溯源手冊

一、技巧篇

1、溯源任務

溯源任務

攻擊時間

攻擊IP

預警平台

攻擊類型

惡意文件

受攻擊域名/IP

其中 攻擊IP、攻擊類型、惡意文件、攻擊詳情 是溯源入手的點。

通過攻擊類型分析攻擊詳情的請求包，看有沒有攻擊者特征，通過獲取到的IP地址進行威脅情報查詢來判斷所用的IP具體是代理IP還是真實IP地址。

• 如端口掃描大概率為個人vps或空間搜索引擎，在接到大量溯源任務時可優先溯源。
• 如命令執行大概率為未經任何隱匿的網絡、移動網絡、接到腳本掃描任務的肉雞，在接到大量溯源任務時可優先溯源。
• 如爬蟲大概率為空間搜索引擎，可放到最后溯源。
• 如惡意文件可獲得c2地址、未刪除的帶有敏感信息的代碼（如常用ID、組織信息）、持續化控制代碼（C2地址指在APT攻擊里的命令與控制，若獲取到C2地址可以使我們的溯源目標更有針對性）
• 持續化控制代碼需要詳細分析，如采用DGA域名上線的方法，分析出域名算法，預測之后的域名可有效減少損失，增加溯源面。

2、溯源結果

在受到攻擊、掃描之后，進行一系列溯源操作后，理想情況下想要獲得如下數據，來刻畫攻擊者畫像。

溯源結果框架

姓名/ID

攻擊IP

地理位置

QQ

微信

郵箱

手機號

支付寶

P地址所屬公司

P地址關聯域名

其他社交賬號信息（如微博/src/id證明）

人物照片

跳板機

在寫溯源報告時，應避免單一面石錘，需要反復驗證，避免中途溯源錯人，各個溯源線索可以串起來，要具有邏輯性。

3、威脅情報平台(無太大作用)

https://x.threatbook.cn/
https://ti.qianxin.com/
https://ti.360.cn/
https://www.venuseye.com.cn/

