红蓝对抗溯源的基本思路

1. 概述

溯源整个流程我认为有三个部分。   

1. 攻击源捕获。    

2. 溯源信息   

3. 输出攻击者画像···攻击源的捕获是为了获得攻击者的ip、黑客id、手机号、邮箱等信息。···溯源信息是为了定位黑客到具体的人。

···输出攻击者画像是为了给这个人一个格式化的档案方便下次查找与信息存储。

2. 攻击源捕获

攻击源捕获主要分为以下几个方法：   

1. 安全设备报警，如EDR告警等。    

2. 日志分析，获取攻击者指纹信息与攻击方式。    

3. 服务器资源异常，如服务器上多了webshell文件或者计划任务。    

4. 蜜罐告警，获取攻击者指纹信息。    

5. 邮件钓鱼，其中一般有木马文件，通过对木马文件逆向分析获取攻击者信息。    

6. 如果直接得到攻击者ip，那么直接到溯源信息阶段，如果无法得到攻击者ip则选择上机排查。    

7. 上机排查的时候如果是linux电脑，则查看history信息还有文件修改信息，这就涉及到了linux应急响应的知识。    

8. 如果是windows电脑，就查看登录日志4625，通过logontype的类型来分辨攻击者如何登陆的机器并回推攻击方法。

logontype对照表如下：

• local WINDOWS_RDP_INTERACTIVE = “2”local WINDOWS_RDP_UNLOCK = “7”local WINDOWS_RDP_REMOTEINTERACTIVE = “10”local WINDOWS_SMB_NETWORK = “3”

得到攻击者基础信息的方式：    

1. 看恶意邮件的邮件头获取恶意域名    

2. 逆向分析恶意木马获取恶意ip或者域名    

3. 查看机器回连ip获取恶意ip地址    

4. 查看日志获取恶意ip    

5. 查看蜜罐或其他安全设备告警信息获取恶意ip    

6. 如果黑客使用近源渗透如直接用手机号打电话，则可直接得到手机号    

7. 查看webshell的编写方式有可能直接获取黑客id，因为不少黑客喜欢将自己的id设为webshell链接密码

3. 溯源信息阶段

获得攻击者真实ip或者域名之后我们进行溯源信息阶段。

第一步：针对IP或者域名通过公网已有的开放信息进行查询    

https://x.threatbook.cn/    

https://ti.qianxin.com/    

https://ti.360.cn/   

https://www.reg007.com/ #通过手机号或者邮箱获取用户注册过的网站    

https://www.venuseye.com.cn/    

https://community.riskiq.com/

第二步：定位目标    利用精确ip定位进行目标的位置定位。

第三步：收集互联网侧的用户ID    收集手机号与互联网上的各种ID信息(利用google hacking)。    

通过黑客ID进行信息收集：   

 (1) 百度信息收集：“id” （双引号为英文）   

 (2) 谷歌信息收集    

(3) src信息收集（各大src排行榜）   

 (4) 微博搜索（如果发现有微博记录，可使用tg查询weibo泄露数据）   

(5) 微信ID收集：微信进行ID搜索    

(6) 如果获得手机号（可直接搜索支付宝、社交账户等）   

 注意：获取手机号如果自己查到的信息不多，直接上报工作群（利用共享渠道对其进行二次社工）    

(7) 豆瓣/贴吧/知乎/脉脉 你能知道的所有社交平台，进行信息收集    

(8) CSDN ID，利用CSDN老用户的一个漏洞，爆破ID手机号

第四步：通过蜜罐设备指纹进行识别    

前提是我方部署了蜜罐并且攻击者踩了蜜罐且获取到攻击者的设备指纹。    

基本流程说明：    

1、我方发现了攻击者的设备指纹ID    

2、某参演单位1也部署了该厂家蜜罐，捕获到某攻击者设备指纹ID和百度ID    

3、某参演单位2也部署了该厂家蜜罐，捕获到某攻击者设备指纹ID和新浪ID    

4、某参演单位N也部署了该厂家蜜罐，捕获到某攻击者设备指纹ID和优酷ID    

5、厂家经过查询比对，将相关社交ID反馈给我方

第五步：进入跳板机进行信息收集    

如果有能力控制了红队的跳板机，则可进入跳板机进行信息收集，查看命令执行的历史记录与日志等。    

如果主机桌面没有敏感信息，可针对下列文件进行信息收集：    

last：查看登录成功日志cat ~/.bash_history ：查看操作指令    

ps -aux #查看进程    

cat /etc/passwd    

（查看是否有类似ID的用户    重点关注 uid 为500以上的登录用户    nologin为不可登录）

4. 输出攻击者画像与攻击路径    

攻击者画像模版如下：    

姓名/ID：    

攻击IP：    

地理位置：    

QQ:   

IP地址所属公司：    

是否挂代理：    

IP地址关联域名：    

邮箱：    

手机号：    

微信/微博/src/id证明：    

人物照片：    

跳板机（可选）：   

关联攻击事件：    

攻击路径模版：    

攻击目的：拿到权限、窃取数据、获取利益、DDOS等    网络代理：代理IP、跳板机、C2服务器等    攻击手法：鱼叉式邮件钓鱼、Web渗透、水坑攻击、近源渗透、社会工程等

5. 参考文章

https://www.cnblogs.com/xiaozi/p/13817637.html