溯源展开目录
目前我接触到两种手段溯源,一种是通过攻击者留下的 IP 或者域名进行溯源,另一种是通过蜜罐获取攻击者社交信息溯源,接下来分别介绍一下这两种溯源
前置条件 - 搜索引擎的使用展开目录
首先,我们必须知道搜索引擎在面对不同的搜索关键词时,获得的搜索结果也是不一致的,通常有如下特点:
- 百度搜索:中文搜索非常强大,用来搜索百度相关信息、姓名信息、学校信息等较为准确,同时有大量的高级语法,可以进一步提高搜索效率
- Bing 搜索:虽然搜索结果可能不如百度多,但是作为一个合法途径使用国际版的搜索引擎来说也是相当重要的,Bing 的虽然搜索结果较少,但是准确度上较百度高一点
- 搜狗搜索:该搜索引擎可以搜索微信中的相关信息,如果需要获取微信中的相关信息,可以使用
- Google 搜索:搜索结果更全面,准确的更高,但是难以访问,且高级语法较少
学会合理的使用各类搜索引擎的快照功能,或者互联网档案网站
IP & 域名溯源
在某些情况下,攻击者可能会留下自己使用的 IP 或者域名,通常用于下载恶意代码、反向代理等,在获取到攻击者所使用的 IP 或域名后我通常会采用以下办法溯源:
IP
- 通过威胁情报查询,可能会获取到 IP 的定位、运营商、解析的域名
- Nmap 全端口扫描该 IP 所开放的端口,对提供服务的端口进行漏洞扫描,尝试拿下攻击服务器
- 使用网络资产测绘引擎搜索攻击溯源 IP,获取该 IP 提供的服务
- 查询该 IP 的精确定位数据
- 对该 IP 上提供的服务进行 Dos 攻击,防止继续进行攻击
大部分的攻击者会使用 VPS 进行代理转发,或者直接使用 VPS 进行攻击,可以向该 VPS 提供商提交工单,说明该 IP 的攻击行为,服务提供商可能会禁止该 IP 的攻击行为,或者封禁该攻击者账户
域名
- 通过 Whois 查询,获得邮箱、姓名
- 在工信部 ICP 查询域名备案信息
- 查询该域名的历史 Whois 信息
在搜索引擎中搜索该域名,可能会发现攻击者的其他账号信息
蜜罐溯源
在现代浏览器中,同源策略是保证用户访问安全的核心,所以为了允许跨域请求,诞生了 JOSNP。在 HTML 中,
script标签的src属性不受同源策略的影响,所以通过script引用一个不同域名的 JavaScript 文件来实现跨域请求,这就是 JSONP。蜜罐获取社交信息也基于此原理。
蜜罐通过 JSONP 实现获取社交信息相对来说比较困难,一般需要满足以下两个条件:
- 需要获取的第三方网站允许跨域,且跨域信息中包含敏感信息
- 攻击者登录过第三方网站,且未退出登录
通过蜜罐获取到社交信息后,我一般会通过以下几个方面入手:
QQ 号展开目录
- 获取的信息为 QQ 号,通过 QQ 号大额转账实现获取 QQ 号绑定银行卡的个人信息,基本可以实现获取姓和名中的一个字
- 在百度贴吧等论坛中搜索该 QQ 号或者 QQ 号所属邮箱,可能会获取百度贴吧账号
- 使用 Whois 反查 QQ 邮箱,可能会获取姓名或域名
- 在微信中搜索该 QQ 号,可能会获得该攻击者微信账号
使用小号添加该 QQ,尝试通过社工手段套取更多信息(建立在获取大量个人信息的情况)
手机号
- 在支付宝中向该账号转账,尝试获取手机号对应的真实用户姓名
- 在微信中搜索该手机号,尝试获取微信账号
- 在钉钉上搜索该手机号,可能会获得部分真实姓名和工作单位
- 通过搜索引擎搜索该手机号,可能会获得其他账号信息
查询该手机号注册过的网站信息
贴吧账号
- 使用贴吧工具箱获得该账号主页和发帖内容
查看发帖内容,或许能够找到 QQ 号、手机号、邮箱、大致的年龄、姓名等
社工库
在我看来,社工库更多用于交叉验证,并非直接获取数据的一种途径,所以应该在获取到足够多的信息后再与社工库比较,以证实真实信息
其他账号信息
- 搜索 QQ 昵称、微信昵称、支付宝昵称、贴吧昵称等信息,可能会获得其他平台的信息,如:微博、知乎、GitHub 以及其他论坛和 SNS 社区
详细查看账号中的信息,以提取更多有用信息,如:姓名、性别、年龄、住址、工作单位、就读学校等
学校
- 如果获取到学校信息和姓名,可以在搜索引擎中获取该攻击者的专业信息、班级、入学时间、毕业时间、学号等
- 可以通过该学校贴吧、QQ 群询问等,获取更多个人信息
硕士及以上学位,可以通过知网搜索论文,确认研究方向
邮箱
查询该邮箱注册过的网站信息
其余待补充
《溯源流程》链接:https://xdym11235.com/archives/51.html
具体版权规定详见侧栏版权说明页面
