https://www.freebuf.com/articles/network/339461.html
https://blog.csdn.net/tomyyyyyy/article/details/123059758
攻击源捕获
安全设备报警:如EDR告警等。
日志分析:获取攻击者指纹信息与攻击方式。
服务器资源异常:如服务器上多了webshell文件或者计划任务。
蜜罐告警:获取攻击者指纹信息。
邮件钓鱼:把附件放进云沙箱,提取C2域名;查看信头或查看邮件源代码X-Originating-IP为发件人的IP,各个厂家邮箱均可以使用同一种方法查询对方IP
一般接到溯源任务时,获得的信息如下:
攻击时间:
攻击IP:
受害IP:
攻击次数:
预警平台:
攻击类型:
攻击详情:
恶意文件:
其中攻击IP、攻击次数、攻击类型、攻击详情是溯源的主要切入点。
通过以上内容可以判断此次攻击事件是否成功,查看攻击详情中的请求包可以判断攻击者所使用的攻击手法,是否使用扫描器或者使用0day攻击等。
端口扫描/敏感目录扫描,此类攻击大概率是个人或搜索引擎,溯源几率高,可以优先溯源。
命令执行,此类攻击大概率是未经隐藏的网络,接到脚本扫描任务的肉鸡,可以溯源。
爬虫类攻击,此类大概率是搜索引擎爬虫,可以放到最后进行溯源。
恶意文件,此类攻击可能可以获取到攻击者的C2地址或未删除的敏感信息代码等,也可优先溯源。
威胁情报平台
奇安信威胁情报中心:https://ti.qianxin.com/
微步在线:https://x.threatbook.cn/
360威胁情报中心:https://ti.360.cn/#/homepage
VenusEys威胁情报中心:https://www.venuseye.com.cn/
威胁情报平台中,我们可以获取IP信息、对应域名、域名历史注册记录、SSL证书等信息。
点进去解析域名
信息收集
通过上一步获得的一些邮箱、域名、IP等进一步进行收集信息
IP定位
https://chaipip.com/
https://www.opengps.cn/Data/IP/ipplus.aspx
根据域名注册人登记的信息(姓名、电话、邮箱)进行验证。通过手机号查找是否绑定微信、支付宝。如果绑定,可以使用支付宝验证使用者姓名。
如果邮箱使用的是QQ邮箱,也可以查找注册人QQ,查看是否开启QQ空间访问,搜寻其他有效信息(照片、有关安全技术等)。
若信息搜集的不够完整,还可以再谷歌/百度、贴吧、微博等社交平台搜寻更多攻击者信息。必要时也可发送钓鱼邮件或添加好友进行社工获取更多攻击者信息。
telegram社工机器人
反渗透
对IP或域名进行常规渗透
一般拿下的都是攻击者的肉鸡,需要到拿下的肉鸡上找一找外联IP,确定攻击者背后的真实IP。
攻击者画像
理想情况下想要获得如下数据,来刻画攻击者画像:
姓名/ID:
攻击IP:
地理位置:
QQ:
微信:
邮箱:
手机号:
支付宝:
其他社交账号信息(微博、贴吧等):
照片:
所属组织(公司或团队,可选):