HW｜蓝队实战溯源反制手册分享

前两天登陆了一下防守方报告提交平台，看了一下提交报告模版并整理给下面各子公司方便整理上报(毕竟只能上报50个事件，还要整合筛选)，发现比去年最大的区别就是追踪溯源类提交及分数的变化。

描述	完整还原攻击链条，溯源到黑客的虚拟身份、真实身份，溯源到攻击队员，反控攻击方主机根据程度阶梯给分。
加分规则	描述详细/思路清晰，提交确凿证据报告，根据溯源攻击者虚拟身份、真实身份的程度，500-3000分，反控攻击方主机，再增长500分/次。

粗略的总结了一下规则里所谓的描述详细/思路清晰、虚拟身份、真实身份等细节的一个模版，并举例给你们参考。

溯源结果以下：

姓名/ID：

攻击IP：

地理位置：

QQ:

IP地址所属公司：

IP地址关联域名：

邮箱：

手机号：

微信/微博/src/id证实：

人物照片：

跳板机（可选）：

关联攻击事件：

（ps：以上为最理想结果状况，溯源到名字公司加分最高）

咱们拿到的数据：

web攻击事件-11
攻击时间: 2020-08-17 09:09:99
攻击IP : 49.70.0.xxx
预警平台：天眼/绿盟/ibm/长亭waf

攻击类型: 植入后门文件
处置方式: 封禁需溯源
目标域名: 10.0.0.1
www.baidu.com

流·程

一、针对IP经过开源情报+开放端口分析查询

可利用网站：

https://x.threatbook.cn/（主要）

https://ti.qianxin.com/

https://ti.360.cn/

https://www.venuseye.com.cn/

https://community.riskiq.com/

主要关注点

域名：可针对其进行whois反查

查询备案信息：http://whoissoft.com/

端口：可查看开放服务进行进一步利用

可考虑使用masscan快速查看开放端口：

masscan -p 1-65535 ip --rate=500

再经过nmap 对开放端口进行识别

nmap -p 3389,3306,6378 -Pn IP

端口对应漏洞：

https://blog.csdn.net/nex1less/article/details/107716599

二、查询定位

经过蜜罐等设备获取真实IP，对IP进行定位，可定位具体位置。

定位IP网站：

https://www.opengps.cn/Data/IP/ipplus.aspx

三、获得经常使用ID信息收集：

(1) 百度信息收集：“id” （双引号为英文）

(2) 谷歌信息收集

(3) src信息收集（各大src排行榜，若是有名次交给我套路）

(4) 微博搜索（若是发现有微博记录，可以使用tg查询weibo泄露数据）

(5) 微信ID收集：微信进行ID搜索（直接发钉钉群一块儿查）

(6) 若是得到手机号（可直接搜索支付宝、社交帐户等）

注意：获取手机号若是本身查到的信息很少，直接上报钉钉群（利用共享渠道对其进行二次社工）

(7) 豆瓣/贴吧/知乎/脉脉 你能知道的全部社交平台，进行信息收集

四、预警设备信息取证：

上方数据一无所得，可考虑对其发起攻击的行为进行筛查，尝试判断其是否有指纹特征。

如上传webshell : 

http://www.xxx.com/upload/puppy.jsp

可针对：puppy昵称进行信息收集。

五、跳板机信息收集（触发）：

进入红队跳板机查询相关信息

若是主机桌面没有敏感信息，可针对下列文件进行信息收集

last：查看登陆成功日志

cat ~/.bash_history  ：查看操做指令

ps -aux  #查看进程

cat /etc/passwd

查看是否有相似ID的用户

重点关注 uid 为500以上的登陆用户

nologin为不可登陆

注意：手机号、昵称ID均为重点数据，如查不到太多信息，直接上报指挥部。

欢迎关注玄魂工做室

本文分享自微信公众号 - 玄魂工做室（xuanhun521）。
若有侵权，请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”，欢迎正在阅读的你也加入，一块儿分享。