资产收集&溯源案例

收集资产的方法

很大部分资产公司部门提供，但是也要通过黑盒方式，去获得一些资产，避免公司统计资产疏漏，
资产收集可用如下方法：
◼ whois 信息: 站长之家、爱站、https://whois.aliyun.com/ 
◼ 子域名: 子域名挖掘机 Layer、subDomainsBrute、phpinfo.me
◼ 目标 IP : http://ping.chinaz.com/、nslookup
◼ 旁站 C 段查询: http://www.webscan.cc/、Nmap、Zenmap
◼ 邮箱搜集: theharester
◼ CMS 类型: 云悉、BugScaner
◼ 敏感目录: 御剑、dirbuster、wwwscan、IIS_shortname_Scanner
◼ 端口信息: Nmap、masscan
◼ 服务器和中间件信息: Nmap、Zmap、whatweb
1
2
3
4
5
6
7
8
9
10
11

子域名挖掘机 Layer
subDomainsBrute: 子域名暴力破解工具
Nslookup: DNS 服务器进行检测和排错的命令行工具

Nmap: 网络连接端扫描软件，Zenmap:Nmap 的界面版

Theharester: 邮箱挖掘器

云悉: 在线 CMS 指纹识别平台
BugScaner: 在线指纹识别系统

御剑: 网站后台扫描工具
Wwwscan: 网站后台扫描工具
Dirbuster:网站目录和文件探测工具
IIS_shortname_Scanner: IIS 短文件名暴力枚举漏洞利用工具
Masscan: 快速端口扫描程序
Whatweb: 网站指纹识别工
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

溯源案例

web攻击事件

攻击时间:08-17 09:09:09
攻击IP : 49.70.0.xxx
预警平台：天眼/绿盟/ibm/长亭waf
攻击类型: 植入后门文件
处置方式: 封禁需溯源
目标域名: 10.0.0.1
1
2
3
4
5
6

预期溯源结果

姓名/ID：攻击IP：地理位置：QQ:IP地址所属公司：IP地址关联域名：邮箱：
手机号：微信/微博/src/id证明：人物照片：跳板机（可选）：关联攻击事件：
1
2

流程

1、针对IP通过开源情报+开放端口分析查询
    https://x.threatbook.cn/（主要）	#微步在线威胁情报社区
    https://ti.qianxin.com/		#奇安信威胁情报中心
    https://ti.360.cn/		#360威胁情报中心
    https://www.venuseye.com.cn/		#VenusEye威胁情报中心
    https://community.riskiq.com/
    
    域名：可针对其进行反查
        1. ip 反查域名
        2. 域名查 whois 注册信息
        3. 域名查备案信息、反查邮箱、反查注册人
        4. 邮箱反查下属域名
        5. 注册人反查下属域名
            备案信息：http://whoissoft.com/
            站长之家IP查询网址：https://ip.tool.chinaz.com/ipbatch
            IP138查询网：https://www.ip138.com/
            高精度IP定位：https://www.opengps.cn/Data/IP/LocHighAcc.aspx
            IP信息查询：https://www.ipip.net/ip.html/
            IP地址查询在线工具：https://tool.lu/ip/
            多地Ping检测：http://ping.chinaz.com/
            Whois查询：https://whois.chinaz.com/
    端口：可查看开放服务进行进一步利用
        可考虑使用masscan快速查看开放端口：
        masscan -p 1-65535 ip --rate=500
        再通过nmap 对开放端口进行识别
        nmap -p 3389,3306,6378 -Pn IP
        端口对应漏洞：
        https://blog.csdn.net/nex1less/article/details/107716599
    
2、查询定位
    通过蜜罐等设备获取真实IP，对IP进行定位，可定位具体位置。
    定位IP网站：https://www.opengps.cn/Data/IP/ipplus.aspx
    
3、得到常用ID信息收集：REG007 通过邮箱、手机号查注册应用、网站
    1.支付宝转账，确定目标姓氏
    2.进行QQ账号、论坛、贴吧、等同名方式去搜索
    3.淘宝找回密码，确定目标名字
    4.企业微信手机号查公司名称
    5. REG007 通过邮箱、手机号查注册应用、网站
    6.度娘、谷歌、src、微博、微信、知乎、脉脉等知道的各大平台上搜索
    
