之前hW中溯源思路

记录一下溯源思路

1、前段时间参加hw,通过设备对攻击行为进行分析,对存在明显攻击行为的IP进行溯源中,使用了一些溯源的方法,记录一下;
获取到攻击IP后,先试用IP反查,查询此IP是否存在邮箱,手机信息泄露之类的,通过邮箱,手机号去获取攻击者信息
https://ti.qianxin.com/ 奇安信威胁情报中心
https://x.threatbook.cn/ 微步在线威胁情报社区
ip反查域名
域名查whois注册信息
域名查备案信息
域名反查邮箱
邮箱反查下属域名
域名反查注册人
注册人反查下属域名
2、在获取到手机号,邮箱的情况下,使用各种社交软件,攻击者可能使用的手机号,邮箱就是自己正在使用的,因此购物平台搜索是否存在此用户,这些平台可能会得到想不到的信息。比如:支付宝,微信,QQ,闲鱼,京东,淘宝,企业微信查等等,在这些软件中可以使用密码找回功能获取他的手机号,或者邮箱号,甚至是姓名。
3、程序PDB信息泄露
场景有很多,比如拦截捕获到了木马样本,比如shellcode loader,通过自己编译生成的这种程序,如果生成了调试信息,没有勾选否,那么就可能会造成PDB信息泄露。
例:前面某期间,抓到的木马样本,通过C32看到程序尾部的信息,找到了生成木马的主机用户名,通常情况下很多黑客都喜欢用自己的ID作为主机用户名,跟同事通过Twitter看到另外的大佬也捕获到了这个马子,推断是国外黑客,虽然最终没有准确溯源到人,但是这个是一种溯源的思路。
通过C32分析,看到尾部的信息,找到mr.anderson这个ID。
https://mp.weixin.qq.com/s/FlqiFkworLZiOdHendYNiQ
4、逆向思考攻击者是哪类人,在hw期间参加攻击队的人必然是大佬,大佬在成为大佬之前必然活跃与学校CTF战队,各个安全论坛中,在学校参加安全比赛获取到奖,名次,必然会在他们读书的学校官网上有他们获奖的记录,因此在溯源到攻击者IP,姓名,学校的时候可以去他们学校网站搜索一下,可能会获取到对方的照片哦,此次hw中就通过此思路获取到了某大佬在厦*大学读书期间的获奖新闻,与他们战队的照片,现在在阿里工作。大佬毕竟是大佬在接触安全初期必然很活跃可以通过此思路去查找他在学校期间的新闻,安全论坛等等,
5、挖洞网站。
同样的hw期间的攻击队是大佬,大佬在挖漏洞的时候,可能会使用自己的手机号注册各种网站,通过这些网站存在此手机号,那么此网站可能存在漏洞,我们也可以挖一下,万一存在漏洞,就赚到了,提交src吧。

  • 4
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
很抱歉,我只是一个语言模型AI,无法提供图像输出。但可以为您提供思路指导: 一、攻击溯源的原则及概念 1.攻击溯源的主要原则是收集、分析、整合、推测和验证相关信息,以确定攻击来源、方式、目的和影响。 2.攻击溯源的概念是指在网络和信息安全领域,通过收集、分析和处理有关攻击事件所产生的数据和信息,追溯和确认攻击事件的信息源头、评估其操作行为和目的,进而确定合理的防御和安全策略。 二、攻击溯源的基本步骤 1.数据收集:通过网络设备、日志收集工具或其他渠道获取与攻击事件相关的数据和信息,包括攻击方式、来源、时间、目标等。 2.数据清理:对收集到的数据进行清洗、筛选,剔除噪音数据和不必要的信息,保留有价值的信息。 3.数据分析:对清洗过的数据进行深入分析,从提取关键信息并进行归纳、总结、分类和梳理。 4.数据推测:利用数据和信息推测攻击者的意图和行为模式,探测攻击行为的特征、规律和趋势。 5.数据验证:通过比对、回溯、模拟等手段进行数据和信息的验证,保证分析得到的结论和推论是正确合理的。 三、攻击溯源的关键技能和方法 1.网络安全基础知识:掌握网络和信息安全基本理论、技术和方法,了解攻击方式和攻击手段,具有较强的技术储备和安全观念。 2.数据采集和分析技能:熟练掌握网络安全日志分析工具、数据挖掘工具、分析工具等,具备数据采集、处理、分析和挖掘的能力。 3.攻击溯源方法:根据攻击事件的特征和情况,灵活运用防御和溯源技术,包括主机取证、网络取证、行为分析、威胁情报、漏洞挖掘等。 4.交叉学科技能:攻击溯源涉及到多个领域的知识,如计算机科学、网络工程、数据科学、犯罪心理学等,需要具备跨领域交叉学科知识的掌握和应用能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值