溯源的基本技巧与方法
1.溯源目的
1.1 你想要溯源,需要明确的目标(人或者组织)
1.2 当前工具和方法的溯源(社工库、对应的社交账号的名称)
2.溯源的途径
痕迹(日志、流量、进程)->识别的网络资产(ip、域名)->人或者计算机(证书、云服务商)
流量痕迹
进程痕迹
日志痕迹
3.信息收集
端口与服务的判断->识别工具与手段->判断下一步的行动(蜜罐)
反制
1.技术手段
1.1 工具本身是否存在漏洞(sqlmap,burp)
`ls`中的`符号使得强制执行linux的命令
1.2 工具本身是否存在信息泄露(指纹)
1.3 蜜罐(安全验证 - 知乎)
1.4 资产中提供的服务是否存在漏洞(攻击cs机器 https://github.com/NexusFuzzy/CobaltSpam)
2.非技术手段
2.1 钓鱼与反钓鱼
2.2 从目的思考反向获取攻击者信息
反制与溯源的相关开发
1.环境模拟
虚拟资产的构建(设备、网络、数据)
2.信息收集
2.1 计算机内的行为
2.2 网络相关的识别
3.反制手段
直接反制
钓鱼反制