【蓝队技能】【溯源反制】社会工程学
蓝队技能
溯源反制-社会工程学
- 蓝队技能
- 总结
- 前言
- 一、初步分析
- 1.1 IP分析:
- 1.2 域名分析:
- 1.3 IP&域名共同分析方法
- 1.4 恶意样本分析
- 二、深度分析
- 1. ID追踪:
- 1.2 社交帐号:
- 1.3 手机号码:
- 三、实战分析
- 3.1 通过IP成功溯源
总结
前言
本文深入探讨了IP与域名的分析方法,以及ID追踪和社交账号分析技巧
一、初步分析
1.1 IP分析:
1、反查域名
- https://www.ipip.net/ip.html
- https://www.aizhan.com/
- https://www.whois.com/
2、IP信息**
- https://www.ipip.net/
- http://ipwhois.cnnic.net.cn/index.jsp
可获得是否为移动网络、IDC等IP段所属公司
3、IP定位
- https://www.chaipip.com/index.html
- https://www.opengps.cn/Data/IP/ipplus.aspx
1.2 域名分析:
1、域名威胁情报查询:
- https://x.threatbook.cn/
- https://ti.qianxin.com/
- https://ti.360.net/
- https://www.venuseye.com.cn/
2、域名溯源
- whois查询
- 备案查询
- 企查查/天眼查查询
- zoomeye/fofa查询
1.3 IP&域名共同分析方法
可以看IP和域名中是否有网站,然后看网站中是否有相应的信息
1.4 恶意样本分析
- 对恶意样本进行反编译,查看代码中是否有攻击者的详细信息,如:作者姓名,GitHub地址,电话号码,qq号码等
逆向:如后门密码,源码注释,反编译特殊字符串等 - 查看恶意样本的外联IP和域名的情况,然后根据IP和域名去查询一些新的信息
分析:在线沙箱威胁感知平台
二、深度分析
1. ID追踪:
ID追踪实战文章
(1) 百度信息收集:“id” (双引号为英文)
(2) 谷歌信息收集
(3) src信息收集(各大src排行榜)
(4) 微博搜索(如果发现有微博记录,可使用tg查询weibo泄露数据)
(5) 微信ID收集:微信进行ID搜索(直接发钉钉群一起查)
(6) 如果获得手机号(可直接搜索支付宝、社交账户等)
注:获取手机号如信息不多,直接上报钉钉群(利用共享渠道对其进行二次工作)
(7) 豆瓣/贴吧/知乎/脉脉/抖音,快手 你能知道的所有社交平台,进行信息收集
(8) 其他补充
在github,gitee,开源中国中查找
在社交平台上查找,(微信/微博/linkedin/twitter)
技术博客(csdn,博客园),src平台(补天)
在安全群/安全圈子里询问。
1.2 社交帐号:
1、reg007
2、各种库子查询
1.3 手机号码:
1、支付宝转账 - > 确定姓名,甚至获取照片
2、微信搜索 -> 微信ID可能是攻击者的ID,甚至照片
4、社交平台查找(抖音、脉脉、钉钉搜索等
三、实战分析
3.1 通过IP成功溯源
前言:在日志中发现某个IP在打我的服务器,通过IP溯源到个人
最后通过查找子域名发现子域名留有攻击者的电话号码,由于一般人电话号码和微信号一样,加微信号后进行社工,完事