溯源(六)之溯源的方法
溯源(一)之溯源的概念与意义
溯源(二)之 windows-还原攻击路径
溯源(三)之Linux-入侵排查
溯源(四)之流量分析-Wireshark使用
溯源(五)之攻击源的获取
溯源的方法
社交账号
手机号我们可已通过社工库或者是社工机器人去得到,我们可以在社工库中通过对方的支付宝,微信或者是qq号查到对方的手机号,社工库就是一个暴露在互联网上的大量铭感信息泄露平台,比如前一段时间很出名的学习通信息泄露事件,直接导致了我们可以直接查找到很多泄露的铭感信息,在我们溯源的过程中,去使用社工库,也可以同样去获得攻击者的身份信息
攻击者身份的溯源最开始讲究的是一个对攻击者身份的刻画,假如我们的到了攻击者的电话号码,那是不是就可以通过对方手机号码去搜索手机号关联的支付宝,或者是微信账号等等一系列社交app去查看收集进一步攻击者的身份信息,比如姓名,年龄,毕业学校,头像,照片等等
假如对方是虚拟id,我们同样可以根据虚拟id去查找对方的身份,大部分人在互联网上都经常使用同样的id,举个列子,假如我在CSDN的账号叫张三,那我在博客园的账号也很有可能就叫作张三,我们可以通过这个具有标识性的id去搜索攻击者在互联网中留下的痕迹,抖音、百度贴吧、哔哩哔哩、github啊等等你能想到的一切正常人常用的工具都可能收集到攻击者的账号和信息
假如我们在攻击溯源中得到了对方的IP,又通过对方的IP反查到了对方的域名,那我们是不是就可以直接通过whois查询直接得到对方的手机号,注册资产等等大量的注册网站的信息,这些信息很可能包含了对方的手机号,邮箱信息等
威胁情报平台
下面给大家提供一些常用的威胁情报平台
https://www.secpulse.com/archives/173479.html
https://www.virustotal.com/ //VirusTotal
https://x.threatbook.cn/ //微步在线-微步情报社区
https://ti.qianxin.com/ //奇安信威胁情报
https://ti.360.net/ //360威胁情报中心
https://www.venuseye.com.cn/ //启明星辰威胁情报
https://redqueen.tj-un.com //天际友盟REDQUEE安全智能服务平台
我们这里拿微步在线-微步情报社区作为列子
我们这里通过对方的域名可以查到很多关联的信息
还可以直接得到对方的相关的木马文件,我们可以下载这些木马文件去进一步分析,逆向,通过沙箱等等进一步手机信息
IP定位
在我们得到了对方的IP后,如果我们需要获得攻击者更多的信息,我们可以去使用以下这些平台
https://www.chaipip.com/ 高精度IP地址查询-查IP
https://www.opengps.cn/Data/IP/ipplus.aspx 高精度IP定位
https://www.ipip.net/ip.html ip反查
http://ip.yqie.com/ ip地址反向查询
http://qd.yyimg.com/act/index/id/ 百度ID反查
https://www.reg007.com/ 注册网站反查
https://ip.rtbasia.com/ tbasia(IP查询)
https://www.ipplus360.com/ ipplus360(IP查询)
https://tool.lu/ip/ IP地址查询在线工具
假如我们想要知道对方攻击者的地理位置,我们可以通过IP定位去查询
这些网站可以查询的信息有很多,通过下图中可以看到,大家就自己去使用多熟悉熟悉吧,当然我这里所讲的IP定位技术只是最基础的查找,深入点的比如三角定位啊,WiFi定位等等一系列定位技术我这边就不深入讲了,大家自己去多多使用了解吧
恶意样本
我这里给大家提供一些在线云沙箱的地址
我们可以通过向这些平台上传文件来确定这是不是一个恶意文件,同时也可以得到很多的信息,如果这个文件是一个远控的恶意木马,那我们就会得到一个c2地址,c2地址如果是一个反向连接的IP地址,那我们是不是可以对这个c2地址做一个溯源
https://ata.360.cn/detection 360沙箱云
https://s.threatbook.cn/ 微步云沙箱
https://www.virustotal.com/gui/home/upload VirusTotal平台
https://www.maldun.com/submit/submit_file/ 魔盾安全分析平台
https://app.any.run/ Any.Run交互式恶意软件分析平
https://habo.qq.com/ 腾讯哈勃系统
https://mac-cloud.riskivy.com FreeBuf × 漏洞盒子「大圣云沙箱
溯源案列
只给大家干将这些方法当然是没用的,往往你在实际溯源的环境中反查到了对方的IP就断了思路了,就不知道怎么做了,这些技术单个拿出来,好像很简单,但是溯源是一套成体系化的流程,实际过程中会碰到很多难点,培养溯源的思路很重要,所以我这里给大家提供一些溯源的案列来帮助大家学习溯源
HW防守 | 溯源案例之百度ID层层拨茧
2022实战 | 记一次Everything服务引发的蓝队溯源
防守日记|一封钓鱼邮件,竟意外揪出境外著名黑产组织
【真实案例】记一次钓鱼邮件的处置
从溯源中学到新姿势
记一次反制追踪溯本求源
学习溯源这几篇文章一定要看,通过学习他人溯源的一个思路,在实际溯源过程中,才有可能知道什么时候该干什么,通过学习他人的思路去建立起一个自己的溯源思路
应急响应工具集合
https://github.com/ffffffff0x/1earn/blob/master/1earn/Security/BlueTeam/%E5%BA%94%E6%80%A5.md