HW｜藍隊實戰溯源反制手冊分享

前兩天登陸了一下防守方報告提交平臺，看了一下提交報告模版並整理給下面各子公司方便整理上報(畢竟只能上報50個事件，還要整合篩選)，發現比去年最大的區別就是追蹤溯源類提交及分數的變化。

描述	完整還原攻擊鏈條，溯源到黑客的虛擬身份、真實身份，溯源到攻擊隊員，反控攻擊方主機根據程度階梯給分。
加分規則	描述詳細/思路清晰，提交確鑿證據報告，根據溯源攻擊者虛擬身份、真實身份的程度，500-3000分，反控攻擊方主機，再增長500分/次。

粗略的總結了一下規則裏所謂的描述詳細/思路清晰、虛擬身份、真實身份等細節的一個模版，並舉例給你們參考。

溯源結果以下：

姓名/ID：

攻擊IP：

地理位置：

QQ:

IP地址所屬公司：

IP地址關聯域名：

郵箱：

手機號：

微信/微博/src/id證實：

人物照片：

跳板機（可選）：

關聯攻擊事件：

（ps：以上爲最理想結果狀況，溯源到名字公司加分最高）

咱們拿到的數據：

web攻擊事件-11
攻擊時間: 2020-08-17 09:09:99
攻擊IP : 49.70.0.xxx
預警平臺：天眼/綠盟/ibm/長亭waf

攻擊類型: 植入後門文件
處置方式: 封禁需溯源
目標域名: 10.0.0.1
www.baidu.com

流·程

一、針對IP經過開源情報+開放端口分析查詢

可利用網站：

https://x.threatbook.cn/（主要）

https://ti.qianxin.com/

https://ti.360.cn/

https://www.venuseye.com.cn/

https://community.riskiq.com/

主要關注點

域名：可針對其進行whois反查

查詢備案信息：http://whoissoft.com/

端口：可查看開放服務進行進一步利用

可考慮使用masscan快速查看開放端口：

masscan -p 1-65535 ip --rate=500

再經過nmap 對開放端口進行識別

nmap -p 3389,3306,6378 -Pn IP

端口對應漏洞：

https://blog.csdn.net/nex1less/article/details/107716599

二、查詢定位

經過蜜罐等設備獲取真實IP，對IP進行定位，可定位具體位置。

定位IP網站：

https://www.opengps.cn/Data/IP/ipplus.aspx

三、獲得經常使用ID信息收集：

(1) 百度信息收集：「id」 （雙引號爲英文）

(2) 谷歌信息收集

(3) src信息收集（各大src排行榜，若是有名次交給我套路）

(4) 微博搜索（若是發現有微博記錄，可以使用tg查詢weibo泄露數據）

(5) 微信ID收集：微信進行ID搜索（直接發釘釘羣一塊兒查）

(6) 若是得到手機號（可直接搜索支付寶、社交帳戶等）

注意：獲取手機號若是本身查到的信息很少，直接上報釘釘羣（利用共享渠道對其進行二次社工）

(7) 豆瓣/貼吧/知乎/脈脈 你能知道的全部社交平臺，進行信息收集

四、預警設備信息取證：

上方數據一無所得，可考慮對其發起攻擊的行爲進行篩查，嘗試判斷其是否有指紋特徵。

如上傳webshell : 

http://www.xxx.com/upload/puppy.jsp

可針對：puppy暱稱進行信息收集。

五、跳板機信息收集（觸發）：

進入紅隊跳板機查詢相關信息

若是主機桌面沒有敏感信息，可針對下列文件進行信息收集

last：查看登陸成功日誌

cat ~/.bash_history  ：查看操做指令

ps -aux  #查看進程

cat /etc/passwd

查看是否有相似ID的用戶

重點關注 uid 爲500以上的登陸用戶

nologin爲不可登陸

注意：手機號、暱稱ID均爲重點數據，如查不到太多信息，直接上報指揮部。

歡迎關注玄魂工做室

本文分享自微信公衆號 - 玄魂工做室（xuanhun521）。
若有侵權，請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」，歡迎正在閱讀的你也加入，一塊兒分享。