目录
1. 溯源概念区分
内部溯源:攻击手法
外部溯源:具体溯源到人
2. 哪些点是可以溯源的
网络/web攻击溯源
- 网络/web攻击事件中的恶意攻击ip/ip段
- 攻击中攻击者用于探测漏洞的反连域名
- 攻击报文中带有攻击者特征的字符串
社工钓鱼攻击
- 钓鱼人社工的微信号、qq号
- 钓鱼邮件发件邮件
- 钓鱼邮件发件ip
- 钓鱼邮件/社工中的恶意样本
- 钓鱼邮件中的恶意连接
黑灰产攻击溯源
- 黑灰产组织信息
- 黑灰产攻击线索
- 黑灰产攻击ip
- 黑灰产app
3. 哪些信息是无法溯源的
常见无溯源价值的线索
- IDC IP:提供网络服务的数据中心的IP地址
- 动态IP:小区宽带、网吧等
- 基站IP:手机通过三大运营商获取的IP
- 住宅IP:网络运营商提供给住宅使用的IP
- CDN:提供网络访问加速的服务商,通常一个IP绑定多个不同域名
- 无特征的动态域名、云函数等
- 所有局域网IP
常见有溯源价值的线索
- 云服务器IP
- 具有特征性的个人ID
- 微信、QQ、手机号等社交信息
- 攻击样本、payload
- 有whois信息的域名
4. 大量ip/域名如何快速筛选高价值的
- 端口探测
- 情报标签
5. 高价值ip如何获得更多信息
- 端口探测现有开放服务
- 空间测绘查看历史服务
6. 高价值ip如何获得个人信息
- ip反查域名
- 绑定域名查询whois注册信息(邮箱、姓名)
7. 获得个人信息后如何进一步拓线
昵称/姓名
- 互联网引擎搜索姓名/昵称特征
- 各类社交平台搜索昵称,如抖音、微博等
- 各类网络安全网站搜索昵称,如freeBuf、各类src平台等
- 各类代码平台搜索昵称,如csdn,github等
手机号
- sgk反查绑定账号信息、身份信息
- 检索微信、企业微信
- 支付宝转账获取昵称、姓名
- reg007手机号历史注册网站查询
- 脉脉查询个人履历和所在公司
- 添加本地通讯录,借助抖音、小红书类社交平台朋友推荐获取账号
邮箱
- 支付宝邮箱绑定账号转账,获取昵称、姓名
- qq邮箱获取qq号,查看空间、个人资料
- reg007查询邮箱历史注册网站
- github、csdn等代码平台搜索
- 搜索引擎检索
- 核对邮箱后缀域是否为公司类官方域名
扫一扫
5252
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
