Jump to content
  • Hello visitors, welcome to the Hacker World Forum!

    Red Team 1949  (formerly CHT Attack and Defense Team) In this rapidly changing Internet era, we maintain our original intention and create the best community to jointly exchange network technologies. You can obtain hacker attack and defense skills and knowledge in the forum, or you can join our Telegram communication group to discuss and communicate in real time. All kinds of advertisements are prohibited in the forum. Please register as a registered user to check our usage and privacy policy. Thank you for your cooperation.

    TheHackerWorld Official

Recommended Posts

攻击溯源的技术手段,主要包括ip定位、ID定位与攻击者定位。

通过ip可定位攻击者所在位置,以及通过ip反查域名等手段,查询域名的注册信息,域名注册人及邮箱等信息。

通过ID定位可获取攻击者常用的网络ID,查询攻击者使用同类ID注册过的微博或者博客、论坛等网站,通过对网络ID注册以及使用情况的查询,定位攻击者所在公司、手机号、邮箱、QQ等信息。

或通过其他手段定位攻击者,如反制攻击者vps,获取攻击者vps中的敏感信息、反钓鱼、恶意程序分析溯源等手段。

一、ip定位技术

通过安全设备或其他技术手段抓取攻击者的IP,对IP进行定位,查询此IP为IDC的IP、CDN的IP还是普通运营商的出口IP,通过IP反查可能会查询到攻击者使用的web域名、注册人、邮箱等信息。一般常用的IP查询工具有:

  1. 高精度IP定位:https://www.opengps.cn/Data/IP/LocHighAcc.aspx
  2. rtbasia(IP查询):https://ip.rtbasia.com/
  3. ipplus360(IP查询):http://www.ipplus360.com/ip/
  4. IP信息查询:https://www.ipip.net/ip.html/
  5. IP地址查询在线工具:https://tool.lu/ip/

当发现某些IP的攻击后,可以尝试通过此IP去溯源攻击者,具体实现过程如下:

  • 首先通过ipip.net网站或者其他接口,查询此IP为IDC的IP、CDN的IP还是普通运营商的出口IP。
  • 如果IP反查到域名就可以去站长之家或者whois.domaintools.com等网站去查询域名的注册信息。

通过收集到的这些信息,就比较容易定位到人。

    在通过IP定位技术溯源过程,应注意以下情况:

  • 假如IP反查到的域名过多,考虑就是CDN了,就没必要继续去查了。
  • 假如是普通运营商的出口IP只能使用一些高精度IP定位工具粗略估计攻击者的地址,如果需要具体定位到人,则需要更多的信息。

二、ID追踪技术

在通过IP定位后技术追踪攻击者,可通过指纹库、社工库等或其他技术手段抓取到攻击者的微博账号、百度ID等信息,一般通过以下技术手段实现:

  1. 进行QQ等同名方式去搜索、进行论坛等同名方式搜索、社工库匹配等。
  2. 如ID是邮箱,则通过社工库匹配密码、以往注册信息等。
  3. 如ID是手机号,则通过手机号搜索相关注册信息,以及手机号使用者姓名等。

例如,当通过ID追踪技术手段定位到某攻击者的QQ号、QQ网名等信息,通过专业社工库可以进一步追踪攻击者使用的QQ号注册过的其它网络ID,从而获取更多攻击者信息,从而确定攻击者的真实身份。

三、攻击程序分析

攻击者如果在攻击过程中对攻击目标上传攻击程序(如钓鱼软件),可通过对攻击者上传的恶意程序进行分析,并结合IP定位、ID追踪等技术手段对攻击进行分析溯源,常用的恶意程序分析网站有:

Ø  微步在线云沙箱:https://s.threatbook.cn/

Ø  Virustotal:https://www.virustotal.com/gui/home/upload

Ø  火眼(https://fireeye.ijinshan.com)

Ø  Anubis(http://anubis.iseclab.org)

Ø  joe(http://www.joesecurity.org)

例如,当发现某攻击者利用263邮箱系统0DAY(xss漏洞)进行钓鱼攻击,通过以下方式可追踪攻击者身份:

1)对恶意程序分析

通过上传文件到https://s.threatbook.cn进行代码分析,可得到以下信息,攻击者在攻击过程使用了以下三个域名:

  • wvwvw.aaaa.com  用来接收cookies
  • baidu-jaaaa.com 用来存放js恶意代码,伪造图片
  • flashaaaa.cn 用来存放木马病毒

然后对域名进行反查。

image.png
Link to post
Link to comment
Share on other sites

 Share

discussion group

discussion group

    You don't have permission to chat.
    • Recently Browsing   0 members

      • No registered users viewing this page.
    ×
    ×
    • Create New...