溯源

目前我接触到两种手段溯源，一种是通过攻击者留下的IP或者域名进行溯源，另一种是通过蜜罐获取攻击者社交信息溯源，接下来分别介绍一下这两种溯源

前置条件-搜索引擎的使用

首先，我们必须知道搜索引擎在面对不同的搜索关键词时，获得的搜索结果也是不一致的，通常有如下特点：

1. 百度搜索：中文搜索非常强大，用来搜索百度相关信息、姓名信息、学校信息等较为准确，同时有大量的高级语法，可以进一步提高搜索效率
2. Bing搜索：虽然搜索结果可能不如百度多，但是作为一个合法途径使用国际版的搜索引擎来说也是相当重要的，Bing的虽然搜索结果较少，但是准确度上较百度高一点
3. 搜狗搜索：该搜索引擎可以搜索微信中的相关信息，如果需要获取微信中的相关信息，可以使用
4. Google搜索：搜索结果更全面，准确的更高，但是难以访问，且高级语法较少

5. 学会合理的使用各类搜索引擎的快照功能，或者互联网档案网站

   IP&域名溯源

   在某些情况下，攻击者可能会留下自己使用的IP或者域名，通常用于下载恶意代码、反向代理等，在获取到攻击者所使用的IP或域名后我通常会采用以下办法溯源：

   IP

6. 通过威胁情报查询，可能会获取到IP的定位、运营商、解析的域名
7. Nmap全端口扫描该IP所开放的端口，对提供服务的端口进行漏洞扫描，尝试拿下攻击服务器
8. 使用网络资产测绘引擎搜索攻击溯源IP，获取该IP提供的服务
9. 查询该IP的精确定位数据
10. 对该IP上提供的服务进行Dos攻击，防止继续进行攻击

11. 大部分的攻击者会使用VPS进行代理转发，或者直接使用VPS进行攻击，可以向该VPS提供商提交工单，说明该IP的攻击行为，服务提供商可能会禁止该IP的攻击行为，或者封禁该攻击者账户

    域名

12. 通过Whois查询，获得邮箱、姓名
13. 在工信部ICP查询域名备案信息
14. 查询该域名的历史Whois信息

15. 在搜索引擎中搜索该域名，可能会发现攻击者的其他账号信息

    蜜罐溯源

    在现代浏览器中，同源策略是保证用户访问安全的核心，所以为了允许跨域请求，诞生了JOSNP。在HTML中，script标签的src属性不受同源策略的影响，所以通过script引用一个不同域名的JavaScript文件来实现跨域请求，这就是JSONP。蜜罐获取社交信息也基于此原理。

蜜罐通过JSONP实现获取社交信息相对来说比较困难，一般需要满足以下两个条件：

1. 需要获取的第三方网站允许跨域，且跨域信息中包含敏感信息
2. 攻击者登录过第三方网站，且未退出登录

通过蜜罐获取到社交信息后，我一般会通过以下几个方面入手：

QQ号

1. 获取的信息为QQ号，通过QQ号大额转账实现获取QQ号绑定银行卡的个人信息，基本可以实现获取姓和名中的一个字
2. 在百度贴吧等论坛中搜索该QQ号或者QQ号所属邮箱，可能会获取百度贴吧账号
3. 使用Whois反查QQ邮箱，可能会获取姓名或域名
4. 在微信中搜索该QQ号，可能会获得该攻击者微信账号

5. 使用小号添加该QQ，尝试通过社工手段套取更多信息（建立在获取大量个人信息的情况）

   手机号

6. 在支付宝中向该账号转账，尝试获取手机号对应的真实用户姓名
7. 在微信中搜索该手机号，尝试获取微信账号
8. 在钉钉上搜索该手机号，可能会获得部分真实姓名和工作单位
9. 通过搜索引擎搜索该手机号，可能会获得其他账号信息

10. 查询该手机号注册过的网站信息

    贴吧账号

11. 使用贴吧工具箱获得该账号主页和发帖内容

12. 查看发帖内容，或许能够找到QQ号、手机号、邮箱、大致的年龄、姓名等

    社工库

    在我看来，社工库更多用于交叉验证，并非直接获取数据的一种途径，所以应该在获取到足够多的信息后再与社工库比较，以证实真实信息

    其他账号信息

13. 搜索QQ昵称、微信昵称、支付宝昵称、贴吧昵称等信息，可能会获得其他平台的信息，如：微博、知乎、GitHub以及其他论坛和SNS社区

14. 详细查看账号中的信息，以提取更多有用信息，如：姓名、性别、年龄、住址、工作单位、就读学校等

    学校

15. 如果获取到学校信息和姓名，可以在搜索引擎中获取该攻击者的专业信息、班级、入学时间、毕业时间、学号等
16. 可以通过该学校贴吧、QQ群询问等，获取更多个人信息

17. 硕士及以上学位，可以通过知网搜索论文，确认研究方向

    邮箱

18. 查询该邮箱注册过的网站信息

    其余待补充

《溯源流程》链接：https://xdym11235.com/archives/51.html
具体版权规定详见侧栏版权说明页面