高级蓝队溯源手册

溯源手册

本溯源手册,分技巧与实战两大篇幅旨在帮助大家可以快速上手并在实战中运用,也可充当字典的作用,在溯源过程中可以翻一翻,更全面的溯源,故某些内容可能会简化。

技巧篇

通常情况下,接到溯源任务时,获得的信息如下

攻击时间
攻击 IP
预警平台
攻击类型
恶意文件
受攻击域名/IP
  • 其中攻击 IP、攻击类型、恶意文件、攻击详情是溯源入手的点。
  • 通过攻击类型分析攻击详情的请求包,看有没有攻击者特征,通过获取到的 IP
  • 地址进行威胁情报查询来判断所用的 IP 具体是代理 IP 还是真实 IP 地址。
  • 如端口扫描大概率为个人 vps 或空间搜索引擎,在接到大量溯源任务时可优先溯源。
  • 如命令执行大概率为未经任何隐匿的网络、移动网络、接到脚本扫描任务的肉鸡,
  • 在接到大量溯源任务时可优先溯源。
  • 如爬虫大概率为空间搜索引擎,可放到最后溯源。
  • 如恶意文件可获得 c2 地址、未删除的带有敏感信息的代码(如常用 ID、组织信息)、持续化控制代码(C2 地址指在 APT 攻击里的命令与控制,若获取到 C2 地址可以使我们的溯源目标更有针对性)
  • 持续化控制代码需要详细分析,如采用 DGA 域名上线的方法,分析出域名算法,
  • 预测之后的域名可有效减少损失,增加溯源面。

溯源结果框架

在受到攻击、扫描之后,进行一系列溯源操作后,理想情况下想要获得如下数据,来刻画攻击者画像。

姓名/ID:
攻击 IP:
地理位置:
QQ:
微信:
邮箱:
手机号:
支付宝:
IP 地址所属公司:
IP 地址关联域名:
其他社交账号信息(如微博/src/id 证明):
人物照片:
跳板机(可选):
(ps:以上为最理想结果情况,溯源到名字公司加分最高)

在写溯源报告时,应避免单一面石锤,需要反复验证,避免中途溯源错人,各个溯源线索可以串起来,要具有逻辑性。

溯源常用手法

本节将按照获取到的数据展开分来来讲,最后可能融会贯通,互相适用。威胁情报平台

https://x.threatbook.cn/
https://ti.qianxin.com/
https://ti.360.cn/
https://www.venuseye.com.cn

不要过于依赖威胁情报,仅供参考 平台大多为社区维护,存在误报以及时效性问题,可能最后跟真正攻击者毫无关系

剩下的可以自己查看手册进行学习哦

------本文已结束,感谢您的阅读------
THE END
喜欢就支持一下吧
点赞6 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容