1. 概述

溯源整个流程我认为有三个部分。

1. 攻击源捕获。

2. 溯源信息

3. 输出攻击者画像

   攻击源的捕获是为了获得攻击者的ip、黑客id、手机号、邮箱等信息。

   溯源信息是为了定位黑客到具体的人。

   输出攻击者画像是为了给这个人一个格式化的档案方便下次查找与信息存储。

   2. 攻击源捕获

   攻击源捕获主要分为以下几个方法：

1. 安全设备报警，如 EDR 告警等。

2. 日志分析，获取攻击者指纹信息与攻击方式。

3. 服务器资源异常，如服务器上多了 webshell 文件或者计划任务。

4. 蜜罐告警，获取攻击者指纹信息。

5. 邮件钓鱼，其中一般有木马文件，通过对木马文件逆向分析获取攻击者信息。

   如果直接得到攻击者 ip，那么直接到溯源信息阶段，如果无法得到攻击者 ip 则选择上机排查。

   上机排查的时候如果是 linux 电脑，则查看 history 信息还有文件修改信息，这就涉及到了 linux 应急响应的知识。[出自:jiwo.org]
   如果是 windows 电脑，就查看登录日志 4625，通过 logontype 的类型来分辨攻击者如何登陆的机器并回推攻击方法。

   logontype 对照表如下：

   local WINDOWSRDPINTERACTIVE = “2”
   local WINDOWSRDPUNLOCK = “7”
   local WINDOWSRDPREMOTEINTERACTIVE = “10”
   local WINDOWSSMBNETWORK = “3”

   得到攻击者基础信息的方式：

1. 看恶意邮件的邮件头获取恶意域名

2. 逆向分析恶意木马获取恶意 ip 或者域名

3. 查看机器回连 ip 获取恶意 ip 地址

4. 查看日志获取恶意 ip

5. 查看蜜罐或其他安全设备告警信息获取恶意 ip

6. 如果黑客使用近源渗透如直接用手机号打电话，则可直接得到手机号

7. 查看 webshell 的编写方式有可能直接获取黑客 id，因为不少黑客喜欢将自己的 id 设为 webshell 链接密码

   3. 溯源信息阶段

   获得攻击者真实 ip 或者域名之后我们进行溯源信息阶段。

   第一步：针对 IP 或者域名通过公网已有的开放信息进行查询

   https://x.threatbook.cn/

   https://ti.qianxin.com/

   https://ti.360.cn/
   https://www.reg007.com/ #通过手机号或者邮箱获取用户注册过的网站

   https://www.venuseye.com.cn/

   https://community.riskiq.com/
   

   第二步：定位目标

   利用精确 ip 定位进行目标的位置定位。

   第三步：收集互联网侧的用户 ID

   收集手机号与互联网上的各种 ID 信息 (利用 google hacking)。

   通过黑客 ID 进行信息收集：

   (1) 百度信息收集：“id” （双引号为英文）
   (2) 谷歌信息收集
   (3) src 信息收集（各大 src 排行榜）
   (4) 微博搜索（如果发现有微博记录，可使用 tg 查询 weibo 泄露数据）
   (5) 微信 ID 收集：微信进行 ID 搜索
   (6) 如果获得手机号（可直接搜索支付宝、社交账户等）
   注意：获取手机号如果自己查到的信息不多，直接上报工作群（利用共享渠道对其进行二次社工）
   (7) 豆瓣 / 贴吧 / 知乎 / 脉脉 你能知道的所有社交平台，进行信息收集
   (8) CSDN ID，利用 CSDN 老用户的一个漏洞，爆破 ID 手机号

   第四步：通过蜜罐设备指纹进行识别

   前提是我方部署了蜜罐并且攻击者踩了蜜罐且获取到攻击者的设备指纹。

   基本流程说明：
   1、我方发现了攻击者的设备指纹 ID
   2、某参演单位 1 也部署了该厂家蜜罐，捕获到某攻击者设备指纹 ID 和百度 ID
   3、某参演单位 2 也部署了该厂家蜜罐，捕获到某攻击者设备指纹 ID 和新浪 ID
   4、某参演单位 N 也部署了该厂家蜜罐，捕获到某攻击者设备指纹 ID 和优酷 ID
   5、厂家经过查询比对，将相关社交 ID 反馈给我方

   第五步：进入跳板机进行信息收集

   如果有能力控制了红队的跳板机，则可进入跳板机进行信息收集，查看命令执行的历史记录与日志等。

   如果主机桌面没有敏感信息，可针对下列文件进行信息收集：
   last：查看登录成功日志 cat ~/.bash_history ：查看操作指令
   ps -aux #查看进程
   cat /etc/passwd
   （查看是否有类似 ID 的用户
   重点关注 uid 为 500 以上的登录用户
   nologin 为不可登录）

   4. 输出攻击者画像与攻击路径

   攻击者画像模版如下：

   姓名 / ID：

   攻击 IP：

   地理位置：

   QQ:

   IP 地址所属公司：
   是否挂代理：

   IP 地址关联域名：

   邮箱：

   手机号：

   微信 / 微博 / src/id 证明：

   人物照片：

   跳板机（可选）：

   关联攻击事件：

   攻击路径模版：

   攻击目的：拿到权限、窃取数据、获取利益、DDOS 等
   网络代理：代理 IP、跳板机、C2 服务器等
   攻击手法：鱼叉式邮件钓鱼、Web 渗透、水坑攻击、近源渗透、社会工程等

   5. 参考文章

   安全攻击溯源思路及案例(https://www.cnblogs.com/xiaozi/p/13817637.html)