攻击溯源

攻击溯源

常规溯源分析思路

朔源

• 木马样本分析
  • 静态逆向分析--IDA、OllyDbg
  • 动态分析--抓包、DNS嗅探、内存截取
• 日志分析
  • web访问--webshell首次访问IP
  • 登陆记录--windows&linux认证记录
• 确认是否为跳板
  • nmap -sV -PN -sT -p- 10.1.2.3 (-sU(UDP)、-sS(SYN))
• 反入侵追踪
• 通过相关司法程序

追踪黑客

• 攻击软件所在目录
• 浏览器历史记录
• 社工库获取个人信息
• Google it

获取信息--渠道

• 社工 findmima
• 手机号查询
• IP2ADDR

IP定位及邮件朔源

whois

• http://whois.chinaz.com

域名历史解析

• https://viewdns.info/iphistory/

IP历史绑定

• https://site.ip138.com

  

威胁情报平台

• https://x.threatbook.com/

样本库

• https://www.virustotal.com/gui/home/upload

IP所属机房

• https://bgp.he.net/
• 直接能查到ip所属机房或运营商的AS号

IP定位

• https://chaipip.com/

• https://www.ipaddress.com/reverse-ip-lookup

知识点

• 域名注册商godaddy.com可匿名注册，信息不一定可靠
• 域名失效问题：通过搜索引擎快照或者缓存网站查找信息
• http://web.archive.org/web/

邮件溯源

• 邮件路由信息从下往上（Received）进行传送
• 网页版可能不带原始客户端IP（X-Originating-IP)
• 邮件头会包含邮件客户端信息（X-Mailer）

邮件头分析工具

• https://www.ip-address.org/tracker/trace-email.php

社会工程学应用

个人信息

• 账号信息：ID、手机号、邮箱、常用密码
• 社交平台
• 居住地、日常活动、家庭信息
• 个人简历、学历、身份证号
• 银行卡号
• 道德品质

社交平台

• 新浪微博、微信朋友圈、qq空间、腾讯微博、百度贴吧、各种论坛
• Facebook、Twitter、instagram、Gmail环聊
• Github
• 博客

社工库

。。。。。。。

个人信息社工

• QQ群关系
• 冒充小号加群
• 或得其好友、亲友信息

邮箱/手机号注册过哪些网站

• http://www.reg007.com
• http://www.zhaohuini.com
• 通过渠道获取到相关注册站注册信息

身份比对与确认

• 密码找回功能，匹配id与邮箱，手机号