溯源简单入门——如何提升溯源技巧与溯源的方法的多样性

今天收到老师发来的一个文件《溯源手册》能快速上手在实战中运用，也可以充当字典使用。

技巧篇

通常情况下，接到溯源任务时，获得的信息如下

列表项目
攻击时间
攻击 IP
预警平台
攻击类型
恶意文件
受攻击域名/IP
其中攻击 IP、攻击类型、恶意文件、攻击详情是溯源入手的点。

通过攻击类型分析攻击详情的请求包，看有没有攻击者特征，通过获取到的 IP地址进行威胁情报查询来判断所用的 IP 具体是代理 IP 还是真实 IP 地址。

如端口扫描大概率为个人 vps 或空间搜索引擎，在接到大量溯源任务时可优先溯源。
如命令执行大概率为未经任何隐匿的网络、移动网络、接到脚本扫描任务的肉鸡，在接到大量溯源任务时可优先溯源。
如爬虫大概率为空间搜索引擎，可放到最后溯源。
如恶意文件可获得 c2 地址、未删除的带有敏感信息的代码（如常用 ID、组织信息）、持续化控制代码（C2 地址指在 APT 攻击里的命令与控制，若获取到 C2地址可以使我们的溯源目标更有针对性）
持续化控制代码需要详细分析，如采用 DGA 域名上线的方法，分析出域名算法，预测之后的域名可有效减少损失，增加溯源面。

溯源结果框架

在受到攻击、扫描之后，进行一系列溯源操作后，理想情况下想要获得如下数据，来刻画攻击者画像。姓名/ID：

攻击 IP：
地理位置：
QQ:
微信：
邮箱：
手机号：
支付宝：
IP 地址所属公司：
IP 地址关联域名：
其他社交账号信息（如微博/src/id 证明）：
人物照片：
跳板机（可选）：

（ps：以上为最理想结果情况，溯源到名字公司加分最高）

在写溯源报告时，应避免单一面石锤，需要反复验证，避免中途溯源错人，各个溯源线索可以串起来，要具有逻辑性。

溯源常用手法

本节将按照获取到的数据展开分来来讲，最后可能融会贯通，互相适用。

威胁情报平台：

https://x.threatbook.cn/
https://x.threatbook.cn/
https://ti.360.cn/
https://www.venuseye.com.cn/

（不要过于依赖威胁情报，仅供参考平台大多为社区维护，存在误报以及时效性问题，可能最后跟真正攻击者毫无关系。）

已知域名获取信息历史 whois

通过威胁情报平台我们可以获取域名解析记录、历史 whois、子域名、SSL 证书等如图：

可获得：

ID
姓名
邮箱

SSL 证书

可获得：
ID
邮箱

解析记录

通过解析记录可以获得域名 A 记录从而获取到域名后的 IP 地址。

A 记录 —— 映射域 bai 名到一个或多个 IP

CNAME—— 映射域名到另一个域名（子域名）

域名解析记录：http://www.jsons.cn/nslookup/

全球 ping，查看现绑定 ip，看是否域名使用了 CDN 技术。

http://ping.chinaz.com/

已知 IP 获取信息

反查域名
威胁情报平台：
https://www.ipip.net/ip.html
https://www.aizhan.com/
https://www.whois.com/

IP 信息
威胁情报平台：
https://www.ipip.net/
http://ipwhois.cnnic.net.cn/index.jsp
可获得：
是否为移动网络、IDC 等
IP 段所属公司

IP 定位
https://chaipip.com/
https://www.opengps.cn/Data/IP/ipplus.aspx

部分内容参考《溯源手册》