一、概念
护网溯源是指通过各种技术手段,追溯和识别网络中恶意攻击、违法犯罪等活动的来源和行为轨迹,以便及时采取措施保障网络安全。具体来说,护网溯源包括网络攻击溯源、垃圾邮件溯源、网络诈骗溯源等。
在实际应用中,护网溯源通常需要依靠网络监控、网络日志分析、数据包捕获等技术手段,对网络中的数据流进行分析和监控,以便发现和追踪恶意行为。护网溯源也是网络安全工作中的一个重要环节,可以帮助保护网络安全和用户隐私。
二、蜜罐的概念
模拟各种常见的应用服务,诱导攻击者攻击,从而记录攻击者的入侵行为,获取攻击者的主机信息、浏览器信息、甚至是真实 IP及社交信息。
蜜罐溯源的常见两种方式:
- 1、网站上插入特定的js文件
- 2、网站上显示需要下载某插件
蜜罐类型
| 低交互蜜罐 | 中交互蜜罐 | 高交互蜜罐 | |
|---|---|---|---|
| 真实操作系统 | 否 | 否 | 是 |
| 威胁性 | 低 | 中 | 高 |
| 信息收集 | 连接 | 请求 | 所有 |
| 运行所需要环境 | 低 | 低 | 高 |
| 部署所需环境 | 低 | 高 | 很高 |
国内的一些蜜罐产品:
- 谛听(长亭科技)
- 幻盾、幻阵(默安)
- 蜃景(360)
- 春秋云阵(永信至诚)
- 幻云(锦行科技)
- 明鉴迷网(安恒)
- 御阵(腾讯)
- 潜听(天融信)
- 幻影(非凡安全)
- 天燕(启明星辰)
三、溯源思路
1、捕获攻击源
(1)安全设备报警
(2)日志和流量分析
(3)服务器资源异常
(4)钓鱼邮件
(5)蜜罐系统
2、溯源反制手段
(1)IP定位(判断物理地址)
(2)ID追踪
(3)网站url
(4)恶意样本
(5)社交账号
3、攻击者画像
姓名、攻击IP地址、地理位置、QQ、IP地址所属公司、IP地址关联域名、邮箱、手机号、微信、微博、人物照片、博客
四、IP地址溯源
通过IP地址获得信息:
(1)判断是不是肉鸡,如果是肉鸡,尝试入侵肉鸡,如果可以成功入侵,可以查询登录日志、账号信息、昵称、黑客是否上传工具、历史操作记录、后门文件、进程、外连ip
(2)情报收集,判断是百度云、阿里云、腾讯云等厂商的ip,通过ip可以查到域名信息、邮箱和手机号等。如果查不到手机号,可以通过百度云、阿里云等平台上的账号找回功能,判断手机号的前几位或者后几位。通过手机号看能否加到微信号、QQ号等社交平台。
肉鸡
1、登录日志、新建账号、昵称
2、传工具、界面上面
3、历史操作记录、文件后门
4、进程、外连ip、真实ip
发现更多攻击者的痕迹
情报收集
1、cdn、百度云、阿里云、腾讯云
2、域名信息
3、邮箱和手机号
4、找手机号:
5、账号找回功能:
ip定位
1、安全公司所在位置
2、安全公司的网关
五、钓鱼邮件溯源
发件人账号(xxxx@qq.com )
发送的邮件服务器 ip
发件人
邮件的内容
钓鱼网站/木马附件
exe 开发人员终端
doc 最后编辑的谁(昵称)
昵称怎么去关联
蜜罐
百度id--->百度贴吧--->qq
六、威胁情报平台
- https://www.secpulse.com/archives/173479.html
- https://www.virustotal.com/ VirusTotal
- https://x.threatbook.cn/ 微步在线-微步情报社区
- https://ti.qianxin.com/ 奇安信威胁情报
- https://ti.360.net/ 360威胁情报中心
- https://www.venuseye.com.cn/ 启明星辰威胁情报
- https://redqueen.tj-un.com 天际友盟REDQUEE安全智能服务平台
- https://poma.nsfocus.com/ 绿盟的威胁分析中心
七、ip反查
- https://www.chaipip.com/ 高精度IP地址查询-查IP
- https://www.opengps.cn/Data/IP/ipplus.aspx 高精度IP定位
- https://www.ipip.net/ip.html ip反查
- http://ip.yqie.com/ ip地址反向查询
- http://qd.yyimg.com/act/index/id/ 百度ID反查
- https://www.reg007.com/ 注册网站反查
- https://ip.rtbasia.com/ tbasia(IP查询)
- https://www.ipplus360.com/ ipplus360(IP查询)
- https://tool.lu/ip/ IP地址查询在线工具
八、在线云沙箱
- https://ata.360.cn/detection 360沙箱云
- https://s.threatbook.cn/ 微步云沙箱
- https://www.virustotal.com/gui/home/upload VirusTotal平台
- https://www.maldun.com/submit/submit_file/ 魔盾安全分析平台
- https://app.any.run/ Any.Run交互式恶意软件分析平
- https://habo.qq.com/ 腾讯哈勃系统
- https://mac-cloud.riskivy.com FreeBuf × 漏洞盒子「大圣云沙箱
783
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
