之前hW中溯源思路

记录一下溯源思路

1、前段时间参加hw，通过设备对攻击行为进行分析，对存在明显攻击行为的IP进行溯源中，使用了一些溯源的方法，记录一下；
获取到攻击IP后，先试用IP反查，查询此IP是否存在邮箱，手机信息泄露之类的，通过邮箱，手机号去获取攻击者信息
https://ti.qianxin.com/ 奇安信威胁情报中心
https://x.threatbook.cn/ 微步在线威胁情报社区
ip反查域名
域名查whois注册信息
域名查备案信息
域名反查邮箱
邮箱反查下属域名
域名反查注册人
注册人反查下属域名
2、在获取到手机号，邮箱的情况下，使用各种社交软件，攻击者可能使用的手机号，邮箱就是自己正在使用的，因此购物平台搜索是否存在此用户，这些平台可能会得到想不到的信息。比如：支付宝，微信，QQ，闲鱼，京东，淘宝，企业微信查等等，在这些软件中可以使用密码找回功能获取他的手机号，或者邮箱号，甚至是姓名。
3、程序PDB信息泄露
场景有很多，比如拦截捕获到了木马样本，比如shellcode loader，通过自己编译生成的这种程序，如果生成了调试信息，没有勾选否，那么就可能会造成PDB信息泄露。
例：前面某期间，抓到的木马样本，通过C32看到程序尾部的信息，找到了生成木马的主机用户名，通常情况下很多黑客都喜欢用自己的ID作为主机用户名，跟同事通过Twitter看到另外的大佬也捕获到了这个马子，推断是国外黑客，虽然最终没有准确溯源到人，但是这个是一种溯源的思路。
通过C32分析，看到尾部的信息，找到mr.anderson这个ID。
https://mp.weixin.qq.com/s/FlqiFkworLZiOdHendYNiQ
4、逆向思考攻击者是哪类人，在hw期间参加攻击队的人必然是大佬，大佬在成为大佬之前必然活跃与学校CTF战队，各个安全论坛中，在学校参加安全比赛获取到奖，名次，必然会在他们读书的学校官网上有他们获奖的记录，因此在溯源到攻击者IP，姓名，学校的时候可以去他们学校网站搜索一下，可能会获取到对方的照片哦，此次hw中就通过此思路获取到了某大佬在厦*大学读书期间的获奖新闻，与他们战队的照片，现在在阿里工作。大佬毕竟是大佬在接触安全初期必然很活跃可以通过此思路去查找他在学校期间的新闻，安全论坛等等，
5、挖洞网站。
同样的hw期间的攻击队是大佬，大佬在挖漏洞的时候，可能会使用自己的手机号注册各种网站，通过这些网站存在此手机号，那么此网站可能存在漏洞，我们也可以挖一下，万一存在漏洞，就赚到了，提交src吧。