蓝队溯源反制思路
1.攻击源捕获
安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等 日志与流量分析,异常的通讯流量、攻击源与攻击目标等 服务器资源异常,异常的文件、账号、进程、端口,启动项、计划任务和服务等 邮件钓鱼,获取恶意文件样本、钓鱼网站URL等 蜜罐系统,获取攻击者行为、意图的相关信息
2.溯源反制手段
IP定位技术
根据IP定位物理地址—代理IP
溯源案例:通过IP端口扫描,反向渗透服务器进行分析,最终定位到攻击者相关信息
ID追踪术
ID追踪术,搜索引擎、社交平台、技术论坛、社工库匹配
溯源案例:利用ID从技术论坛追溯邮箱,继续通过邮箱反追踪真实姓名,通过姓名找到相关简历信息
网站URL
域名Whois查询—注册人姓名、地址、电话和邮箱。—域名隐私保护
溯源案例:通过攻击IP历史解析记录/域名,对域名注册信息进行溯源分析
恶意样本
提取样本特征、用户名、ID、邮箱、C2服务器等信息—同源分析 溯源案例:样本分析过程中,发现攻击者的个人ID和QQ,成功定位到攻击者。
社交帐号
基于JSONP跨域,获取攻击者的主机信息、浏览器信息、真实 IP及社交信息等
利用条件:可以找到相关社交网站的jsonp接口泄露敏感信息,相关网站登录未注销
3.攻击者身份画像
攻击者身份画像
虚拟身份:ID、昵称、网名 真实身份:姓名、物理位置 联系方式:手机号、qq/微信、邮箱 组织情况:单位名称、职位信息
4.案例
各大平台:
百度
百度贴吧
哔哩哔哩
抖音
小红书
咸鱼
大麦
转转
微博
淘宝
京东
CSDN
博客园
等
4.1已知IP信息
IP 信息 威胁情报平台: https://www.ipip.net/ http://ipwhois.cnnic.net.cn/index.jsp 可获得: 是否为移动网络、IDC 等 IP 段所属公司
IP 定位 https://chaipip.com/ https://www.opengps.cn/Data/IP/ipplus.aspx
4.2已知百度账号昵称、知道部分手机号
去各大平台搜索,会不会存在相同昵称的人
先定位手机号大概在哪个地方,然后将电话号补全(可能会得到很多手机号)
通过百度网盘添加好友来进行验证
填写手机号----搜索----得出百度账号昵称----与已知进行对比
from selenium import webdriver from selenium.webdriver.common.alert import Alert from selenium.webdriver.common.by import By import time # 读取a.txt文件中的数据 with open('./a.txt', 'r', encoding='utf-8') as file: data = file.read().splitlines() # 初始化浏览器驱动 driver = webdriver.Chrome() # 使用Chrome浏览器,确保已下载对应的驱动并配置到系统路径 # 打开登录页面,完成登录操作(假设登录过程已经在之前完成) driver.get('https://pan.baidu.com/disk/main#/im/session') # 替换为您的登录页面地址 # 等待用户按下任意键继续 input("登录完成后,请按下任意键继续...") #driver.get('https://pan.baidu.com/disk/main#/im/session') # 替换为您要提交数据的网页地址 # 点击操作,弹出窗口 button_text1 = driver.find_element(By.XPATH,"//span[@class='im-list-avatar__content u-avatar u-avatar--medium u-avatar--circle']/img[@src='https://staticsns.cdn.bcebos.com/amis/2022-7/1659099328744/Group%201493.png']") button_text1.click() time.sleep(1) button_text = driver.find_element(By.XPATH,"//button[@class='u-button im-empty-state__btn u-button--primary u-button--medium is-round']") button_text.click() time.sleep(2) for value in data: try: # 找到输入元素并输入数据 input_element = driver.find_element('class name', 'u-input__inner') # 替换为要输入数据的输入元素的 class 值 input_element.clear() input_element.send_keys(str(value)) time.sleep(3) # 提交表单 submit_button = driver.find_element('class name', 'imc-search__search-text') # 替换为提交按钮的 class 值 submit_button.click() time.sleep(3) # 获取返回内容 a = str(driver.page_source) if'百度账号:' in a: time.sleep(2) target = '百度账号:' index = a.index(target) result = a[index:index+15] #从此开始输出其后15个字符 flag = str(value) + ' ———— ' + result + '\n' # 将数据和对应的返回长度记录到文件 with open('.//response.txt', 'a', encoding='utf-8') as file: file.writelines(flag) else: flag = str(value) + ' ———— ' + "未找到用户" + '\n' # 将数据和对应的返回长度记录到文件 with open('.//response.txt', 'a', encoding='utf-8') as file: file.writelines(flag) except Exception as e: print(f"处理数据 {value} 时出错: {str(e)}") # 关闭浏览器 driver.quit()
4.3已知手机号
通过手机号搜索QQ号、微信号、支付宝......