一、攻擊源捕獲
- 1、安全設備
- 1、WAF類
- 手工試探類
- 掃描器探測類
- 公網傀儡機掃描類
- Wehshell 上傳寫入類
- 命令執行遠程下載攻擊組件、反彈shell類
- 2、NTA類設備
- Web類警告
- 異常流量類警告
- 回連
- 加密流量
- 隧道
- 3、EDR類設備
- 回連類IP、告警
- 命令執行下載攻擊組件類告警
- 2、釣魚郵件
- 發件IP、服務器、釣魚網站
- 釣魚附件
- 發件賬號
- 其他特征
- 3、蜜罐
- 攻擊者行為、意圖、ID
- 攻擊者IP、設備、次數、鏈路
- 其他特征
- 4、無安全設備
- 服務器資源異常
- 異常的文件、賬號、進程、端口、啟動項、計劃任務、服務等
- 日常與流量分析
- web應用服務日志異常
- 系統 網絡流量異常
總結:通過攻擊者攻擊痕跡獲取可疑IP&域名、后門、惡意程序、webshell、釣魚附件等,用于下步溯源反制、獲取攻擊畫像。
二、攻擊溯源
1、IP定位
- https://www.cz88.net/iplab?ipstr=
- https://wigle.net/
- https://www.opengps.cn/Data/IP/LocHighAcc.aspx
- http://www.ipip.net/ip.html
- https://bgp.he.net/ip/
- https://www.hao7188.com/
- https://ip.tool.chinaz.com
- https://www.ipuu.net/query/ip?search=
- https://www.whatismyip.com/ip-address-lookup/
- https://iknowwhatyoudownload.com/en/peer/?ip=
- https://www.ip2location.com/demo/
- 經緯度定位:https://lbs.amap.com/tools/picker
2、IP WHOIS
- https://tool.chinaz.com/ipwhois
- https://whois.domaintools.com/
- https://dnschecker.org/
- https://hackertarget.com/whois-lookup/
- https://www.hashemian.com/tools/reverse-whois.php
- http://whoissoft.com/
- https://ipwhois.cnnic.net.cn/
- https://www.whatismyip.com/
- https://wq.apnic.net/static/search.html
3、IP反查域名
- https://stool.chinaz.com/same
- https://tools.ipip.net/ipdomain.php
- https://viewdns.info/reverseip/
- https://dnslytics.com/reverse-ip
- https://reverseip.domaintools.com/search/?q=
- https://site.ip138.com/
- https://x.threatbook.com/
- 空間測繪
- https://fofa.info/
- https://www.shodan.io/
- https://www.zoomeye.org/
- https://www.oshadan.com/
- https://quake.360.net/quake/#/index
- https://www.bountyteam.com/
- https://hunter.qianxin.com/
- https://0.zone/
- https://www.dbappsecurity.com.cn/member/login.html
4、IP威脅情報
- 國內
- https://x.threatbook.com/
- https://ti.#/#/homepage
- https://ti.qianxin.com/
- https://www.venuseye.com.cn/
- https://ti.venuseye.com.cn/#/home
- https://nti.nsfocus.com/
- https://ti.dbappsecurity.com.cn/
- https://ti.sangfor.com.cn/analysis-platform
- https://redqueen.tj-un.com/
- 國外
- https://community.riskiq.com/
- https://exchange.xforce.ibmcloud.com/
- https://www.virustotal.com/gui/home/upload
- https://isc.sans.edu/
- https://www.threatcrowd.org/
- https://www.threatminer.org/
- https://www.greynoise.io/
5、IP反查手機號
- IP 反查域名--> 域名whois
- https://x.threatbook.com/ -->查詢域名 --> 查 whois
- 騰訊云找回賬號
- https://cloud.tencent.com/account/recover
- 其他。。。
6、域名 whois 查詢
- http://whois.bugscaner.com/
- https://whois.chinaz.com/
- https://www.benmi.com/rwhois?q=
