[TOC] # 溯源思路 **没有进攻和威胁的被动防守，是注定失败的** ## 攻击源捕获 * ​安全设备报警，如扫描IP、威胁阻断、病毒木马、入侵事件等 * ​日志与流量分析，异常的通讯流量、攻击源与攻击目标等 * ​服务器资源异常，异常的文件、账号、进程、端口，启动项、计划任务和服务等 * ​邮件钓鱼，获取恶意文件样本、钓鱼网站URL等 * ​蜜罐系统，获取攻击者行为、意图的86799iukhjgkgbv相关信息 ## 溯源反制手段 ### IP定位技术 根据IP定位物理地址—代理IP ​溯源案例：通过IP端口扫描，反向渗透服务器进行分析，最终定位到攻击者相关信息 ### ID追踪术 ​ID追踪术，搜索引擎、社交平台、技术论坛、社工库匹配 ​溯源案例：利用ID从技术论坛追溯邮箱，继续通过邮箱反追踪真实姓名，通过姓名找到相关简历信息 ### 网站url 域名Whois查询—注册人姓名、地址、电话和邮箱。—域名隐私保护 ​溯源案例：通过攻击IP历史解析记录/域名，对域名注册信息进行溯源分析 ### 恶意样本 ​提取样本特征、用户名、ID、邮箱、C2服务器等信息—同源分析 ​溯源案例：样本分析过程中，发现攻击者的个人ID和QQ，成功定位到攻击者。 ### 社交账号 基于JSONP跨域，获取攻击者的主机信息、浏览器信息、真实 IP及社交信息等 ​利用条件：可以找到相关社交网站的jsonp接口泄露敏感信息，相关网站登录未注销 ## 攻击者画像 ### 攻击路径 攻击目的：拿到权限、窃取数据、获取利益、DDOS等 ​网络代理：代理IP、跳板机、C2服务器等 ​攻击手法：鱼叉式邮件钓鱼、Web渗透、水坑攻击、近源渗透、社会工程等 ### 攻击者身份画像 ​ 虚拟身份：ID、昵称、网名 ​ 真实身份：姓名、物理位置 ​ 联系方式：手机号、qq/微信、邮箱 ​ 组织情况：单位名称、职位信息 ## 思路总结 1.首先通过系统日志、安全设备截获攻击包等从中分析出攻击者的ip和攻击方式 2.通过webshell或者木马去微步分析，或者去安恒威胁情报中心进行ip检测分析，是不是云服务器，基站等， 3.如果是云服务器的话可以直接反渗透，看看开放端口，域名，whois等进行判断，获取姓名电话等丢社工库看看能不能找到更多信息然后收工 4.获取到攻击IP后，先试用IP反查，查询此IP是否存在邮箱，手机信息泄露之类的，通过邮箱，手机号去获取攻击者信息。在获取到手机号，邮箱的情况下，使用各种社交软件，攻击者可能使用的手机号，邮箱就是自己正在使用的，因此购物平台搜索是否存在此用户。最终还原出攻击者身份画像，找到攻击者姓名、物理位置、家庭住址、手机号、单位名称、职位信息。 ## rdns ~~~ http://www.ipip.net/ip.html ~~~ ## 备案信息查询 ~~~ ipwhois.cnnic.net.cn ~~~ ## 地址查询 ~~~ 高德地图 修改X-F头的IP，可以定位到地址 http://www.ipip.net/ip.html ~~~ ## C段查询 ~~~ https://search.censys.io/ 正常静态网址会分配四个IP给购买者，这四个IP是连续的 ~~~ ## 国外网站 ~~~ https://myip.ms/ https://www.virustotal.com/gui/home/upload ~~~