资产收集&溯源案例

收集资产的方法

很大部分资产公司部门提供,但是也要通过黑盒方式,去获得一些资产,避免公司统计资产疏漏,
资产收集可用如下方法:
◼ whois 信息: 站长之家、爱站、https://whois.aliyun.com/ 
◼ 子域名: 子域名挖掘机 Layer、subDomainsBrute、phpinfo.me
◼ 目标 IP : http://ping.chinaz.com/、nslookup
◼ 旁站 C 段查询: http://www.webscan.cc/、Nmap、Zenmap
◼ 邮箱搜集: theharester
◼ CMS 类型: 云悉、BugScaner
◼ 敏感目录: 御剑、dirbuster、wwwscan、IIS_shortname_Scanner
◼ 端口信息: Nmap、masscan
◼ 服务器和中间件信息: Nmap、Zmap、whatweb
子域名挖掘机 Layer
subDomainsBrute: 子域名暴力破解工具
Nslookup: DNS 服务器进行检测和排错的命令行工具

Nmap: 网络连接端扫描软件,Zenmap:Nmap 的界面版

Theharester: 邮箱挖掘器

云悉: 在线 CMS 指纹识别平台
BugScaner: 在线指纹识别系统

御剑: 网站后台扫描工具
Wwwscan: 网站后台扫描工具
Dirbuster:网站目录和文件探测工具
IIS_shortname_Scanner: IIS 短文件名暴力枚举漏洞利用工具
Masscan: 快速端口扫描程序
Whatweb: 网站指纹识别工

溯源案例

web攻击事件

攻击时间:08-17 09:09:09
攻击IP : 49.70.0.xxx
预警平台:天眼/绿盟/ibm/长亭waf
攻击类型: 植入后门文件
处置方式: 封禁需溯源
目标域名: 10.0.0.1

预期溯源结果

姓名/ID:攻击IP:地理位置:QQ:IP地址所属公司:IP地址关联域名:邮箱:
手机号:微信/微博/src/id证明:人物照片:跳板机(可选):关联攻击事件:

流程

1、针对IP通过开源情报+开放端口分析查询
    https://x.threatbook.cn/(主要)	#微步在线威胁情报社区
    https://ti.qianxin.com/		#奇安信威胁情报中心
    https://ti.360.cn/		#360威胁情报中心
    https://www.venuseye.com.cn/		#VenusEye威胁情报中心
    https://community.riskiq.com/
    
    域名:可针对其进行反查
        1. ip 反查域名
        2. 域名查 whois 注册信息
        3. 域名查备案信息、反查邮箱、反查注册人
        4. 邮箱反查下属域名
        5. 注册人反查下属域名
            备案信息:http://whoissoft.com/
            站长之家IP查询网址:https://ip.tool.chinaz.com/ipbatch
            IP138查询网:https://www.ip138.com/
            高精度IP定位:https://www.opengps.cn/Data/IP/LocHighAcc.aspx
            IP信息查询:https://www.ipip.net/ip.html/
            IP地址查询在线工具:https://tool.lu/ip/
            多地Ping检测:http://ping.chinaz.com/
            Whois查询:https://whois.chinaz.com/
    端口:可查看开放服务进行进一步利用
        可考虑使用masscan快速查看开放端口:
        masscan -p 1-65535 ip --rate=500
        再通过nmap 对开放端口进行识别
        nmap -p 3389,3306,6378 -Pn IP
        端口对应漏洞:
        https://blog.csdn.net/nex1less/article/details/107716599
    
2、查询定位
    通过蜜罐等设备获取真实IP,对IP进行定位,可定位具体位置。
    定位IP网站:https://www.opengps.cn/Data/IP/ipplus.aspx
    
3、得到常用ID信息收集:REG007 通过邮箱、手机号查注册应用、网站
    1.支付宝转账,确定目标姓氏
    2.进行QQ账号、论坛、贴吧、等同名方式去搜索
    3.淘宝找回密码,确定目标名字
    4.企业微信手机号查公司名称
    5. REG007 通过邮箱、手机号查注册应用、网站
    6.度娘、谷歌、src、微博、微信、知乎、脉脉等知道的各大平台上搜索
    
4、预警设备信息取证:
上方数据一无所获,可考虑对其发起攻击的行为进行筛查,尝试判断其是否有指纹特征。
    如上传webshell :http://www.xxx.com/upload/puppy.jsp
    可针对:puppy昵称进行信息收集。
    