- https://www.ggcx.com/main/whois
- https://whois.aliyun.com/whois/domain
7、域名ICP 備案查詢
- http://whois.west.cn/icp/
- https://www.ggcx.com/main/record
- https://www.benmi.com/icp/
- https://icp.chinaz.com/
- https://www.sojson.com/beian/
- https://www.beian.gov.cn/portal/recordQuery
8、端口掃描
- 無端口開發
- 端口限制策略
- NAT
- 網絡空間測繪
- fofa
- shadon
- 鐘馗之眼
- 獲取域名
- 根據ssl證書
- 開放網站
- 是否有備案號
- 是否存在歷史漏洞-->反制
9、郵件頭分析
- https://www.whatismyip.com/email-header-analyzer/
- http://tool.chacuo.net/mailverify
10、郵件信息收集
- 人人網
- 注冊過的網站
- http://www.skymem.info/
- https://hunter.io/
- https://www.email-format.com/i/search/
- https://www.reg007.com/
- https://tools.epieos.com/holehe.php
- https://intelx.io/
- whois反查
- 獲取手機號
- https://passport.58.com/forgetpassword?null
- https://passport.baidu.com/?getpassindex
- https://passport.taobao.com/ac/password_find.htm?from_site=0
- https://reg.163.com/naq/findPassword#/verifyAccount
11、手機號信息收集
- 搜索引擎
- Googlehack
- baidu
- 社工庫
- 常用密碼、qq、微博、地址、身份證等
- https://sgk66.cc/search.html
- https://www.privacys.club/
- 手機號查詢真實姓名
- 支付寶轉賬、微信轉賬
- 常用昵稱
- 微信、微博、qq、博客、b站、百度賬號等等
- whois 反查
- 郵件查詢手機號
- 如上
- 手機號注冊查詢
- http://www.newx007.com/
- QQ密碼找回
- https://accounts.qq.com/find/password
- 抖音、快手等
- 手機查qq:https://privacy.aiuys.com/?ref=@
- 手機號查注冊了什么:https://www.reg007.com/search?q=
12、QQ信息收集
- Google hacking
- QQ昵稱
- QQ空間
- 社工庫
- QQ找回密碼--手機號
- 手機查qq:https://privacy.aiuys.com/?ref=@
13、圖片信息獲取
- 提取exif 信息
- https://www.sojson.com/image/exif.html
- https://exiftool.org/
14、ID追蹤
1、蜜罐等安全設備獲取攻擊者ID,IP反查域名信息獲取攻擊者ID,業務功能日志抓到攻擊者ID
- 社工庫匹配
- 白帽子信息庫比對
- 威脅情報匹配
- 網絡ID昵稱信息收集
- 社交賬號
- 知乎
- 微博
- 貼吧
- github
- gitte
- 豆瓣
- 陌陌
- google hacking
2、ID 類型
- 手機號
- 郵箱
- 微博
- 博客
- 其他
15、惡意樣本分析
- 逆向分析提取樣本特征
- 用戶名、ID、C2服務器、郵箱、終端信息等
- 威脅情報
- 反向連接域名/IP等
16、釣魚郵件反查
- 沙盒檢測
- 惡意URL、附件MD5、IP等
- 反查郵件
- 追蹤發送者的IP位置
- docx 文件
- 解壓查詢遠程模板地址
- 可能存在“最后編輯者名稱“
- PDF 信息獲取等
- LNk 文件
- LNK 文件在新建的時候會帶入計算機名稱,可能存在個人昵稱
- EXE 文件
- 存在 PDB 信息,部分開發人員將項目存放在桌面,這會導致編譯信息帶入開發人員的終端名稱(極大可能為個人昵稱)
三、攻擊者畫像
1、攻擊行為推演結果
- 攻擊行為
- 攻擊源地址、目的地址
- 攻擊手法
- 服務器情況
2、攻擊者畫像
- 身份信息
- 姓名
- 電話
- 工號
- 團隊
- 地址
- 社交賬號
- 微信、qq、支付寶
- 郵箱
- 看雪、語雀、freebuf、CSDN、GitHub、gitte、gitbokk 等
- 公司 所屬
- 公司地址
- 公司職位
- 所屬團隊
四、溯源反制
1、溯源環境構建
2、誘捕蜜罐構建
3、反制專用遠控
4、誘捕
5、信息收集
6、反制
7、后反制
藍隊思維導圖:https://github.com/Pik-sec/blue-team
攻擊溯源反制:https://mmbiz.qpic.cn/mmbiz_png/4LicHRMXdTzB0BmrL4n02HCamUPxmAvK4DWDfWK8CpicEiaibMUY1GAVzzicGW7NYjahCr4wia4IUzhaHjTheYF6WoNg/0?wx_fmt=png
FreeBuf
安全內參
安全內參
D1Net
安全牛
安全圈
安全內參
安全圈
安全內參
RacentYY
RacentYY
