溯源(六)之溯源的方法
溯源(一)之溯源的概念与意义
溯源(二)之 windows-还原攻击路径
溯源(三)之Linux-入侵排查
溯源(四)之流量分析-Wireshark使用
溯源(五)之攻击源的获取
溯源的方法
社交账号
手机号我们可已通过社工库或者是社工机器人去得到,我们可以在社工库中通过对方的支付宝,微信或者是qq号查到对方的手机号,社工库就是一个暴露在互联网上的大量铭感信息泄露平台,比如前一段时间很出名的学习通信息泄露事件,直接导致了我们可以直接查找到很多泄露的铭感信息,在我们溯源的过程中,去使用社工库,也可以同样去获得攻击者的身份信息
攻击者身份的溯源最开始讲究的是一个对攻击者身份的刻画,假如我们的到了攻击者的电话号码,那是不是就可以通过对方手机号码去搜索手机号关联的支付宝,或者是微信账号等等一系列社交app去查看收集进一步攻击者的身份信息,比如姓名,年龄,毕业学校,头像,照片等等
假如对方是虚拟id,我们同样可以根据虚拟id去查找对方的身份,大部分人在互联网上都经常使用同样的id,举个列子,假如我在CSDN的账号叫张三,那我在博客园的账号也很有可能就叫作张三,我们可以通过这个具有标识性的id去搜索攻击者在互联网中留下的痕迹,抖音、百度贴吧、哔哩哔哩、github啊等等你能想到的一切正常人常用的工具都可能收集到攻击者的账号和信息
假如我们在攻击溯源中得到了对方的IP,又通过对方的IP反查到了对方的域名,那我们是不是就可以直接通过whois查询直接得到对方的手机号,注册资产等等大量的注册网站的信息,这些信息很可能包含了对方的手机号,邮箱信息等
威胁情报平台
下面给大家提供一些常用的威胁情报平台
https://www.secpulse.com/archives/173479.html
https://www.virustotal.com/ //VirusTotal
https://x.threatbook.cn/ //微步在线-微步情报社区
https://ti.qianxin.com/ //奇安信威胁情报
https://ti.360.net/ //360威胁情报中心
https://www.venuseye.com.cn/ //启明星辰威胁情报
https://redqueen.tj-un.com //天际友盟REDQUEE安全智能服务平台
我们这里拿微步在线-微步情报社区作为列子
我们这里通过对方的域名可以查到很多关联的信息
还可以直接得到对方的相关的木马文件,我们可以下载这些木马文件去进一步分析,逆向,通过沙箱等等进一步手机信息
IP定位
在我们得到了对方的IP后,如果我们需要获得攻击者更多的信息,我们可以去使用以下这些平台
https://www.chaipip.com/ 高精度IP地址查询-查IP
https://www.opengps.cn/Data/IP/ipplus.aspx 高精度IP定位
https://www.ipip.net/ip.html ip反查
http://ip.yqie.com/ ip地址反向查询
http://qd.yyimg.com/act/index/id/ 百度ID反查
https://www.reg007.com/ 注册网站反查
https://ip.rtbasia.com/ tbasia(IP查询)
https://www.ipplus360.com/ ipplus360(IP查询)
https://tool.lu/ip/ IP地址查询在线工具
假如我们想要知道对方攻击者的地理位置,我们可以通过IP定位去查询
这些网站可以查询的信息有很多,通过下图中可以看到,大家就自己去使用多熟悉熟悉吧,当然我这里所讲的IP定位技术只是最基础的查找,深入点的比如三角定位啊,WiFi定位等等一系列定位技术我这边就不深入讲了,大家自己去多多使用了解吧
恶意样本
我这里给大家提供一些在线云沙箱的地址
我们可以通过向这些平台上传文件来确定这是不是一个恶意文件,同时也可以得到很多的信息,如果这个文件是一个远控的恶意木马,那我们就会得到一个c2地址,c2地址如果是一个反向连接的IP地址,那我们是不是可以对这个c2地址做一个溯源
https://ata.360.cn/detection 360沙箱云
https://s.threatbook.cn/ 微步云沙箱
https://www.virustotal.com/gui/home/upload VirusTotal平台
https://www.maldun.com/submit/submit_file/ 魔盾安全分析平台
https://app.any.run/ Any.Run交互式恶意软件分析平
https://habo.qq.com/ 腾讯哈勃系统
https://mac-cloud.riskivy.com FreeBuf × 漏洞盒子「大圣云沙箱
溯源案列
只给大家干将这些方法当然是没用的,往往你在实际溯源的环境中反查到了对方的IP就断了思路了,就不知道怎么做了,这些技术单个拿出来,好像很简单,但是溯源是一套成体系化的流程,实际过程中会碰到很多难点,培养溯源的思路很重要,所以我这里给大家提供一些溯源的案列来帮助大家学习溯源
HW防守 | 溯源案例之百度ID层层拨茧
2022实战 | 记一次Everything服务引发的蓝队溯源
防守日记|一封钓鱼邮件,竟意外揪出境外著名黑产组织
【真实案例】记一次钓鱼邮件的处置
从溯源中学到新姿势
记一次反制追踪溯本求源
学习溯源这几篇文章一定要看,通过学习他人溯源的一个思路,在实际溯源过程中,才有可能知道什么时候该干什么,通过学习他人的思路去建立起一个自己的溯源思路
应急响应工具集合
https://github.com/ffffffff0x/1earn/blob/master/1earn/Security/BlueTeam/%E5%BA%94%E6%80%A5.md
溯源(六)之溯源的方法相关推荐
- 溯源简单入门——如何提升溯源技巧与溯源的方法的多样性
今天收到老师发来的一个文件<溯源手册>能快速上手在实战中运用,也可以充当字典使用. 技巧篇 通常情况下,接到溯源任务时,获得的信息如下 列表项目 攻击时间 攻击 IP 预警平台 攻击类型 ...
