2021HW之蓝队溯源手册
2021年HW预计4月份开始,目前红蓝双方正处于招兵买马阶段,现对蓝队溯源手段做一下梳理,供各位同学参考。
去年HW中蓝队通过溯源得分,需要完整得还原攻击链条,溯源到攻击者的虚拟身份、真实身份,溯源到攻击队员,甚至反控攻击方主机,并根据程度阶梯给分。
溯源报告需要提交得要素如下:
姓名/ID:
攻击IP:
地理位置:
QQ:
IP地址所属公司:
IP地址关联域名:
邮箱:
手机号:
微信/微博/src/id证明:
人物照片:
跳板机(可选):
关联攻击事件:
通过梳理,攻击溯源的技术手段,主要包括ip定位、ID定位与攻击者定位。
通过ip可定位攻击者所在位置,以及通过ip反查域名等手段,查询域名的注册信息,域名注册人及邮箱等信息。
通过ID定位可获取攻击者常用的网络ID,查询攻击者使用同类ID注册过的微博或者博客、论坛等网站,通过对网络ID注册以及使用情况的查询,定位攻击者所在公司、手机号、邮箱、QQ等信息。
或通过其他手段定位攻击者,如反制攻击者vps,获取攻击者vps中的敏感信息、反钓鱼、恶意程序分析溯源等手段。
通过对手机号码定位,一是通过添加某信好友查看头像、昵称、城市等;二是通过添加某宝,可以查看其部分实名信息、头像、城市、动态等;三是可以假装送外卖、送快递的,询问是不是某人,某地址等,进一步核实信息。
通过对邮箱定位,一是通过添加某宝,查看其部分实名信息、头像、城市、动态等(可以未通过邮箱主持);二是发送钓鱼邮件,控制邮箱或者掌握IP地址。
过程中若掌握攻击者的照片,可以通过百度、google等以图搜图的方式关联攻击者其他图片信息。
一、ip定位技术
通过安全设备或其他技术手段抓取攻击者的IP,对IP进行定位,查询此IP为IDC的IP、CDN的IP还是普通运营商的出口IP,通过IP反查可能会查询到攻击者使用的web域名、注册人、邮箱等信息。一般常用的IP查询工具及开源情报、开放端口分析查询工具如下:
1、IP定位工具
高精度IP定位:https://www.opengps.cn/Data/IP/LocHighAcc.aspx
rtbasia(IP查询):https://ip.rtbasia.com/
ipplus360(IP查询):http://www.ipplus360.com/ip/
IP信息查询:https://www.ipip.net/ip.html/
IP地址查询在线工具:https://tool.lu/ip/
2、威胁情报工具
微步在线:https://x.threatbook.cn/
奇安信:https://ti.qianxin.com/
360:https://ti.360.cn/
https://www.venuseye.com.cn/
https://community.riskiq.com/
https://www.zoomeye.org/
https://www.shodan.io/
当发现某些IP的攻击后,可以尝试通过此IP去溯源攻击者,具体实现过程如下:
首先通过ipip.net网站或者其他接口,查询此IP为IDC的IP、CDN的IP还是普通运营商的出口IP。
如果IP反查到域名就可以去站长之家或者whois.domaintools.com等网站去查询域名的注册信息。
通过收集到的这些信息,就比较容易定位到人。
在通过IP定位技术溯源过程,应注意以下情况:
假如IP反查到的域名过多,考虑就是CDN了,就没必要继续去查了。
假如是普通运营商的出口IP只能使用一些高精度IP定位工具粗略估计攻击者的地址,如果需要具体定位到人,则需要更多的信息。
二、ID追踪技术
在通过IP定位后技术追踪攻击者,可通过指纹库、社工库等或其他技术手段抓取到攻击者的微博账号、百度ID等信息,一般通过以下技术手段实现:
进行QQ等同名方式去搜索、进行论坛等同名方式搜索、社工库匹配等。
如ID是邮箱,则通过社工库匹配密码、以往注册信息等。
如ID是手机号,则通过手机号搜索相关注册信息,以及手机号使用者姓名等。
例如,当通过ID追踪技术手段定位到某攻击者的QQ号、QQ网名等信息,通过专业社工库可以进一步追踪攻击者使用的QQ号注册过的其它网络ID,从而获取更多攻击者信息,从而确定攻击者的真实身份。
三、攻击程序分析
攻击者如果在攻击过程中对攻击目标上传攻击程序(如钓鱼软件),可通过对攻击者上传的恶意程序进行分析,并结合IP定位、ID追踪等技术手段对攻击进行分析溯源,常用的恶意程序分析网站有:
Ø 微步在线云沙箱:https://s.threatbook.cn/
Ø Virustotal:https://www.virustotal.com/gui/home/upload
Ø 火眼(https://fireeye.ijinshan.com)
Ø Anubis(http://anubis.iseclab.org)
Ø joe(http://www.joesecurity.org)
四、蜜罐
蜜罐技术为网络安全中的一种入侵诱饵,目的是引诱黑客前来攻击,并收集黑客相关的证据和信息。
蜜罐溯源实战案例参考:
https://www.freebuf.com/articles/web/246060.html