HW溯源流程
本篇方法仅限本人笔记,如有问题还请大佬指正!
感谢乌雲安全提供支持!
一、攻击链中可溯源的关键点
1.利用阶段可溯源的方法以及利用点
攻击回溯的关键点主要分为两类:
- 攻击分类:根据攻击者的漏洞利用数据包特点(如:字符串格式、特殊字符串)。
- 攻击者信息:攻击者使用其公司(个人)特有的漏洞利用工具时,可能会在请求包中存在公司(个人)信息。
2.钓鱼邮件可溯源方法及关键点
- 发件 IP、发件账号、邮件内容(格式特点等)可用于将攻击者投递的邮件分类;
- 发件账号中可能存在个人信息,如:“账号@qq.com”、“昵称@gmail.com” 等此类字符串,检索该字符串可用于挖掘身份信息;
邮件内容大致可分以下三类:
- 投递物(后门木马、其他攻击组件)
- 钓鱼网站,包含域名、IP 等信息
- 其他,需要研究邮件中的字符串,邮件可能存在攻击者的其他账号(在真实场景中出现过)发件 IP、发件服务器,属攻击者资产。
3. 后门木马可溯源方法及关键点
-
代码逻辑,由于人的惰性,红队开发者可能会复用以前的一些代码。如代码特点比较明显,可用于分类和拓线。
-
字符串特点,用于将红队投递的样本分类和拓线更多的样本,将检索到的样本再进行分析,分析历史样本(如测试阶段的样本)看是否会暴露出更多信息。
-
元数据(投递的诱饵不同,得到的元数据不同。诱饵类型包括:LNK、EXE、DOCX等)。
-
EXE 文件:存在 PDB 信息,部分开发人员将项目存放在桌面,这会导致编译信息带入开发人员的终端名称(极大可能为个人昵称)。
-
LNK 文件:由于 LNK 文件在新建的时候会带入计算机名称,这可以用于样本的拓线和分类,极少情况下可找到个人昵称。
-
DOCX 文件:可能存在“最后编辑者名称”。
-
回连 C2,属攻击者资产。
4. 攻击者资产维度可溯源方法及关键点
-
域名自身特点,如:昵称字符串
-
搭建网站(通过图中四种方法探测资产的现有数据和历史数据)
-
网站可能存在红队的其他攻击组件
-
网站存在个人昵称、简介等
-
网站备案信息
-
Whois 信息,可能包含:注册者邮箱、电话号码等
-
IP 信息需要考虑如下两点:
是否定位到某个安全公司的地理位置 是否标记为某个安全公司的网关
5.命令和控制阶段可产生的数据
用于防御,将掌握的流量规则部署在安全设备中积累数据,掌握更多的木马、资产,支撑上述中的各种溯源方法
6.身份信息溯源方向
(1)虚拟身份
-
攻击者资产暴露的信息,如:Whois 信息、个人网站简介、GitHub 个人简介
-
样本暴露的信息,如:PDB 信息、个人昵称、存放特马的 Github 账号
-
蜜罐捕获,如:百度 ID、新浪 ID 等
-
利用密码找回功能,如:阿里云IP找回、腾讯密码找回、邮箱密码找回
(2)身份
- 社交平台(如百度贴吧、QQ 空间、新浪微博等)暴露真实姓名、手机号码
- 支付宝转账功能,搜索邮箱、手机号
- 已知的线索(邮箱、QQ、昵称等)在招聘网站搜索
- 利用搜索引擎,如:手机号和真实姓名存放一起的 XXX 学校表格
(3)公司信息
- IP资产定位、域名 Whois 信息
- 特有漏洞利用工具暴露的信息,如:User Agent、Cookie、Payload
- 社交平台,如:钉钉、企业微信等
- 攻击者个人简历中的工作经历
二、流程:
1.针对ip通过开源情报+开放端口分析查询
可利用网站:
https://x.threatbook.cn/(主要)
https://ti.qianxin.com/
https://ti.360.cn/(主要)
https://www.venuseye.com.cn/
https://community.riskiq.com/
当发现某些IP的攻击后,可以尝试通过此IP去溯源攻击者
首先通过http://www.ipip.net网站或者其他接口,查询此IP为IDC的IP、CDN的IP还是普通运营商的出口IP。
