有趣的溯源/反制案例&&思路
有意思的反制案例
漫漫长夜,身为一只值守的小牛马,突然看见蜜罐上上线了一个奇怪的告警~
oh~有攻击者被反制上鱼了
看看上线的机器都有什么信息呢?
嗯,手机号有了,报告稳了!
wifi信息确认了大概的单位名,结合ip定位可以大致印证一下是否有溯偏,我这里用埃文免费查了一次发现两个信息是对得上的
趁着机器还在线,去找找攻击者MacOS上的宝藏
路径东西倒是不少呢,录用通知书都出来了,这里可以写完整报告了
折腾完毕,在访问其他路径的时候估计是触发了MacOS的弹窗,被攻击者发现,清理离线了
那么根据当前的情况,过滤一下攻击者的ip,还原一下攻击者的上线经过,完善整体的反制路径
根据日志得知攻击者在通过git扫描的钓鱼页面的时候被反制了,之后没看见对我们单位有什么动作,估计是因为git反制的原理导致的,他日后估计还会多次上线。
既然上线了那就只好把你写进我的报告啦~
常见的几种溯源/反制手法
现代化蜜罐都做了哪些溯源/反制的操作呢?
-
1. 可克隆相关系统页面,伪装“漏洞”系统,以此进行反制。常见的有git反制、svn反制、goby反制、cs反制、还有一些应用的 0 day和 n day等。
-
2. 可克隆相关系统页面,伪装内部应用下载,以此诱导攻击者运行网站的木马程序进行反制。
-
3. 互联网端投饵,一般会在Github、Gitee、Coding上投放蜜标(有可能是个单独的网站地址、也有可能是个密码本引诱中招)。
-
4. 利用JSONP、XSS、CSRF等前端类漏洞获取访问蜜标的攻击者网络身份(网络画像)。
溯源社交平台到验证身份
所有的社交id都是为了得到 攻击者手机号/网络ID 以便于进一步得到攻击者详细信息
例如网络id可以拿到Google、Github、各大src等平台中访问搜索。
百度、微博、qq号都是可以尝试查看发布的公开信息的。
例如百度可以通过 baidu贴吧 –> qq号 –> 手机号 –> 支付宝查询真实姓名
良好的案例:
百度贴吧的回帖中发现红队老哥泄露了自己的联系方式
搜索QQ查看一些基本信息
SG库检索QQ号获取到了手机号
手机号检索到了微信号、脉脉等信息
支付宝转账验证,得到真实姓名
如果是打马中间四位数的手机号,可以去找找在线去空号的接口,或者付费去空号。
得到可用手机号之后,再给安卓手机批量导入剩余非空号的号码,去脉脉、百度贴吧等地方查看攻击者的详细信息,筛选定位出具体的攻击者。
手机号可以通过支付宝转账获得攻击者的真实姓名(可配合银行卡转账信息),得到完整手机号。
通过在线的各种信息检测接口来得到更多的信息。例如:https://privacy.aiuys.com/
得到进一步的更多信息,坐实攻击者身份
原文始发于微信公众号(安全光圈):反制取证典范with思路