溯源简单入门——如何提升溯源技巧与溯源的方法的多样性
今天收到老师发来的一个文件《溯源手册》能快速上手在实战中运用,也可以充当字典使用。
技巧篇
通常情况下,接到溯源任务时,获得的信息如下
- 列表项目
- 攻击时间
- 攻击 IP
- 预警平台
- 攻击类型
- 恶意文件
- 受攻击域名/IP
其中攻击 IP、攻击类型、恶意文件、攻击详情是溯源入手的点。
通过攻击类型分析攻击详情的请求包,看有没有攻击者特征,通过获取到的 IP地址进行威胁情报查询来判断所用的 IP 具体是代理 IP 还是真实 IP 地址。
- 如端口扫描大概率为个人 vps 或空间搜索引擎,在接到大量溯源任务时可优先溯源。
- 如命令执行大概率为未经任何隐匿的网络、移动网络、接到脚本扫描任务的肉鸡,在接到大量溯源任务时可优先溯源。
- 如爬虫大概率为空间搜索引擎,可放到最后溯源。
- 如恶意文件可获得 c2 地址、未删除的带有敏感信息的代码(如常用 ID、组织信息)、持续化控制代码(C2 地址指在 APT 攻击里的命令与控制,若获取到 C2地址可以使我们的溯源目标更有针对性)
- 持续化控制代码需要详细分析,如采用 DGA 域名上线的方法,分析出域名算法,预测之后的域名可有效减少损失,增加溯源面。
溯源结果框架
在受到攻击、扫描之后,进行一系列溯源操作后,理想情况下想要获得如下数据,来刻画攻击者画像。姓名/ID:
- 攻击 IP:
- 地理位置:
- QQ:
- 微信:
- 邮箱:
- 手机号:
- 支付宝:
- IP 地址所属公司:
- IP 地址关联域名:
- 其他社交账号信息(如微博/src/id 证明):
- 人物照片:
- 跳板机(可选):
(ps:以上为最理想结果情况,溯源到名字公司加分最高)
在写溯源报告时,应避免单一面石锤,需要反复验证,避免中途溯源错人,各个溯源线索可以串起来,要具有逻辑性。
溯源常用手法
本节将按照获取到的数据展开分来来讲,最后可能融会贯通,互相适用。
威胁情报平台:
- https://x.threatbook.cn/
- https://x.threatbook.cn/
- https://ti.360.cn/
- https://www.venuseye.com.cn/
(不要过于依赖威胁情报,仅供参考 平台大多为社区维护,存在误报以及时效性问题,可能最后跟真正攻击者毫无关系。)
已知域名获取信息历史 whois
通过威胁情报平台我们可以获取域名解析记录、历史 whois、子域名、SSL 证书等如图:
可获得:
- ID
- 姓名
- 邮箱
SSL 证书
- 可获得:
- ID
- 邮箱
解析记录
- 通过解析记录可以获得域名 A 记录从而获取到域名后的 IP 地址。
- A 记录 —— 映射域 bai 名到一个或多个 IP
- CNAME—— 映射域名到另一个域名(子域名)
- 域名解析记录:http://www.jsons.cn/nslookup/
- 全球 ping,查看现绑定 ip,看是否域名使用了 CDN 技术。
- http://ping.chinaz.com/
已知 IP 获取信息
反查域名
威胁情报平台:
https://www.ipip.net/ip.html
https://www.aizhan.com/
https://www.whois.com/
IP 信息
威胁情报平台:
https://www.ipip.net/
http://ipwhois.cnnic.net.cn/index.jsp
可获得:
是否为移动网络、IDC 等
IP 段所属公司
IP 定位
https://chaipip.com/
https://www.opengps.cn/Data/IP/ipplus.aspx
部分内容参考《溯源手册》
溯源简单入门——如何提升溯源技巧与溯源的方法的多样性相关推荐
- PS简单入门须知的小技巧
1. 快速打开文件 双击Photoshop的背景空白处(默认为灰色显示区域)即可打开选择文件的浏览窗口. 2. 随意更换画布颜色 选择油漆桶工具并按住Shift点击画布边缘,即可设置画布底色为当前选择 ...
