- 概述 2
1.1. Riskiq、VT 2
1.2. 微步在线 2
1.3. 匿名访问网站 2
1.4. GOOGLE 2
1.5 kproxy在线代理网站
1.6 temp-mail.org 在线临时邮件生成网站
概述
碰到攻击IP,需要对其进行追踪溯源。不过红队使用的攻击IP多半是经过层层代理的,针对该IP进行溯源难度较大,具体操作需要根据现场情况判断。
Riskiq、VT
Riskiq链接:https://community.riskiq.com/home
Vt链接:https://www.virustotal.com/gui/home/upload
Censys:https://censys.io/
通过网站Riskiq可以查询到该攻击IP绑定的域名信息、证书使用情况。
攻击者可能会大意使用自己的IP绑定域名,这时候展开针对域名的溯源,能有效的帮忙找到攻击者信息。证书情况也是如此,攻击者手上资产较少,重复使用资产的可能性很大。针对证书可以查看是否还有IP或域名在使用该证书。
VT查询的内容与Riskiq的内容相差不大,可以结合着看,VT主要是关联样本,或许可以得知攻击者使用的木马等样本信息,进而进行特征提取。
Censys则是针对证书的情况进行查询,是否关联到其他IP和域名。
微步在线
微步链接: https://x.threatbook.cn/
Venuseye:https://www.venuseye.com.cn/ip/
微步在线使用目的大致和Riskiq一样,微步可以查看攻击IP之前的威胁情报信息,比如有扫描、垃圾邮件等威胁标签。微步为此次护W专门新增加了一个叫“2020你懂的”的标签,若攻击IP有此标签,确认是红方经常使用的IP。
Venuseye使用情况和微步在线是差不多的,都是国内的威胁情报厂商。
匿名访问网站
匿名访问网站:https://www.kproxy.com/
通过数据包可以看到攻击IP请求的host信息,有时候直接去访问是最佳的选择,但直接访问太过于危险了,所以用匿名访问网站代理访问就比较安全。说不定网页上就包含了攻击者的信息
GOOGLE
直接使用谷歌等搜索引擎对攻击IP进行查询,看是否能直接关联到攻击者或者其他信息。这点建议使用自己的外网本,现场环境不支持翻墙等操作。
可利用kproxy在线代理网站做代理
可利用temp-mail.org 在线临时邮件生成网站,预防追踪
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