不要過於依賴威脅情報，僅供參考平台大多為社區維護，存在誤報以及時效性問題，可能最后跟真正攻擊者毫無關系。

通過威脅情報平台

我們可以獲取域名解析記錄、歷史whois、子域名、SSL證書等如圖：

4、已知域名獲取信息

4.1、歷史whois

https://whois.chinaz.com/reverse?ddlSearchMode=4

可獲得

• ID
• 姓名
• 郵箱

4.2、解析記錄

通過解析記錄可以獲得域名A記錄從而獲取到域名后的IP地址。

A記錄 —— 映射域bai名到一個或多個IP

CNAME—— 映射域名到另一個域名（子域名）

域名解析記錄：http://www.jsons.cn/nslookup/

全球ping，查看現綁定ip，看是否域名使用了CDN技術。

http://ping.chinaz.com/

https://fofa.so

5、已知IP獲取信息

5.1、反查域名

o 威脅情報平台

o https://www.ipip.net/ip.html

o https://www.aizhan.com/

o https://www.whois.com/

5.2、IP信息

o 威脅情報平台

o https://www.ipip.net/

o http://ipwhois.cnnic.net.cn/index.jsp

o 可獲得

§ 是否為移動網絡、IDC等

§ IP段所屬公司

5.3、IP定位

o https://chaipip.com/

o https://www.opengps.cn/Data/IP/ipplus.aspx

6、已知ID/姓名/手機號/郵箱獲取信息

手機號/郵箱

sgk

查支付寶轉賬，驗證姓名。

通過部分平台賬號找回密碼，可猜手機號。

QQ添加好友搜索

微信添加好友搜索

https://www.reg007.com/

社交平台查找（抖音、脈脈搜索等）

ID/姓名

sgk

谷歌/百度

src搜索

微博搜索

貼吧搜索

社交平台查找（抖音、脈脈搜索等）

7、惡意文件

惡意文件通常會從郵件的路徑獲得，可以將郵件全格式保存，用十六進制編輯器查看，可以獲得發送郵件IP地址。

7.1、需要准備的工具

7.1.1、逆向類

Ida

JEB

文件編輯類

010 editor

Winhex

7.1.2、網絡、進程監控類

processmonitor

Wireshark

科來網絡分析系統

SRsniffer

7.1.3、固件分析類

Binwalk

BIN2BMP

PIXD

7.1.4、在線沙箱

微步雲沙箱 https://s.threatbook.cn/

奇安信雲沙箱 https://sandbox.ti.qianxin.com/sandbox/page

騰訊哈勃 https://habo.qq.com/

Joe Sandbox：https://www.joesandbox.com/

8、跳板機

一些影響范圍廣泛、利用簡單的漏洞 如：Phpstudy后門、Weblogic漏洞、Struts2漏洞、路由器監控攝像器等終端漏洞。

遇到CS server可通過csbruter工具爆破密碼。

常見的日志分析工具：

windows：logparser

linux：主要為一些命令的使用例：split sed cat sort uniq awk等

跳板機的溯源過程，可以主要從端口、進程、定時任務、日志來入手

8.1、Linux

8.1.1、端口查詢

使用 netstat 網絡連接命令，分析可疑端口、IP、PID

部分系統可使用lsof -i

查看下 pid 所對應的進程文件路徑，

運行 ls -l /proc/\(PID/exe 或 file /proc/\)PID/exe（$PID 為對應的 pid 號）

8.1.2、進程查詢

使用 ps 命令，分析進程

ps aux | grep pid

8.1.3、定時任務

1、利用 crontab 查詢創建的定時任務

基本命令

crontab -l 列出某個用戶cron服務的詳細內容

Tips：默認編寫的crontab文件會保存在 (/var/spool/cron/用戶名 例如: /var/spool/cron/root

8.1.4、Webshell查找

河馬 webshell：http://www.shellpub.com

8.1.5、Windows

8.1.5.1、檢查系統賬號安全

1、查看服務器是否存在可疑賬號、新增賬號。

檢查方法：打開 cmd 窗口，輸入 lusrmgr.msc 命令，查看是否有新增/可疑的賬號，如有管理員群組的（Administrators）里的新增賬戶，如有，請立即禁用或刪除掉。

2、查看服務器是否存在隱藏賬號、克隆賬號。

檢查方法：

a、打開注冊表 ，查看管理員對應鍵值。

b、使用D盾_web查殺工具，集成了對克隆賬號檢測的功能。

3、結合日志，查看管理員登錄時間、用戶名是否存在異常。

檢查方法：

a、Win+R 打開運行，輸入"eventvwr.msc"，回車運行，打開“事件查看器”。

b、導出 Windows 日志 -- 安全，利用微軟官方工具 Log Parser 進行分析。

8.1.5.2、端口查詢

1、檢查端口連接情況，是否有遠程連接、可疑連接。

檢查方法：

a、使用netstat -ano 命令查看目前的網絡連接，定位可疑的 ESTABLISHED

b、根據 netstat 命令定位出的 PID 編號，再通過 tasklist 命令進行進程定位 tasklist | findstr "PID"

8.1.5.3、進程查詢

檢查方法：

a、開始 -- 運行 -- 輸入 msinfo32 命令，依次點擊 "軟件環境 -- 正在運行任務" 就可以查看到進程的詳細信息，比如進程路徑、進程ID、文件創建日期以及啟動時間等。

b、打開D盾_web查殺工具，進程查看，關注沒有簽名信息的進程。

c、通過微軟官方提供的 Process Explorer 等工具進行排查 。

d、查看可疑的進程及其子進程。可以通過觀察以下內容：

• 沒有簽名驗證信息的進程
• 沒有描述信息的進程
• 進程的宿主
• 進程的路徑是否合法
• CPU 或內存資源占用長時間過高的進程

小技巧：

a、查看端口對應的 PID：netstat -ano | findstr "port"
b、查看進程對應的 PID：任務管理器 -- 查看 -- 選擇列 -- PID 或者 tasklist | findstr "PID"
c、查看進程對應的程序位置：
任務管理器 -- 選擇對應進程 -- 右鍵打開文件位置
運行輸入 wmic，cmd 界面輸入 process
d、tasklist /svc 進程 -- PID -- 服務
e、查看Windows服務所對應的端口：
%systemroot%/system32/drivers/etc/services（一般 %systemroot% 就是 C:\Windows 路徑） 

8.1.5.4、檢查啟動項、計划任務、服務

檢查服務器是否有異常的啟動項。

檢查方法：

a、登錄服務器，單擊【開始】>【所有程序】>【啟動】，默認情況下此目錄在是一個空目錄，確認是否有非業務程序在該目錄下。 b、單擊開始菜單 >【運行】，輸入 msconfig，查看是否存在命名異常的啟動項目，是則取消勾選命名異常的啟動項目，並到命令中顯示的路徑刪除文件。 c、單擊【開始】>【運行】，輸入 regedit，打開注冊表，查看開機啟動項是否正常，特別注意如下三個注冊表項：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

8.1.5.5、Webshell

使用D盾進行全盤掃描，對腳本文件進行人工判斷。

二、實戰篇

本篇內容主要以"2020HW"行動發生的真實攻擊事件為主，目的是用實戰案列給大家最直觀的感受，部分內容已脫敏。

1.web攻擊溯源篇

1、9.13日，18:10:43分蜜罐設備告警，發現攻擊者對自定義蜜罐界面進行端口掃描，在研判時發現該攻擊者IP地址為總部統一下發的高危預警IP，隨立即對其展開攻擊溯源工作。

我們獲取到IP后，首先對其進行威脅情報收集，推薦使用微步在線威脅情報社區。如圖：

2、通過ping該域名來獲取其使用的真實地址，得到地61.188.254.133

3、通過該地址反查域名得到xxooxxoo.xyz，再查詢該域名的whois信息，我們得到了攻擊者的初步信息。

4、在實戰過程中，往往我們反查IP地址獲取到的域名是獲取不到有效的利用信息的，此時我們需要更加耐心，查詢其歷史注冊域名，通過不斷的IP反查，域名反查來獲取更多信息，滲透的本質是信息收集，溯源的本身也是信息收集的一種體現。

5、通過前兩步的分析，我們得到了攻擊者的手機號與姓名，我們可以通過社交平台及APP來驗證攻擊者的真實性，也可以通過社工庫來獲取攻擊者的更多信息，社工庫源自Telegram