搜索
社交平台查找ID信息:
(1)src信息收集(各大src排行榜)
(2)微信ID收集:微信进行ID搜索
(3)豆瓣/贴吧/知乎/脉脉/钉钉/小红书 你能知道的所有社交平台,进行信息收集
6、通过邮箱或电话号查询
(1)REG007网站:
查询邮箱注册过的网站
https://www.reg007.com/
(2)微博找回密码链接:
https://security.weibo.com/iforgot/loginname?entry=weibo&loginname=
(3)网易找回密码链接:
https://reg.163.com/naq/findPassword#/verifyAccount
(4)淘宝找回密码链接:
https://passport.taobao.com/ac/password_find.htm?spm=a2107.1.0.0.58bb11d9H7OMgN&from_site=0&lang=zh_CN&app_name=tb&tracelog=signin_main_pass
7、社会工程学
(1)社工机器人
(2)直接联系攻击者聊天套话
8、预警设备信息取证
对其发起攻击的行为进行筛查,尝试判断其是否有指纹特征。
如上传webshell :
http://www.xxx.com/upload/puppy.jsp
可针对:文件名、注释内容进行信息收集。
9、跳板机信息收集
进入红队跳板机查询相关信息
如果主机桌面没有敏感信息,可针对下列文件进行信息收集
last#查看登录成功日志cat ~/.bash_history #查看操作指令ps -aux#查看进程cat /etc/passwd #查看是否有可疑用户
三、通过蜜罐常见反制方式
在伪装的网站上显示需要下载某插件,该插件一般为反制木马,控制了攻击者的主机后查询敏感文件、浏览器访问记录等个人敏感信息从而锁定攻击者。
常见反制手段如下:
1、可克隆相关系统页面,伪装 “漏洞” 系统
2、互联网端投饵,一般会在 Github、Gitee、Coding 上投放蜜标(有可能是个单独的网站地址、也有可能是个密码本引诱中招)
3、利用 JSONP、XSS、CSRF 等前端类漏洞获取访问蜜标的攻击者网络身份(网络画像)
4、利用漏洞反控攻击者的跳板机
原文始发于微信公众号(篝火信安):浅谈利用蜜罐捕获的信息进行溯源反制思路
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论