【蓝队】攻击溯源-反制&思维导图
VSole2023-07-14 14:24:24
一、攻击源捕获
- 1、安全设备
- 1、WAF类
- 手工试探类
- 扫描器探测类
- 公网傀儡机扫描类
- Wehshell 上传写入类
- 命令执行远程下载攻击组件、反弹shell类
- 2、NTA类设备
- Web类警告
- 异常流量类警告
- 回连
- 加密流量
- 隧道
- 3、EDR类设备
- 回连类IP、告警
- 命令执行下载攻击组件类告警
- 2、钓鱼邮件
- 发件IP、服务器、钓鱼网站
- 钓鱼附件
- 发件账号
- 其他特征
- 3、蜜罐
- 攻击者行为、意图、ID
- 攻击者IP、设备、次数、链路
- 其他特征
- 4、无安全设备
- 服务器资源异常
- 异常的文件、账号、进程、端口、启动项、计划任务、服务等
- 日常与流量分析
- web应用服务日志异常
- 系统 网络流量异常
总结:通过攻击者攻击痕迹获取可疑IP&域名、后门、恶意程序、webshell、钓鱼附件等,用于下步溯源反制、获取攻击画像。
二、攻击溯源
1、IP定位
- https://www.cz88.net/iplab?ipstr=
- https://wigle.net/
- https://www.opengps.cn/Data/IP/LocHighAcc.aspx
- http://www.ipip.net/ip.html
- https://bgp.he.net/ip/
- https://www.hao7188.com/
- https://ip.tool.chinaz.com
- https://www.ipuu.net/query/ip?search=
- https://www.whatismyip.com/ip-address-lookup/
- https://iknowwhatyoudownload.com/en/peer/?ip=
- https://www.ip2location.com/demo/
- 经纬度定位:https://lbs.amap.com/tools/picker
2、IP WHOIS
- https://tool.chinaz.com/ipwhois
- https://whois.domaintools.com/
- https://dnschecker.org/
- https://hackertarget.com/whois-lookup/
- https://www.hashemian.com/tools/reverse-whois.php
- http://whoissoft.com/
- https://ipwhois.cnnic.net.cn/
- https://www.whatismyip.com/
- https://wq.apnic.net/static/search.html
3、IP反查域名
- https://stool.chinaz.com/same
- https://tools.ipip.net/ipdomain.php
- https://viewdns.info/reverseip/
- https://dnslytics.com/reverse-ip
- https://reverseip.domaintools.com/search/?q=
- https://site.ip138.com/
- https://x.threatbook.com/
- 空间测绘
- https://fofa.info/
- https://www.shodan.io/
- https://www.zoomeye.org/
- https://www.oshadan.com/
- https://quake.360.net/quake/#/index
- https://www.bountyteam.com/
- https://hunter.qianxin.com/
- https://0.zone/
- https://www.dbappsecurity.com.cn/member/login.html
4、IP威胁情报
- 国内
- https://x.threatbook.com/
- https://ti.360.cn/#/homepage
- https://ti.qianxin.com/
- https://www.venuseye.com.cn/
- https://ti.venuseye.com.cn/#/home
- https://nti.nsfocus.com/
- https://ti.dbappsecurity.com.cn/
- https://ti.sangfor.com.cn/analysis-platform
- https://redqueen.tj-un.com/
- 国外
- https://community.riskiq.com/
- https://exchange.xforce.ibmcloud.com/
- https://www.virustotal.com/gui/home/upload
- https://isc.sans.edu/
- https://www.threatcrowd.org/
- https://www.threatminer.org/
- https://www.greynoise.io/
5、IP反查手机号
- IP 反查域名--> 域名whois
- https://x.threatbook.com/ -->查询域名 --> 查 whois
- 腾讯云找回账号
- https://cloud.tencent.com/account/recover
- 其他。。。
6、域名 whois 查询
- http://whois.bugscaner.com/
