HW期间——溯源

01 前期准备

001溯源的概念

通过对受害资产与内网流量进行分析一定程度上还原攻击者的攻击路径与攻击手法根据已有的线索，攻击方式以及攻击特征等通过技术手段反查攻击者身份或是组织信息。
描述：完整还原攻击链条，溯源到黑客的虚拟身份，真实身份，溯源到攻击队员，反控攻击方主机
溯源结果如下：

姓名/ID:
攻击IP:
地理位置：
QQ:
IP地址所属公司：
IP地址关联域名:
邮箱：
手机号：
微信/微博/src/id证明:
人物照片:
跳板机(可选):
关联攻击事件:
应急溯源：服务器受到黑客的攻击，需要进行攻击事件的溯源。

002溯源概念区分

1）内部溯源

应急：通过流量设备、安全设备溯源攻击者攻击的路径，攻击者进来干了些什么。

2）外部溯源

外部溯源时对攻击者身份等信息的溯源。

在对于客户谈到的溯源，应该清楚客户希望溯源的是攻击者攻击手法的溯源还是攻击者的个人信息。

003哪些点可以溯源

网络/WEB攻击溯源（http）

网络/web攻击事件中的恶意攻击ip/ip段
攻击中攻击者用于探测漏洞的反连域名
攻击报文中带有攻击者特征的字符串

社工钓鱼攻击

钓鱼人社工的微信号、qq号
钓鱼邮件发件邮箱
钓鱼邮件发件ip
钓鱼邮件/社工中的恶意样本
钓鱼邮件中的恶意连接

黑灰产攻击溯源

黑灰产组织信息
黑灰产攻击线索
黑灰产攻击ip
黑灰产APP

004哪些信息是无法溯源的

常见无溯源价值的线索

IDC IP:提供网络服务的数据中心的IP地址。

动态IP:小区宽带、网吧等。

基站IP:手机通过三大运营商获取的IP。
住宅IP:网络运营商提供给住宅使用的IP。
CDN: 提供网络访问加速的服务商，通常一个ip绑定多个不同域名。

无特征的动态域名、云函数等

所有局域网IP

常见有溯源价值的线索

云服务器IP

具有特征性的个人ID

微信、QQ、手机号等社交信息

攻击样本、payload（远程地址下载接收文件）
有whois信息的域名

02溯源技巧

001大量ip/域名如何快速筛选高价值的

端口探测（goby）
情报标签（微步在线）

把上面提到的无价值的筛选掉剩下的就是高价值IP

002高价值ip如何获得更多信息

端口探测现有开放服务
空间测绘查看历史服务

如果开放的服务比较少，就可以去空间测绘上查这个ip的服务记录，可以查看半年或几个月的信息。（比如之前他可能开了一些博客，攻防关了但是能看到记录）

003高价值ip如何获得个人信息

ip反查域名（去ping一下看看解析域名和解析IP是不是相对应的情况）

绑定域名查询whois注册信息(邮箱、姓名、当前没有可以看之前的但需要确定是否可信)

004获得个人信息后如何进一步拓线

昵称/姓名

互联网引擎搜索姓名/昵称特征南
各类社交平台搜索昵称，如抖音、微博等
各类网络安全网站搜索昵称，如freeBuf、各类src平台等
各类代码平台搜索昵称，如csdn，github等

手机号

sgk（社工库）反查绑定账号信息、身份信息
检索微信、企业微信
支付宝转账获取昵称、姓名(QQ号，手机号都可以)
reg007手机号历史注册网站查询
贴吧等社交交友平台查询
脉脉查询个人履历和所在公司

添加本地通讯录，借助抖音、小红书类
社交平台朋友推荐获取账号

邮箱

支付宝邮箱绑定账号转账，获取昵称、姓名
qq邮箱获取qq号，查看空间、个人资料
域名注册邮箱反差获取改邮箱其他注册域名
reg007查询邮箱历史注册网站
github、csdn等代码平台搜索
搜索引擎检索
核对邮箱后缀域是否为公司类官方域名