MENU

溯源流程

April 22, 2021 • Read: 69 • 常山阅读设置

溯源

目前我接触到两种手段溯源,一种是通过攻击者留下的IP或者域名进行溯源,另一种是通过蜜罐获取攻击者社交信息溯源,接下来分别介绍一下这两种溯源

前置条件-搜索引擎的使用

首先,我们必须知道搜索引擎在面对不同的搜索关键词时,获得的搜索结果也是不一致的,通常有如下特点:

  1. 百度搜索:中文搜索非常强大,用来搜索百度相关信息、姓名信息、学校信息等较为准确,同时有大量的高级语法,可以进一步提高搜索效率
  2. Bing搜索:虽然搜索结果可能不如百度多,但是作为一个合法途径使用国际版的搜索引擎来说也是相当重要的,Bing的虽然搜索结果较少,但是准确度上较百度高一点
  3. 搜狗搜索:该搜索引擎可以搜索微信中的相关信息,如果需要获取微信中的相关信息,可以使用
  4. Google搜索:搜索结果更全面,准确的更高,但是难以访问,且高级语法较少
  5. 学会合理的使用各类搜索引擎的快照功能,或者互联网档案网站

IP&域名溯源

在某些情况下,攻击者可能会留下自己使用的IP或者域名,通常用于下载恶意代码、反向代理等,在获取到攻击者所使用的IP或域名后我通常会采用以下办法溯源:

IP

  1. 通过威胁情报查询,可能会获取到IP的定位、运营商、解析的域名
  2. Nmap全端口扫描该IP所开放的端口,对提供服务的端口进行漏洞扫描,尝试拿下攻击服务器
  3. 使用网络资产测绘引擎搜索攻击溯源IP,获取该IP提供的服务
  4. 查询该IP的精确定位数据
  5. 对该IP上提供的服务进行Dos攻击,防止继续进行攻击
  6. 大部分的攻击者会使用VPS进行代理转发,或者直接使用VPS进行攻击,可以向该VPS提供商提交工单,说明该IP的攻击行为,服务提供商可能会禁止该IP的攻击行为,或者封禁该攻击者账户

域名

  1. 通过Whois查询,获得邮箱、姓名
  2. 在工信部ICP查询域名备案信息
  3. 查询该域名的历史Whois信息
  4. 在搜索引擎中搜索该域名,可能会发现攻击者的其他账号信息

蜜罐溯源

在现代浏览器中,同源策略是保证用户访问安全的核心,所以为了允许跨域请求,诞生了JOSNP。在HTML中,script标签的src属性不受同源策略的影响,所以通过script引用一个不同域名的JavaScript文件来实现跨域请求,这就是JSONP。蜜罐获取社交信息也基于此原理。

蜜罐通过JSONP实现获取社交信息相对来说比较困难,一般需要满足以下两个条件:

  1. 需要获取的第三方网站允许跨域,且跨域信息中包含敏感信息
  2. 攻击者登录过第三方网站,且未退出登录

通过蜜罐获取到社交信息后,我一般会通过以下几个方面入手:

QQ号

  1. 获取的信息为QQ号,通过QQ号大额转账实现获取QQ号绑定银行卡的个人信息,基本可以实现获取姓和名中的一个字
  2. 在百度贴吧等论坛中搜索该QQ号或者QQ号所属邮箱,可能会获取百度贴吧账号
  3. 使用Whois反查QQ邮箱,可能会获取姓名或域名
  4. 在微信中搜索该QQ号,可能会获得该攻击者微信账号
  5. 使用小号添加该QQ,尝试通过社工手段套取更多信息(建立在获取大量个人信息的情况)

手机号

  1. 在支付宝中向该账号转账,尝试获取手机号对应的真实用户姓名
  2. 在微信中搜索该手机号,尝试获取微信账号
  3. 在钉钉上搜索该手机号,可能会获得部分真实姓名和工作单位
  4. 通过搜索引擎搜索该手机号,可能会获得其他账号信息
  5. 查询该手机号注册过的网站信息

贴吧账号

  1. 使用贴吧工具箱获得该账号主页和发帖内容
  2. 查看发帖内容,或许能够找到QQ号、手机号、邮箱、大致的年龄、姓名等

社工库

在我看来,社工库更多用于交叉验证,并非直接获取数据的一种途径,所以应该在获取到足够多的信息后再与社工库比较,以证实真实信息

其他账号信息

  1. 搜索QQ昵称、微信昵称、支付宝昵称、贴吧昵称等信息,可能会获得其他平台的信息,如:微博、知乎、GitHub以及其他论坛和SNS社区
  2. 详细查看账号中的信息,以提取更多有用信息,如:姓名、性别、年龄、住址、工作单位、就读学校等

学校

  1. 如果获取到学校信息和姓名,可以在搜索引擎中获取该攻击者的专业信息、班级、入学时间、毕业时间、学号等
  2. 可以通过该学校贴吧、QQ群询问等,获取更多个人信息
  3. 硕士及以上学位,可以通过知网搜索论文,确认研究方向

邮箱

  1. 查询该邮箱注册过的网站信息

其余待补充

Last Modified: August 16, 2021
Archives QR Code Tip
QR Code for this page
Tipping QR Code