应急响应-战后溯源反制&社会工程学&IP&ID追踪&URL反查&攻击画像

ID追踪

(1) 百度信息收集：“id” （双引号为英文） (2) 谷歌信息收集 (3) src信息收集（各大src排行榜） (4) 微博搜索（如果发现有微博记录，可使用tg查询weibo泄露数据） (5) 微信ID收集：微信进行ID搜索（直接发钉钉群一起查） (6) 如果获得手机号（可直接搜索支付宝、社交账户等） 注：获取手机号如信息不多，直接上报钉钉群（利用共享渠道对其进行二次工作） (7) 豆瓣/贴吧/知乎/脉脉 你能知道的所有社交平台，进行信息收集 (8) 其他补充 在github，gitee，开源中国中查找 在社交平台上查找，（微信/微博/linkedin/twitter） 技术博客（csdn，博客园），src平台（补天） 在安全群/安全圈子里询问。

IP定位

https://www.opengps.cn/Data/IP/ipplus.aspx

网站URL，恶意样本

在这里插入图片描述

这是原生后门(未进行免杀及其他操作)

在这里插入图片描述

这是昨天的域前置后门(只是做了域前置，未做免杀)

在这里插入图片描述

回连IP为正常IDC，最起码隐藏了IP(emmm)

1、可利用网站：

https://x.threatbook.cn/
https://ti.qianxin.com/
https://ti.360.net/
https://www.venuseye.com.cn/

2、根据域名进行溯源 whois查询 备案查询 企查查/天眼查查询 zoomeye/fofa查询 3、样本特征字符密码等 如后门的密码，源码中的注释，反编译分析的特殊字符串等

社交帐号： 1、reg007 https://www.reg007.com/ 输入手机号查询注册过那些网站(当然充vip查的信息会更多emmm)

在这里插入图片描述

这里我确实注册过ASUS

2、各种库子查询

在这里插入图片描述

手机号码： 1、支付宝转账 - > 确定姓名，甚至获取照片 2、微信搜索 -> 微信ID可能是攻击者的ID，甚至照片 3、各种裤子 之前的快递事件以及这几天的微信事件

攻击画像大概模型：
姓名/ID：
攻击IP：
地理位置：
QQ:
IP地址所属公司：
IP地址关联域名：
邮箱：
手机号：
微信/微博/src/id证明：
人物照片：
跳板机（可选）：
关联攻击事件：

日志提取-IP地址溯源-攻击画像

日志上分析出攻击者IP地址 威胁感知-标签-社交-库搜搜-电话,其他信息等

内鬼提取-ID昵称溯源-攻击画像

某天Tg上有人贩卖课程，寻找内鬼开始

文件提取-恶意样本溯源-攻击画像

后门木马-IP-IP反查域名-域名收集-个人信息