- 2023Track Tech防伪溯源技术展 | 防伪溯源 | 智慧包装 | 安全印刷
展会名称: 2023Track Tech防伪溯源技术展 | 防伪溯源 | 智慧包装 | 安全印刷 举办时间:2023年5月17-18日 举办地点: 北京 国家会议中心 主办单位: 中国国际科技促进会证 ...
- 2023Track Tech防伪溯源技术展| 防伪溯源 | 智慧包装 | 安全印刷
展会名称:2023Track Tech防伪溯源技术展| 防伪溯源 | 智慧包装 | 安全印刷 举办时间:2023年5月17-18日 举办地点: 北京国家会议中心 主办单位: 中国国际科技促进会证卡票签 ...
- 药品区块链溯源:解决溯源痛点 实现药品风控管理
药品溯源行业长久存在电子监管码的管理权限痛点,而区块链凭借自身的去中心化.防伪造.防篡改的特性解决了这一问题,从药品生产源头到流通环节将监管码赋码,真正实现穿透式监管并以此建立新一代的信任体系. 对于 ...
- 张驰课堂:企业如何利用六西格玛设计DFSS方法研发新产品
六西格玛设计DFSS作为六西格玛管理核心方法系统之一,六西格玛设计DFSS的应用绝不仅仅局限于对现有业务流程的再造,而且还广泛应用于新的产品或服务流程的设计,它是六西格玛管理战略实施的最高境界.作为一 ...
- 软件工程学习笔记——第六章 软件设计方法
目录 第一章 概述 第二章 过程和活动 第三章 软件过程模型 第四章 问题定义和可行性研究方法 第五章 需求分析方法-1 第五章 需求分析方法-2 第六章 软件设计方法 第七章 软件实施与测试方法 第 ...
- 区块链溯源:如何确保溯源信息的准确性
作者:禅与计算机程序设计艺术 <区块链溯源:如何确保溯源信息的准确性> 1. 引言 1.1. 背景介绍 随着互联网的飞速发展,食品安全.药品安全.环境保护等问题引起了广泛关注.为了保证食品 ...
- CUDA(六). 从并行排序方法理解并行化思维——冒泡、归并、双调排序的GPU实现
在第五讲中我们学习了GPU三个重要的基础并行算法: Reduce, Scan 和 Histogram,分析了 其作用与串并行实现方法. 在第六讲中,本文以冒泡排序 Bubble Sort.归并排序 M ...
- 源中瑞区块链溯源系统,溯源行业生态信息化解决方案
每年的6.18年中大促,各大电商平台都会掀起一阵促销活动热潮,可谓是年中网购的一大盛世."618"购物节,和"双十一"遥相呼应,一个在仲夏一个在初冬.这时,商家 ...
- 区块链溯源系统对传统溯源的影响
区块链技术在世界各地.各领域的应用越来越多,人们对于这项新兴技术的发展潜力也愈加看好.不管是在金融领域还是在娱乐游戏领域,区块链总能掀起市场需求的波澜.而在商品溯源领域,区块链同样是被寄予厚望. 区块 ...
最新文章
- 框架警察 fxcop 的规则莫名其妙
- Oracle的NVL函数
- java 定时器代码_Java定时器代码的编写
- java加法器_javacc例子:加法器
- 进程隐藏与进程保护(SSDT Hook 实现)(二)
- HTML页面代码移动端和pc兼容,pc端网站如何实现移动端适配?
- 实现文件拖放的一种简洁方法
- Visual Assist X 10.8.2042.0破解版安装tishi
- 云集CEO肖尚略直播首秀,4小时带货5150万元
- pytest测试框架(二)---fixture介绍
- Win7主题文件themepack不能安装,低级错误!
- 电视机与计算机共享,使用MiShare实现一键共享电脑中的图片视频到电视机上观看...
- 数据错误循环冗余检查是什么意思_德尔西曼.交换机是一种什么设备?通过什么方式进行交换?...
- Oracle05:什么是OCP认证
- H3CR4900G3服务器的创建Raid
- oracle ora00940,ORA-32773问题的解决方法。
- STM32开发笔记103: 24位模数转换芯片ADS1258使用方法(概述)
- i.MX8MPlus中的CLK子系统
- Memcached快递上手之C#
- 算是入行 ISP 了吧