5、跳板机信息收集(触发):
进入红队跳板机查询相关信息,如果主机桌面没有敏感信息,可针对下列文件进行信息收集
    last:查看登录成功日志
    cat ~/.bash_history :查看操作指令
    ps -aux #查看进程
    cat /etc/passwd	#查看是否有类似ID的用户,重点关注 uid 为500以上的登录用户
    注意:手机号、昵称ID均为重点数据,如查不到太多信息,直接上报指挥部。
1、攻击源捕获
    安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等
    日志与流量分析,异常的通讯流量、攻击源与攻击目标等
    服务器资源异常,异常的文件、账号、进程、端口,启动项、计划任务和服务等
    邮件钓鱼,获取恶意文件样本、钓鱼网站URL等
    蜜罐系统,获取攻击者行为、意图的相关信息
2、溯源反制手段
IP定位技术
    根据IP定位物理地址--代理IP
    溯源案例:通过IP端口扫描,反向渗透服务器进行分析,最终定位到攻击者相关信息
ID追踪术
    ID追踪术,搜索引擎、社交平台、技术论坛、社工库匹配
    溯源案例:利用ID从技术论坛追溯邮箱,继续通过邮箱反追踪真实姓名,通过姓名找到相关简历信息
网站url
    域名Whois查询--注册人姓名、地址、电话和邮箱。--域名隐私保护
    溯源案例:通过攻击IP历史解析记录/域名,对域名注册信息进行溯源分析
恶意样本
    提取样本特征、用户名、ID、邮箱、C2服务器等信息--同源分析
    溯源案例:样本分析过程中,发现攻击者的个人ID和QQ,成功定位到攻击者。
社交账号
    基于JSONP跨域,获取攻击者的主机信息、浏览器信息、真实 IP及社交信息等
    利用条件:可以找到相关社交网站的jsonp接口泄露敏感信息,相关网站登录未注销
3、攻击者画像
攻击路径
    攻击目的:拿到权限、窃取数据、获取利益、DDOS等
    网络代理:代理IP、跳板机、C2服务器等
    攻击手法:鱼叉式邮件钓鱼、Web渗透、水坑攻击、近源渗透、社会工程等
攻击者身份画像
    虚拟身份:ID、昵称、网名
    真实身份:姓名、物理位置
    联系方式:手机号、qq/微信、邮箱
    组织情况:单位名称、职位信息

在护网期间,蓝队主要就是通过安全设备看告警信息,后续进行分析研判得出结论及处置建议,在此期间要注意以下内容。

内网攻击莫忽视:内网攻击告警需格外谨慎,可能是进行内网渗透。
    1.攻击IP是内网IP,攻击行为不定,主要包括:扫描探测行为、爆破行为、命令执行等漏扫行为。
    2.资产属性-内网攻击IP资产属性。
    3.研判告警行为是否为攻击动作,如弱口令、SQL注入漏洞可能是业务行为。
    4.上级排查与客户一起进一步确认设备问题。
企图告警需排查:企图类告警需格外谨慎,可能是“已经成功”。
    1.告警主要包括:后门程序、代码行为、命令执行行为。
    2.资产属性+流量确认。
    3.综合判断告警是否成功(成功的话就需要提供证据给规则反馈)。
    4.上级排查与客户一起进一步确认设备问题。
爆破行为也要看:爆破攻击告警需格外谨慎,可能是“正在进行时”。
    1.告警主要包括:客户对外端口的服务对外开放。
    2.资产属性+流量确认。
    3.综合判断业务是否对外开放(及时确认是否需要规避风险点)
    
成功失陷追仔细:成功失陷追仔细,可能是”溯源不够细致,遗漏蛛丝马迹“。
    1.告警主要包括:成功+失陷的告警。
    2.资产属性+流量确认+告警确认+数据分析+兄弟产品跟进。
    3.协助客户上机排查,书写防守或溯源报告。

在发现资产被攻击之后,防守方需要及时进行溯源和排查,通常情况下,溯源需要获取到目标攻击者的一部分个人信息,比如手机号,邮箱,QQ 号,微信号等,通过这些信息在互联网可以进一步追溯攻击者的更多暴露信息。

你可能感兴趣的:(linux使用,linux,运维)