4、预警设备信息取证：
上方数据一无所获，可考虑对其发起攻击的行为进行筛查，尝试判断其是否有指纹特征。
    如上传webshell :http://www.xxx.com/upload/puppy.jsp
    可针对：puppy昵称进行信息收集。
    
5、跳板机信息收集（触发）：
进入红队跳板机查询相关信息，如果主机桌面没有敏感信息，可针对下列文件进行信息收集
    last：查看登录成功日志
    cat ~/.bash_history ：查看操作指令
    ps -aux #查看进程
    cat /etc/passwd	#查看是否有类似ID的用户，重点关注 uid 为500以上的登录用户
    注意：手机号、昵称ID均为重点数据，如查不到太多信息，直接上报指挥部。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53

1、攻击源捕获
    安全设备报警，如扫描IP、威胁阻断、病毒木马、入侵事件等
    日志与流量分析，异常的通讯流量、攻击源与攻击目标等
    服务器资源异常，异常的文件、账号、进程、端口，启动项、计划任务和服务等
    邮件钓鱼，获取恶意文件样本、钓鱼网站URL等
    蜜罐系统，获取攻击者行为、意图的相关信息
2、溯源反制手段
IP定位技术
    根据IP定位物理地址--代理IP
    溯源案例：通过IP端口扫描，反向渗透服务器进行分析，最终定位到攻击者相关信息
ID追踪术
    ID追踪术，搜索引擎、社交平台、技术论坛、社工库匹配
    溯源案例：利用ID从技术论坛追溯邮箱，继续通过邮箱反追踪真实姓名，通过姓名找到相关简历信息
网站url
    域名Whois查询--注册人姓名、地址、电话和邮箱。--域名隐私保护
    溯源案例：通过攻击IP历史解析记录/域名，对域名注册信息进行溯源分析
恶意样本
    提取样本特征、用户名、ID、邮箱、C2服务器等信息--同源分析
    溯源案例：样本分析过程中，发现攻击者的个人ID和QQ，成功定位到攻击者。
社交账号
    基于JSONP跨域，获取攻击者的主机信息、浏览器信息、真实 IP及社交信息等
    利用条件：可以找到相关社交网站的jsonp接口泄露敏感信息，相关网站登录未注销
3、攻击者画像
攻击路径
    攻击目的：拿到权限、窃取数据、获取利益、DDOS等
    网络代理：代理IP、跳板机、C2服务器等
    攻击手法：鱼叉式邮件钓鱼、Web渗透、水坑攻击、近源渗透、社会工程等
攻击者身份画像
    虚拟身份：ID、昵称、网名
    真实身份：姓名、物理位置
    联系方式：手机号、qq/微信、邮箱
    组织情况：单位名称、职位信息
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32

在护网期间，蓝队主要就是通过安全设备看告警信息，后续进行分析研判得出结论及处置建议，在此期间要注意以下内容。

内网攻击莫忽视：内网攻击告警需格外谨慎，可能是进行内网渗透。
    1.攻击IP是内网IP，攻击行为不定，主要包括：扫描探测行为、爆破行为、命令执行等漏扫行为。
    2.资产属性-内网攻击IP资产属性。
    3.研判告警行为是否为攻击动作，如弱口令、SQL注入漏洞可能是业务行为。
    4.上级排查与客户一起进一步确认设备问题。
企图告警需排查：企图类告警需格外谨慎，可能是“已经成功”。
    1.告警主要包括：后门程序、代码行为、命令执行行为。
    2.资产属性+流量确认。
    3.综合判断告警是否成功（成功的话就需要提供证据给规则反馈）。
    4.上级排查与客户一起进一步确认设备问题。
爆破行为也要看：爆破攻击告警需格外谨慎，可能是“正在进行时”。
    1.告警主要包括：客户对外端口的服务对外开放。
    2.资产属性+流量确认。
    3.综合判断业务是否对外开放（及时确认是否需要规避风险点）
    
成功失陷追仔细：成功失陷追仔细，可能是”溯源不够细致，遗漏蛛丝马迹“。
    1.告警主要包括：成功+失陷的告警。
    2.资产属性+流量确认+告警确认+数据分析+兄弟产品跟进。
    3.协助客户上机排查，书写防守或溯源报告。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

在发现资产被攻击之后，防守方需要及时进行溯源和排查，通常情况下，溯源需要获取到目标攻击者的一部分个人信息，比如手机号，邮箱，QQ 号，微信号等，通过这些信息在互联网可以进一步追溯攻击者的更多暴露信息。