溯源思路总结
2022-8-29 10:22:3 Author: 哆啦安全(查看原文) 阅读量:51 收藏

0x01. 溯源的总结

1.溯源的思路

总结下溯源的五种溯源方向吧:

1.1. IP溯源

1.2. 域名溯源

1.3. 邮件溯源

1.4. 木马溯源

1.5. 蜜罐溯源

1.1. IP溯源

  • IP威胁情报

寻找IP是否有域名解析,历史域名解析信息。(奇安信白泽yyds)

  • IP反查域名

通过IP反查接口,反查IP上的域名信息

  • 全端口扫描

通过端口漏洞去进行渗透(自己之前有一个案例就是通过smb的会话枚举,枚举到用户id最终一套溯源溯到目标攻击人员)

1.2. 域名溯源

  • 域名威胁情报(历史whois信息、解析的IP信息、历史IP解析信息)

  • 域名whois信息(获取到注册人、注册邮箱,这里去看2.3. 邮箱溯源)

  • web渗透(通过漏洞、审计0day等思路反打服务器)

1.3. 邮件溯源

  • 邮件服务器IP

邮件导出为eml格式,提取发件人IP(获取到IP后,去看1.1. IP溯源思路)

  • 邮件附件文档、附件

获取到执行程序、文档(这里去看1.4. 木马溯源)

1.4. 木马溯源

  • 木马云沙箱

提取C2域名、及一些木马信息

  • 木马反连IP

这里不一定是执行程序,可能是文档,放入虚拟机通过wireshark抓取流量抓取外联IP(获取到IP后,去看1.1. IP溯源思路)。

  • 木马逆向

对木马进行逆向,看木马是否包含红队物理路径信息,物理路径是否携带用户名ID

1.5. 蜜罐溯源

  • 蜜罐搭建

搭建思路:有条件每个段搭建几个,把真实业务网站1比1复刻做钓鱼页面。

2.不同信息的溯源思路

溯源思路目录:

2.1. ID溯源

2.2. 域名溯源

2.3. 邮箱溯源

2.4. 手机号溯源

2.5. QQ溯源

2.6. 姓名溯源

2.6. 社工库

2.1. ID溯源

  • github、csdn、博客园、i春秋、freebuf、t00ls、贴吧、微博、抖音、快手、百度贴吧等

  • 朋友圈溯源(多加几个群,总会用得上)

  • 好友溯源(一个牛逼的大佬能帮你省掉很多事)

2.2. 域名溯源

  • whois反查

  • whois隐私保护反查思路(域名历史IP解析)

  • 搜索引擎

  • (这里滑上去去看1.2. 域名溯源)

2.3. 邮箱溯源

  • 邮箱注册域名

  • 邮箱前缀可能是ID、手机号、QQ等信息

  • 爱企查、天眼查、企查查反查公司

  • reg007.com查邮箱注册过的网站,通过各个平台找回密码找信息

2.4. 手机号溯源

  • 查脉脉、领英,得到毕业院校、工作经历

  • 查微博、知乎、github等社交账号

  • 微信、支付宝转账,得到部分真实姓名

2.5. QQ溯源

  • 添加好友看QQ名片信息

  • QQ邮箱支付宝转账

  • 搜索引擎搜索QQ以及QQ邮箱

  • QQ邮箱历史注册信息

2.6. 姓名溯源

  • 缩小范围溯源效果最佳如:姓名 + ID、姓名 + 邮箱、姓名 + 省份/地点、姓名 + 手机号、姓名 + QQ、姓名 + 微信

  • 搜索引擎

2.7. 社工库

  • 查询姓名

  • 查询手机号

  • 查询邮箱

  • 查询QQ

0x02. 溯源的核心

一个优秀的蓝队必然也是一个优秀的红队。———— 菜鸟选手

1.鱼儿主动上钩(1)

    专门拿几台windows 10机器放上工具,放上资料,放上信息,搭建渗透环境渗透工具包,正常使用。正常写蓝队每日防守日报,统计资产数据的excel,这类文档捆绑上木马,资产数据放的是一开始1比1伪造的蜜罐资产。不中马就让对方中蜜罐。蓝队每日防守日报诱导性透露信息。

PS:此处把红队木马专门放到机器上运行,等红队上钩。如果木马免杀效果不佳就把杀软关了,或者放一些被免杀了的杀软。

2.鱼儿主动上钩(2)

    真实资产服务器同主动上钩(1),放木马文档、放蜜罐数据、钓出口IP等等。舍不得孩,套不着狼。

PS:真真假假,假假真真。红队又该何去何从?

3.近源蓝打红

    构造钓鱼网站、问卷钓鱼、程序钓鱼。这类钓鱼不需要做木马什么的,任意被杀,我们只需要获取出口IP,上门干红队。

PS:拿着抓来的day干,他山之石可攻玉。

4.信息的利用

    通过只言片语收集出来的攻击者信息:习惯、背景、性格、爱好、家乡、单位、所在地、出生年月日等信息。进行组合社工利用,还是前言说的一个优秀的蓝队必然是一个优秀的红队,拿个0day、1day博取攻击队信任又何尝不可呢?社工库查询的信息不一定有用,但是可以精确我们的判断。

PS:社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。

溯源的本质是信息的组合配合,也是信息组合利用与反打。————菜鸟选手

攻击者溯源反制

https://github.com/SuperDolby/hw-

kali渗透测试环境搭建

Web安全|docker环境搭建(2)

Web安全攻防实战零基础速成培训班

干货|多种SQL注入方式原理介绍(SQL注入基础)

零基础学编程/零基础学安全/零基础学逆向实战速成培训班

推荐阅读

浅谈溯源分析基础

追踪溯源、深挖和定性

Linux常用应急溯源命令

一次黑灰产工具网站溯源

攻防对抗-溯源社工小技巧

Linux下应急溯源常用命令

游戏黑灰产识别和溯源取证

HW蓝队必备超详细溯源技术

溯源取证|微信数据库解密教程

Android APP防作弊SDK解决方案


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg2NzUzNzk1Mw==&mid=2247493937&idx=1&sn=78802ebf0a64ea74a49c20da3e28d3d1&chksm=ceb8ac7ff9cf25690c15cc93ab3fbbbc54ff06f66589d6f8dc986e18ffcb6f8b0713bb33d612#rd
如有侵权请联系:admin#unsafe.sh