如果IP反查到域名就可以去站长之家对其进行whois反查或者去https://whois.domaintools.com/等网站去查询域名的注册信息、http://whoissoft.com/查询备案信息等。
端口:可查看开放服务进行进一步利用
可考虑使用masscan快速查看开放端口:
masscan -p 1-65535 ip --rate=500
再通过nmap 对开放端口进行识别
nmap -p 3389,3306,6378 -Pn IP
发现相关有用端口,进行端口相关漏洞的挖掘及利用。
2.ip查询定位
ip定位工具:
高精度IP定位:https://www.opengps.cn/Data/IP/LocHighAcc.aspx
rtbasia(IP查询):https://ip.rtbasia.com/
ipplus360(IP查询):https://www.ipplus360.com/
IP地址查询在线工具:https://tool.lu/ip/
在通过IP定位技术溯源过程,应注意以下情况:
假如IP反查到的域名过多,考虑就是CDN了,就没必要继续去查了。
假如是普通运营商的出口IP只能使用一些高精度IP定位工具粗略估计攻击者的地址,如果需要具体定位到人,则需要更多的信息。
3. ID跟踪、得到常用id信息收集
在通过IP定位后技术追踪攻击者,可通过指纹库、社工库等或其他技术手段抓取到攻击者的微博账号、百度ID等信息,一般通过以下技术手段实现:
进行QQ等同名方式去搜索、进行论坛等同名方式搜索、社工库匹配等。
如ID是邮箱,则通过社工库匹配密码、以往注册信息等。
如ID是手机号,则通过手机号搜索相关注册信息,以及手机号使用者姓名等。
其他方法:
(1) 百度信息收集:“id” (双引号为英文)
(2) 谷歌信息收集
(3) src信息收集(各大src排行榜)
(4) 微博搜索(如果发现有微博记录,可使用tg查询weibo泄露数据)
(5) 微信ID收集:微信进行ID搜索(直接发钉钉群一起查)
(6) 如果获得手机号(可直接搜索支付宝、社交账户等)
注意:获取手机号如果自己查到的信息不多,直接上报钉钉群(利用共享渠道对其进行二次社工)
- 豆瓣/贴吧/知乎/脉脉 你能知道的所有社交平台,进行信息收集
例如,当通过ID追踪技术手段定位到某攻击者的QQ号、QQ网名等信息,通过专业社工库可以进一步追踪攻击者使用的QQ号注册过的其它网络ID,从而获取更多攻击者信息,从而确定攻击者的身份。
注意:手机号、昵称ID均为重点数据,如查不到太多信息,直接上报指挥部。
4.预警设备信息取证
上方数据一无所获,可考虑对其发起攻击的行为进行筛查,尝试判断其是否有指纹特征。
攻击者如果在攻击过程中对攻击目标上传攻击程序(如钓鱼软件),可通过对攻击者上传的恶意程序进行分析,并结合IP定位、ID追踪等技术手段对攻击进行分析溯源,常用的恶意程序分析网站有:
微步在线云沙箱:https://s.threatbook.cn/
Virustotal:https://www.virustotal.com/gui/home/upload
火眼(https://fireeye.ijinshan.com)
ØAnubis(http://anubis.iseclab.org)
joe(http://www.joesecurity.org)
5.跳板机信息收集(触发)
进入红队跳板机查询相关信息,如果主机桌面没有敏感信息,可针对下列文件进行收集信息。
Last: 查看登录成功日志
cat ~/.bash_history 查看操作指令
ps -aux 查看进程
cat /etc/passwd 查看是否有类似ID的用户 重点关注uid为500以上的登录用户
扫一扫
2628
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