- 自学前端建立知识体系,是最简单入门以及工作后快速进阶的有效方法
「自学」是不可能太「系统」的,因为没有人帮你把每一个阶段的学习内容定义清晰.由于缺乏别人提供的反馈,你没办法知道自己某一阶段的学习是否完成了.从事前端多年,根据经验一般的建议方式是,你去实体书店看看相 ...
- 动态规划从入门到提升详解
写在开头: 这篇博客将从最开始入门到提升,说明关于如何学习动态规划,适合小白以及学过想要提高的选手,篇幅可能较长持续更新,主要是为了带学弟学妹以及自己复习而写. 由于时间和篇幅等问题,一些基础的东西将 ...
- CTF从入门到提升之宽字节注入
CTF入门到放弃 为什么说是从入门到放弃呢?(开个玩笑)如果说大家对CTF有了解的话,其实应该知道CTF是一个什么类型的比赛,这个比赛涉及的范围和影响有多大.如果说你真的想打好比赛,那也是真的非常不容 ...
- 十个简单好用的设计技巧[SM]
复杂的设计技巧总是很花时间,也实在是-.复杂 (-_-||). 高级效果 为设计增色不少,但如果用得不对,只会影响用户对重点内容的关注.高级效果可能正好是一项好的设计的冲击力所在,但即便如此,也还是需 ...
- Python 简单入门指北(二)
Python 简单入门指北(二) 2 函数 2.1 函数是一等公民 一等公民指的是 Python 的函数能够动态创建,能赋值给别的变量,能作为参传给函数,也能作为函数的返回值.总而言之,函数和普通变量 ...
- 超级简单的自动刷新_Excel动态透视表,刷新即可更新内容,简单方便 #职场 #办公技巧...
Excel动态透视表,刷新即可更新内容,简单方便 #职场 #办公技巧 工作中还是比较喜欢用透视表来分析数据,简单,方便,快捷,又不需要太懂函数.VBA. 但是,如果数据增加了,直接刷新的话,透视出来的 ...
- 每日一书:《性能测试从零开始loadrunner入门与提升》PDF高清版
内容简介 loadrunner是一个内涵丰富.功能强大的性能测试工具,这是许多专业人士选择它的原因.初学者面对许多的性能测试概念和loadrunner专业术语,常常感到无所适从,这是因为loadrun ...
- Git快速入门篇—— Windows版本淘宝镜像快速下载安装详细步骤及简单入门教程(附带图文教程)
Git快速入门篇-- Windows版本淘宝镜像快速下载安装详细步骤及简单入门教程(附带图文教程) 前言:我们平时在整理代码的时候,尤其是与别人一起开发项目的时候,常常涉及到代码的更新,因此代码版本问 ...
最新文章
- vivado----fpga硬件调试 (七)----数据导出并用MATLAB读取
- 第二阶段冲刺第十天,6月9日。
- Visual Event插件----查看html元素绑定的事件与方法的利器
- JS 设计模式 四(单例)
- Filesystem has errors解决办法
- ios下微信标题修改
- python ==》 内置函数
- 搭建springboot环境
- 离线部署 CDH 6.2 及使用 CDH 部署 Hadoop3 大数据平台集群服务
- 数据链路层的一些总结
- 编写一个程序,要求输入一个ASCII码值(如66),然后输入相应的字符`
- tensorflow/pytorch 设置GPU的使用
- 主流编程语言的特点分析
- 自下而上分析方法-算符优先,LR(0),SLR,LR(1),LALR大全
- CH57X/CH58X系列BLE Mesh无线组网方案
- ORA-3136错误分析——WARNING Inbound Connection Timed Out
- 程序员的回忆录(1)-起点
- 如何在SQL Server 2005中修复损坏的数据库
- 知识表示的方法(3)——状态空间表示法
- Vue css样式穿透和权重
热门文章
- C# 入门(14) 枚举器(enumerator)和迭代器(iterator)
- 苹果电容笔和普通电容笔的区别有哪些?Ipad10代平价电容笔推荐
- STM32IIC通信
- 排序之partion函数
- 使用OpenCV识别二维码
- JavaScript最具“魅惑“的知识点---this
- C++:Assignment to cast is illegal, lvalue casts are not supported
- date-fns 月助手函数
- 程序员接单必看的五个平台,最后一个赚麻了
- 服务器远程管理卡使用--自用