应急响应-战后溯源&IP&ID追踪&URL反查&攻击画像

#知识点
战后-溯源篇-溯源攻击画像

ID追踪

(1) 百度信息收集："id" （双引号为英文）
(2) 谷歌信息收集
(3) src信息收集（各大src排行榜）
(4) 微博搜索（如果发现有微博记录，可使用tg查询weibo泄露数据）
(5) 微信ID收集：微信进行ID搜索（直接发钉钉群一起查）
(6) 如果获得手机号（可直接搜索支付宝、社交账户等）
注：获取手机号如信息不多，直接上报钉钉群（利用共享渠道对其进行二次工作）
(7) 豆瓣/贴吧/知乎/脉脉 你能知道的所有社交平台，进行信息收集
(8) 其他补充
在github，gitee，开源中国中查找
在社交平台上查找，（微信/微博/linkedin/twitter）
技术博客（csdn，博客园），src平台（补天）
在安全群/安全圈子里询问。

IP定位

https://www.ipip.net/ip.html
https://www.ipuu.net/Home

网站URL，恶意样本

1、可利用网站

https://x.threatbook.cn/
https://ti.qianxin.com/
https://ti.360.net/
https://www.venuseye.com.cn/

2、根据域名进行溯源

whois查询
备案查询
企查查/天眼查查询
zoomeye/fofa查询

3、样本特征字符密码等

如后门的密码，源码中的注释，反编译分析的特殊字符串等

社交帐号

各种库子查询

手机号码

1、支付宝转账 - > 确定姓名，甚至获取照片
2、微信搜索 ->  微信ID可能是攻击者的ID，甚至照片
3、各种裤子

攻击画像大概模型

姓名/ID：
攻击IP：
地理位置：
QQ:
IP地址所属公司：
IP地址关联域名：
邮箱：
手机号：
微信/微博/src/id证明：
人物照片：
跳板机（可选）：
关联攻击事件：

一、演示案例-溯源篇-日志提取-IP地址-攻击画像

日志上分析出攻击者IP地址
威胁感知-标签-社交-库搜搜-电话,其他信息等

二、演示案例-溯源篇-文件提取-恶意样本-攻击画像

后门木马-IP-IP反查域名-域名收集-个人信息