- https://whois.chinaz.com/
- https://www.benmi.com/rwhois?q=
- https://www.ggcx.com/main/whois
- https://whois.aliyun.com/whois/domain
7、域名ICP 备案查询
- http://whois.west.cn/icp/
- https://www.ggcx.com/main/record
- https://www.benmi.com/icp/
- https://icp.chinaz.com/
- https://www.sojson.com/beian/
- https://www.beian.gov.cn/portal/recordQuery
8、端口扫描
- 无端口开发
- 端口限制策略
- NAT
- 网络空间测绘
- fofa
- shadon
- 钟馗之眼
- 获取域名
- 根据ssl证书
- 开放网站
- 是否有备案号
- 是否存在历史漏洞-->反制
9、邮件头分析
- https://www.whatismyip.com/email-header-analyzer/
- http://tool.chacuo.net/mailverify
10、邮件信息收集
- 人人网
- 注册过的网站
- http://www.skymem.info/
- https://hunter.io/
- https://www.email-format.com/i/search/
- https://www.reg007.com/
- https://tools.epieos.com/holehe.php
- https://intelx.io/
- whois反查
- 获取手机号
- https://passport.58.com/forgetpassword?null
- https://passport.baidu.com/?getpassindex
- https://passport.taobao.com/ac/password_find.htm?from_site=0
- https://reg.163.com/naq/findPassword#/verifyAccount
11、手机号信息收集
- 搜索引擎
- Googlehack
- baidu
- 社工库
- 常用密码、qq、微博、地址、身份证等
- https://sgk66.cc/search.html
- https://www.privacys.club/
- 手机号查询真实姓名
- 支付宝转账、微信转账
- 常用昵称
- 微信、微博、qq、博客、b站、百度账号等等
- whois 反查
- 邮件查询手机号
- 如上
- 手机号注册查询
- http://www.newx007.com/
- QQ密码找回
- https://accounts.qq.com/find/password
- 抖音、快手等
- 手机查qq:https://privacy.aiuys.com/?ref=@
- 手机号查注册了什么:https://www.reg007.com/search?q=
12、QQ信息收集
- Google hacking
- QQ昵称
- QQ空间
- 社工库
- QQ找回密码--手机号
- 手机查qq:https://privacy.aiuys.com/?ref=@
13、图片信息获取
- 提取exif 信息
- https://www.sojson.com/image/exif.html
- https://exiftool.org/
14、ID追踪
1、蜜罐等安全设备获取攻击者ID,IP反查域名信息获取攻击者ID,业务功能日志抓到攻击者ID
- 社工库匹配
- 白帽子信息库比对
- 威胁情报匹配
- 网络ID昵称信息收集
- 社交账号
- 知乎
- 微博
- 贴吧
- github
- gitte
- 豆瓣
- 陌陌
- google hacking
2、ID 类型
- 手机号
- 邮箱
- 微博
- 博客
- 其他
15、恶意样本分析
- 逆向分析提取样本特征
- 用户名、ID、C2服务器、邮箱、终端信息等
- 威胁情报
- 反向连接域名/IP等
16、钓鱼邮件反查
- 沙盒检测
- 恶意URL、附件MD5、IP等
- 反查邮件
- 追踪发送者的IP位置
- docx 文件
- 解压查询远程模板地址
- 可能存在“最后编辑者名称“
- PDF 信息获取等
- LNk 文件
- LNK 文件在新建的时候会带入计算机名称,可能存在个人昵称
- EXE 文件
- 存在 PDB 信息,部分开发人员将项目存放在桌面,这会导致编译信息带入开发人员的终端名称(极大可能为个人昵称)
三、攻击者画像
1、攻击行为推演结果
- 攻击行为
- 攻击源地址、目的地址
- 攻击手法
- 服务器情况
2、攻击者画像
- 身份信息
- 姓名
- 电话
- 工号
- 团队
- 地址
- 社交账号
- 微信、qq、支付宝
- 邮箱
- 看雪、语雀、freebuf、CSDN、GitHub、gitte、gitbokk 等
- 公司 所属
- 公司地址
- 公司职位
- 所属团队
四、溯源反制
1、溯源环境构建
2、诱捕蜜罐构建
3、反制专用远控
4、诱捕
5、信息收集
6、反制
7、后反制
蓝队思维导图:https://github.com/Pik-sec/blue-team
攻击溯源反制:https://mmbiz.qpic.cn/mmbiz_png/4LicHRMXdTzB0BmrL4n02HCamUPxmAvK4DWDfWK8CpicEiaibMUY1GAVzzicGW7NYjahCr4wia4IUzhaHjTheYF6WoNg/0?wx_fmt=png
VSole
网络安全专家