Loading

溯源手册

一、技巧篇

1、溯源任务

溯源任务
攻击时间
攻击IP
预警平台
攻击类型
恶意文件
受攻击域名/IP

其中 攻击IP、攻击类型、恶意文件、攻击详情 是溯源入手的点。

通过攻击类型分析攻击详情的请求包,看有没有攻击者特征,通过获取到的IP地址进行威胁情报查询来判断所用的IP具体是代理IP还是真实IP地址。

  • 如端口扫描大概率为个人vps或空间搜索引擎,在接到大量溯源任务时可优先溯源。
  • 命令执行大概率为未经任何隐匿的网络、移动网络、接到脚本扫描任务的肉鸡,在接到大量溯源任务时可优先溯源。
  • 爬虫大概率为空间搜索引擎,可放到最后溯源
  • 如恶意文件可获得c2地址、未删除的带有敏感信息的代码(如常用ID、组织信息)、持续化控制代码(C2地址指在APT攻击里的命令与控制,若获取到C2地址可以使我们的溯源目标更有针对性)
  • 持续化控制代码需要详细分析,如采用DGA域名上线的方法,分析出域名算法,预测之后的域名可有效减少损失,增加溯源面。

2、溯源结果

在受到攻击、扫描之后,进行一系列溯源操作后,理想情况下想要获得如下数据,来刻画攻击者画像。

溯源结果框架
姓名/ID
攻击IP
地理位置
QQ
微信
邮箱
手机号
支付宝
P地址所属公司
P地址关联域名
其他社交账号信息(如微博/src/id证明)
人物照片
跳板机

在写溯源报告时,应避免单一面石锤,需要反复验证,避免中途溯源错人,各个溯源线索可以串起来,要具有逻辑性。

3、威胁情报平台(无太大作用)

https://x.threatbook.cn/
https://ti.qianxin.com/
https://ti.360.cn/
https://www.venuseye.com.cn/

不要过于依赖威胁情报,仅供参考平台大多为社区维护,存在误报以及时效性问题,可能最后跟真正攻击者毫无关系。

通过威胁情报平台

我们可以获取域名解析记录、历史whois、子域名、SSL证书等如图:

4、已知域名获取信息

4.1、历史whois

https://whois.chinaz.com/reverse?ddlSearchMode=4

可获得

  • ID
  • 姓名
  • 邮箱

4.2、解析记录

通过解析记录可以获得域名A记录从而获取到域名后的IP地址。

A记录 —— 映射域bai名到一个或多个IP

CNAME—— 映射域名到另一个域名(子域名)

域名解析记录:http://www.jsons.cn/nslookup/

全球ping,查看现绑定ip,看是否域名使用了CDN技术。

http://ping.chinaz.com/

https://fofa.so

5、已知IP获取信息

5.1、反查域名

o 威胁情报平台

o https://www.ipip.net/ip.html

o https://www.aizhan.com/

o https://www.whois.com/

5.2、IP信息

o 威胁情报平台

o https://www.ipip.net/

o http://ipwhois.cnnic.net.cn/index.jsp

o 可获得

§ 是否为移动网络、IDC等

§ IP段所属公司

5.3、IP定位

o https://chaipip.com/

o https://www.opengps.cn/Data/IP/ipplus.aspx

6、已知ID/姓名/手机号/邮箱获取信息

手机号/邮箱

sgk

查支付宝转账,验证姓名。

通过部分平台账号找回密码,可猜手机号。

QQ添加好友搜索

微信添加好友搜索

https://www.reg007.com/

社交平台查找(抖音、脉脉搜索等)

ID/姓名

sgk

谷歌/百度

src搜索

微博搜索

贴吧搜索

社交平台查找(抖音、脉脉搜索等)

7、恶意文件

恶意文件通常会从邮件的路径获得,可以将邮件全格式保存,用十六进制编辑器查看,可以获得发送邮件IP地址。

7.1、需要准备的工具

7.1.1、逆向类

Ida

JEB

文件编辑类

010 editor

Winhex

7.1.2、网络、进程监控类

processmonitor

Wireshark

科来网络分析系统

SRsniffer

7.1.3、固件分析类

Binwalk

BIN2BMP

PIXD

7.1.4、在线沙箱

微步云沙箱 https://s.threatbook.cn/

奇安信云沙箱 https://sandbox.ti.qianxin.com/sandbox/page

腾讯哈勃 https://habo.qq.com/

Joe Sandbox:https://www.joesandbox.com/

8、跳板机

一些影响范围广泛、利用简单的漏洞 如:Phpstudy后门、Weblogic漏洞、Struts2漏洞、路由器监控摄像器等终端漏洞。

遇到CS server可通过csbruter工具爆破密码。

常见的日志分析工具:

windows:logparser

linux:主要为一些命令的使用例:split sed cat sort uniq awk等

跳板机的溯源过程,可以主要从端口、进程、定时任务、日志来入手

8.1、Linux

8.1.1、端口查询

使用 netstat 网络连接命令,分析可疑端口、IP、PID

部分系统可使用lsof -i

查看下 pid 所对应的进程文件路径,

运行 ls -l /proc/\(PID/exe 或 file /proc/\)PID/exe($PID 为对应的 pid 号)

