蓝队溯源反制思路

溯源思路

1.攻击源捕获

安全设备报警，如扫描IP、威胁阻断、病毒木马、入侵事件等 日志与流量分析，异常的通讯流量、攻击源与攻击目标等 服务器资源异常，异常的文件、账号、进程、端口，启动项、计划任务和服务等 邮件钓鱼，获取恶意文件样本、钓鱼网站URL等 蜜罐系统，获取攻击者行为、意图的相关信息

2.溯源反制手段

IP定位技术

根据IP定位物理地址—代理IP
    溯源案例：通过IP端口扫描，反向渗透服务器进行分析，最终定位到攻击者相关信息

ID追踪术

ID追踪术，搜索引擎、社交平台、技术论坛、社工库匹配
    溯源案例：利用ID从技术论坛追溯邮箱，继续通过邮箱反追踪真实姓名，通过姓名找到相关简历信息

网站URL

域名Whois查询—注册人姓名、地址、电话和邮箱。—域名隐私保护
    溯源案例：通过攻击IP历史解析记录/域名，对域名注册信息进行溯源分析

恶意样本

    提取样本特征、用户名、ID、邮箱、C2服务器等信息—同源分析
    溯源案例：样本分析过程中，发现攻击者的个人ID和QQ，成功定位到攻击者。

社交帐号

基于JSONP跨域，获取攻击者的主机信息、浏览器信息、真实 IP及社交信息等
    利用条件：可以找到相关社交网站的jsonp接口泄露敏感信息，相关网站登录未注销

3.攻击者身份画像

攻击者身份画像

    虚拟身份：ID、昵称、网名
    真实身份：姓名、物理位置
    联系方式：手机号、qq/微信、邮箱
    组织情况：单位名称、职位信息

4.案例

各大平台：

百度
百度贴吧
哔哩哔哩
抖音
小红书
咸鱼
大麦
转转
微博
淘宝
京东
CSDN
博客园
等

4.1已知IP信息

反查域名 威胁情报平台： https://www.ipip.net/ip.html https://www.aizhan.com/ https://www.whois.com/

IP 信息 威胁情报平台： https://www.ipip.net/ http://ipwhois.cnnic.net.cn/index.jsp 可获得： 是否为移动网络、IDC 等 IP 段所属公司

IP 定位 https://chaipip.com/ https://www.opengps.cn/Data/IP/ipplus.aspx

4.2已知百度账号昵称、知道部分手机号

去各大平台搜索，会不会存在相同昵称的人

先定位手机号大概在哪个地方，然后将电话号补全(可能会得到很多手机号)

通过百度网盘添加好友来进行验证

填写手机号----搜索----得出百度账号昵称----与已知进行对比

from selenium import webdriver
from selenium.webdriver.common.alert import Alert
from selenium.webdriver.common.by import By
import time
​
# 读取a.txt文件中的数据
with open('./a.txt', 'r', encoding='utf-8') as file:
    data = file.read().splitlines()
​
# 初始化浏览器驱动
driver = webdriver.Chrome()  # 使用Chrome浏览器，确保已下载对应的驱动并配置到系统路径
​
# 打开登录页面，完成登录操作（假设登录过程已经在之前完成）
driver.get('https://pan.baidu.com/disk/main#/im/session')  # 替换为您的登录页面地址
​
# 等待用户按下任意键继续
input("登录完成后，请按下任意键继续...")
#driver.get('https://pan.baidu.com/disk/main#/im/session')  # 替换为您要提交数据的网页地址
​
# 点击操作，弹出窗口
button_text1 = driver.find_element(By.XPATH,"//span[@class='im-list-avatar__content u-avatar u-avatar--medium u-avatar--circle']/img[@src='https://staticsns.cdn.bcebos.com/amis/2022-7/1659099328744/Group%201493.png']")
button_text1.click()
time.sleep(1)
button_text = driver.find_element(By.XPATH,"//button[@class='u-button im-empty-state__btn u-button--primary u-button--medium is-round']")
button_text.click()
time.sleep(2)
​
​
for value in data:
    try:
        # 找到输入元素并输入数据
        input_element = driver.find_element('class name', 'u-input__inner')  # 替换为要输入数据的输入元素的 class 值
        input_element.clear()
        input_element.send_keys(str(value))
        time.sleep(3)
        # 提交表单
        submit_button = driver.find_element('class name', 'imc-search__search-text')  # 替换为提交按钮的 class 值
        submit_button.click()
        time.sleep(3)
​
        # 获取返回内容
        a = str(driver.page_source)
        if'百度账号：' in a:
            time.sleep(2)
            target = '百度账号：'
            index = a.index(target)
            result = a[index:index+15] #从此开始输出其后15个字符
            flag = str(value) + '  ————  ' + result + '\n'
            # 将数据和对应的返回长度记录到文件
            with open('.//response.txt', 'a', encoding='utf-8') as file:
                file.writelines(flag)
        else:
            flag = str(value) + '  ————  ' + "未找到用户" + '\n'
            # 将数据和对应的返回长度记录到文件
            with open('.//response.txt', 'a', encoding='utf-8') as file:
                file.writelines(flag)
​
    except Exception as e:
        print(f"处理数据 {value} 时出错: {str(e)}")
​
# 关闭浏览器
driver.quit()

4.3已知手机号

通过手机号搜索QQ号、微信号、支付宝......

去社工库进行查找，获取信息。