0x00 前言
HVV期间负责的有溯源这块的工作,整理一下用到的技巧。通常情况下,溯源需要获取到目标攻击者的一部分社会信息,比如手机号,邮箱,QQ号,微信号等,通过这些信息在互联网可以进一步追溯攻击者的更多暴露信息。方便进一步溯源。
--Keefe
0x01 技巧
没有外网高交互的探针蜜罐提供收集到的攻击者信息的话,如果只是单单知道一个域名、一个ip,以个人的力量其实很难针对性的去做溯源。
不过还是有些办法可以应付一些工作,前提当然是拿到了一些信息的情况。
1.域名、ip反查目标个人信息
通过威胁情报平台确认攻击来路是否为威胁ip,常用的平台通常有
https://ti.qianxin.com/ 奇安信威胁情报中心
https://x.threatbook.cn/ 微步在线威胁情报社区
等。
通常会用到这些思路:
- ip反查域名
- 域名查whois注册信息
- 域名查备案信息
- 域名反查邮箱
- 邮箱反查下属域名
- 域名反查注册人
- 注册人反查下属域名
在这上面可以综合的查到ip或者域名的一些活动信息,或者whois信息,也可以单去查whois,只是需要去分辨下历史whois的信息,确认当前域名的所有者到底是不是同一个人。当然,现在部分域名商有隐藏whois的情况,这种暂时没思路。
例:
2.支付宝转账,确定目标姓氏
已知支付宝账号(手机号、邮箱),大额转账可验证姓氏,如果对的话,会提示成功,所以可以尝试多次。
3.淘宝找回密码,确定目标名字
已知淘宝账号(任意手机号、邮箱、用户名,其一即可),手机app找回密码处,验证方式选择拍摄脸部。
验证流程中即可获得目标的名字。
4.企业微信手机号查公司名称
HVV中溯源报告需要指认目标到对应公司,这里很多企业都有企业微信,比如某友商。如果拿到目标的企业微信注册手机号,那么即可证明所属公司。这里有个技巧,估计是bug,会把所属企业显示出来:
第一步,微信增加朋友,选择企业微信联系人。
第二步,点击增加到通讯录,然后先不动。
第三步,点击回退按钮。
第四步,然后他的所属企业就显示出来了。
5.REG007查注册应用、网站
https://www.reg007.com/
这个懂得都懂,偶有额外的站点能查到能过信息,比如顺藤摸瓜找到的微博,搞IT总是把自己的个人介绍弄的特别详细。
例:几周前,通过一些信息,顺藤摸瓜通过QQ找到了注册微博了,通过找到微博,看到了某目标的人生履历。
微博信息:
这个REG007还有一些思路,下面还有个例子会再介绍。
6.程序PDB信息泄露
场景有很多,比如拦截捕获到了木马样本,比如shellcode loader,通过自己编译生成的这种程序,如果生成了调试信息,没有勾选否,那么就可能会造成PDB信息泄露。
例:前面某期间,抓到的木马样本,通过C32看到程序尾部的信息,找到了生成木马的主机用户名,通常情况下很多黑客都喜欢用自己的ID作为主机用户名,跟同事通过Twitter看到另外的大佬也捕获到了这个马子,推断是国外黑客,虽然最终没有准确溯源到人,但是这个是一种溯源的思路。
通过C32分析,看到尾部的信息,找到mr.anderson这个ID。
通过找Twitter,发现这个,倒真是巧合,看来这个anderson搞了很多钓鱼邮件,怀疑是国外黑客。
https://twitter.com/L0x3rh4u/status/1298517307468128260
7.在线挖洞
最后这个技巧有风险,可以结合点挖洞的思路,但是未授权所以风险太高了,最后不了了之。
例:
某期间,通过REG007找到了目标的注册域名手机号,发现注册了一个XX简历网站,是修改简历的,需要上传简历,然后简单用手机号注册了下,发现收到了四位验证码。
又去测了下找回密码,发现也是收到了四位验证码,用burp跑了下自己的账号,直接重置了密码,但是因为防守方的局限性,再加上未授权,所以就没有尝试别人的账号。延伸下思路,对抗的思路,主动出击的防守方,如果规则允许的话,那么可能也是不错的溯源思路?
0x02 总结
这次其实负责了蛮多的活儿,研判、溯源都参与了。感觉溯源就是结合攻击者来路暴露的信息,加上一些判断,去分析信息的真实性,一步一步构建出攻击者的人物画像,像手机号、邮箱这种直接能找到很多注册业务的信息,总能收集到一些东西,最后总结报告提交完事。
如果有什么问题欢迎与笔者交流,或者在公众号留言!