8.1.2、进程查询

使用 ps 命令,分析进程

ps aux | grep pid

8.1.3、定时任务

1、利用 crontab 查询创建的定时任务

基本命令

crontab -l 列出某个用户cron服务的详细内容

Tips:默认编写的crontab文件会保存在 (/var/spool/cron/用户名 例如: /var/spool/cron/root

8.1.4、Webshell查找

河马 webshell:http://www.shellpub.com

8.1.5、Windows

8.1.5.1、检查系统账号安全

1、查看服务器是否存在可疑账号、新增账号。

检查方法:打开 cmd 窗口,输入 lusrmgr.msc 命令,查看是否有新增/可疑的账号,如有管理员群组的(Administrators)里的新增账户,如有,请立即禁用或删除掉。

2、查看服务器是否存在隐藏账号、克隆账号。

检查方法:

a、打开注册表 ,查看管理员对应键值。

b、使用D盾_web查杀工具,集成了对克隆账号检测的功能。

3、结合日志,查看管理员登录时间、用户名是否存在异常。

检查方法:

a、Win+R 打开运行,输入"eventvwr.msc",回车运行,打开“事件查看器”。

b、导出 Windows 日志 -- 安全,利用微软官方工具 Log Parser 进行分析。

8.1.5.2、端口查询

1、检查端口连接情况,是否有远程连接、可疑连接。

检查方法:

a、使用netstat -ano 命令查看目前的网络连接,定位可疑的 ESTABLISHED

b、根据 netstat 命令定位出的 PID 编号,再通过 tasklist 命令进行进程定位 tasklist | findstr "PID"

8.1.5.3、进程查询

检查方法:

a、开始 -- 运行 -- 输入 msinfo32 命令,依次点击 "软件环境 -- 正在运行任务" 就可以查看到进程的详细信息,比如进程路径、进程ID、文件创建日期以及启动时间等。

b、打开D盾_web查杀工具,进程查看,关注没有签名信息的进程。

c、通过微软官方提供的 Process Explorer 等工具进行排查 。

d、查看可疑的进程及其子进程。可以通过观察以下内容:

  • 没有签名验证信息的进程
  • 没有描述信息的进程
  • 进程的宿主
  • 进程的路径是否合法
  • CPU 或内存资源占用长时间过高的进程

小技巧:

a、查看端口对应的 PID:netstat -ano | findstr "port"
b、查看进程对应的 PID:任务管理器 -- 查看 -- 选择列 -- PID 或者 tasklist | findstr "PID"
c、查看进程对应的程序位置:
任务管理器 -- 选择对应进程 -- 右键打开文件位置
运行输入 wmic,cmd 界面输入 process
d、tasklist /svc 进程 -- PID -- 服务
e、查看Windows服务所对应的端口:
%systemroot%/system32/drivers/etc/services(一般 %systemroot% 就是 C:\Windows 路径) 
8.1.5.4、检查启动项、计划任务、服务

检查服务器是否有异常的启动项。

检查方法:

a、登录服务器,单击【开始】>【所有程序】>【启动】,默认情况下此目录在是一个空目录,确认是否有非业务程序在该目录下。 b、单击开始菜单 >【运行】,输入 msconfig,查看是否存在命名异常的启动项目,是则取消勾选命名异常的启动项目,并到命令中显示的路径删除文件。 c、单击【开始】>【运行】,输入 regedit,打开注册表,查看开机启动项是否正常,特别注意如下三个注册表项:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
8.1.5.5、Webshell

使用D盾进行全盘扫描,对脚本文件进行人工判断。

二、实战篇

本篇内容主要以"2020HW"行动发生的真实攻击事件为主,目的是用实战案列给大家最直观的感受,部分内容已脱敏。

1.web攻击溯源篇

1、9.13日,18:10:43分蜜罐设备告警,发现攻击者对自定义蜜罐界面进行端口扫描,在研判时发现该攻击者IP地址为总部统一下发的高危预警IP,随立即对其展开攻击溯源工作。

我们获取到IP后,首先对其进行威胁情报收集,推荐使用微步在线威胁情报社区。如图:

图片 1

2、通过ping该域名来获取其使用的真实地址,得到地61.188.254.133

3、通过该地址反查域名得到xxooxxoo.xyz,再查询该域名的whois信息,我们得到了攻击者的初步信息。

4、在实战过程中,往往我们反查IP地址获取到的域名是获取不到有效的利用信息的,此时我们需要更加耐心,查询其历史注册域名,通过不断的IP反查,域名反查来获取更多信息,渗透的本质是信息收集,溯源的本身也是信息收集的一种体现。

5、通过前两步的分析,我们得到了攻击者的手机号与姓名,我们可以通过社交平台及APP来验证攻击者的真实性,也可以通过社工库来获取攻击者的更多信息,社工库源自Telegram

posted @ 2021-03-02 15:45  xine  阅读(1382)  评论(0编辑  收藏  举报