(1) 百度信息收集:“id” (双引号为英文) (2) 谷歌信息收集 (3) src信息收集(各大src排行榜) (4) 微博搜索(如果发现有微博记录,可使用tg查询weibo泄露数据) (5) 微信ID收集:微信进行ID搜索(直接发钉钉群一起查) (6) 如果获得手机号(可直接搜索支付宝、社交账户等) 注:获取手机号如信息不多,直接上报钉钉群(利用共享渠道对其进行二次工作) (7) 豆瓣/贴吧/知乎/脉脉 你能知道的所有社交平台,进行信息收集 (8) 其他补充 在github,gitee,开源中国中查找 在社交平台上查找,(微信/微博/linkedin/twitter) 技术博客(csdn,博客园),src平台(补天) 在安全群/安全圈子里询问。
https://www.opengps.cn/Data/IP/ipplus.aspx
网站URL,恶意样本
这是原生后门(未进行免杀及其他操作)
这是昨天的域前置后门(只是做了域前置,未做免杀)
回连IP为正常IDC,最起码隐藏了IP(emmm)
1、可利用网站:
https://x.threatbook.cn/
https://ti.qianxin.com/
https://ti.360.net/
https://www.venuseye.com.cn/
2、根据域名进行溯源 whois查询 备案查询 企查查/天眼查查询 zoomeye/fofa查询 3、样本特征字符密码等 如后门的密码,源码中的注释,反编译分析的特殊字符串等
社交帐号: 1、reg007 https://www.reg007.com/ 输入手机号查询注册过那些网站(当然充vip查的信息会更多emmm)
这里我确实注册过ASUS
2、各种库子查询
手机号码: 1、支付宝转账 - > 确定姓名,甚至获取照片 2、微信搜索 -> 微信ID可能是攻击者的ID,甚至照片 3、各种裤子 之前的快递事件以及这几天的微信事件
攻击画像大概模型:
姓名/ID:
攻击IP:
地理位置:
QQ:
IP地址所属公司:
IP地址关联域名:
邮箱:
手机号:
微信/微博/src/id证明:
人物照片:
跳板机(可选):
关联攻击事件:
日志上分析出攻击者IP地址 威胁感知-标签-社交-库搜搜-电话,其他信息等
某天Tg上有人贩卖课程,寻找内鬼开始
后门木马-IP-IP反查域名-域名收集-个人信息