本文共 1142 字,大约阅读时间需要 3 分钟。
今天收到老师发来的一个文件《溯源手册》能快速上手在实战中运用,也可以充当字典使用。
技巧篇
通常情况下,接到溯源任务时,获得的信息如下
- 列表项目
- 攻击时间
- 攻击 IP
- 预警平台
- 攻击类型
- 恶意文件
- 受攻击域名/IP 其中攻击 IP、攻击类型、恶意文件、攻击详情是溯源入手的点。
通过攻击类型分析攻击详情的请求包,看有没有攻击者特征,通过获取到的 IP地址进行威胁情报查询来判断所用的 IP 具体是代理 IP 还是真实 IP 地址。
- 如端口扫描大概率为个人 vps 或空间搜索引擎,在接到大量溯源任务时可优先溯源。
- 如命令执行大概率为未经任何隐匿的网络、移动网络、接到脚本扫描任务的肉鸡,在接到大量溯源任务时可优先溯源。
- 如爬虫大概率为空间搜索引擎,可放到最后溯源。
- 如恶意文件可获得 c2 地址、未删除的带有敏感信息的代码(如常用 ID、组织信息)、持续化控制代码(C2 地址指在 APT 攻击里的命令与控制,若获取到 C2地址可以使我们的溯源目标更有针对性)
- 持续化控制代码需要详细分析,如采用 DGA 域名上线的方法,分析出域名算法,预测之后的域名可有效减少损失,增加溯源面。
溯源结果框架
在受到攻击、扫描之后,进行一系列溯源操作后,理想情况下想要获得如下数据,来刻画攻击者画像。姓名/ID:
- 攻击 IP:
- 地理位置:
- QQ:
- 微信:
- 邮箱:
- 手机号:
- 支付宝:
- IP 地址所属公司:
- IP 地址关联域名:
- 其他社交账号信息(如微博/src/id 证明):
- 人物照片:
- 跳板机(可选):
(ps:以上为最理想结果情况,溯源到名字公司加分最高)
在写溯源报告时,应避免单一面石锤,需要反复验证,避免中途溯源错人,各个溯源线索可以串起来,要具有逻辑性。
溯源常用手法
本节将按照获取到的数据展开分来来讲,最后可能融会贯通,互相适用。
威胁情报平台:
(不要过于依赖威胁情报,仅供参考 平台大多为社区维护,存在误报以及时效性问题,可能最后跟真正攻击者毫无关系。)
已知域名获取信息历史 whois
通过威胁情报平台我们可以获取域名解析记录、历史 whois、子域名、SSL 证书等如图:
可获得:
- ID
- 姓名
- 邮箱
SSL 证书
- 可获得:
- ID
- 邮箱
解析记录
- 通过解析记录可以获得域名 A 记录从而获取到域名后的 IP 地址。
- A 记录 —— 映射域 bai 名到一个或多个 IP
- CNAME—— 映射域名到另一个域名(子域名)
- 域名解析记录:
- 全球 ping,查看现绑定 ip,看是否域名使用了 CDN 技术。
已知 IP 获取信息
反查域名
威胁情报平台:IP 信息
威胁情报平台: 可获得: 是否为移动网络、IDC 等 IP 段所属公司IP 定位
部分内容参考《溯源手册》
