溯源是指只是将攻击者进行画像。
反制是指将攻击者的主机权限拿下。
ID追踪
各大搜索引擎搜索到的东西不一样。
(1) 百度信息收集:"id" (双引号为英文)
(2) 谷歌信息收集
(3) src信息收集(各大src排行榜)
(4) 微博搜索(如果发现有微博记录,可使用tg查询weibo泄露数据)
(5) 微信ID收集:微信进行ID搜索(直接发钉钉群一起查)
(6) 如果获得手机号(可直接搜索支付宝、社交账户等)
注:获取手机号如信息不多,直接上报钉钉群(利用共享渠道对其进行二次工作)
(7) 豆瓣/贴吧/知乎/脉脉 你能知道的所有社交平台,进行信息收集
(8) 其他补充
在github,gitee,开源中国中查找
在社交平台上查找,(微信/微博/linkedin/twitter)
技术博客(csdn,博客园),src平台(补天)
在安全群/安全圈子里询问。
IP定位
https://www.opengps.cn/Data/IP/ipplus.aspx
网站URL,恶意样本
1、可利用网站:
https://x.threatbook.cn/
https://ti.qianxin.com/
https://ti.360.net/
https://www.venuseye.com.cn/
2、根据域名进行溯源
whois查询
备案查询
企查查/天眼查查询
zoomeye/fofa查询
3、样本特征字符密码等
如后门的密码,源码中的注释,反编译分析的特殊字符串等
社交帐号:
1、reg007
2、各种库子查询
手机号码:
1、支付宝转账 - > 确定姓名,甚至获取照片
2、微信搜索 -> 微信ID可能是攻击者的ID,甚至照片
3、各种裤子
攻击画像大概模型:
姓名/ID:
攻击IP:
地理位置:
QQ:
IP地址所属公司:
IP地址关联域名:
邮箱:
手机号:
微信/微博/src/id证明:
人物照片:
跳板机(可选):
关联攻击事件:
#日志提取-IP地址溯源-攻击画像
日志上分析出攻击者IP地址
威胁感知-标签-社交-库搜搜-电话,其他信息等
#内鬼提取-ID昵称溯源-攻击画像
某天Tg上有人贩卖课程,寻找内鬼开始
#文件提取-恶意样本溯源-攻击画像
后门木马-IP-IP反查域名-域名收集-个人信息
2468
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
