MENU

某期间用到的溯源技巧

October 10, 2020 • Read: 197 • 信息收集阅读设置

0x00 前言

首发在公众号:零队
HVV期间负责的有溯源这块的工作,整理一下用到的技巧。通常情况下,溯源需要获取到目标攻击者的一部分社会信息,比如手机号,邮箱,QQ号,微信号等,通过这些信息在互联网可以进一步追溯攻击者的更多暴露信息。方便进一步溯源。

--Keefe

0x01 技巧

没有外网高交互的探针蜜罐提供收集到的攻击者信息的话,如果只是单单知道一个域名、一个ip,以个人的力量其实很难针对性的去做溯源。

不过还是有些办法可以应付一些工作,前提当然是拿到了一些信息的情况。

1.域名、ip反查目标个人信息

通过威胁情报平台确认攻击来路是否为威胁ip,常用的平台通常有

https://ti.qianxin.com/ 奇安信威胁情报中心

https://x.threatbook.cn/ 微步在线威胁情报社区

等。

通常会用到这些思路:

  1. ip反查域名
  2. 域名查whois注册信息
  3. 域名查备案信息
  4. 域名反查邮箱
  5. 邮箱反查下属域名
  6. 域名反查注册人
  7. 注册人反查下属域名

在这上面可以综合的查到ip或者域名的一些活动信息,或者whois信息,也可以单去查whois,只是需要去分辨下历史whois的信息,确认当前域名的所有者到底是不是同一个人。当然,现在部分域名商有隐藏whois的情况,这种暂时没思路。

例:

image-20201009184440084.png

2.支付宝转账,确定目标姓氏

已知支付宝账号(手机号、邮箱),大额转账可验证姓氏,如果对的话,会提示成功,所以可以尝试多次。

image-20201009184955547.png

image-20201009185154248.png

3.淘宝找回密码,确定目标名字

已知淘宝账号(任意手机号、邮箱、用户名,其一即可),手机app找回密码处,验证方式选择拍摄脸部。

image-20201009185609219.png

验证流程中即可获得目标的名字。

image-20201009185726585.png

4.企业微信手机号查公司名称

HVV中溯源报告需要指认目标到对应公司,这里很多企业都有企业微信,比如某友商。如果拿到目标的企业微信注册手机号,那么即可证明所属公司。这里有个技巧,估计是bug,会把所属企业显示出来:

第一步,微信增加朋友,选择企业微信联系人。

image-20201009190636271.png

第二步,点击增加到通讯录,然后先不动。

image-20201009190847677.png

第三步,点击回退按钮。

image-20201009190940733.png

第四步,然后他的所属企业就显示出来了。

image-20201009191104504.png

5.REG007查注册应用、网站

https://www.reg007.com/

image-20201009191312101.png

这个懂得都懂,偶有额外的站点能查到能过信息,比如顺藤摸瓜找到的微博,搞IT总是把自己的个人介绍弄的特别详细。

例:几周前,通过一些信息,顺藤摸瓜通过QQ找到了注册微博了,通过找到微博,看到了某目标的人生履历。

image-20201009191823680.png

微博信息:

image-20201009192010591.png

这个REG007还有一些思路,下面还有个例子会再介绍。

6.程序PDB信息泄露

场景有很多,比如拦截捕获到了木马样本,比如shellcode loader,通过自己编译生成的这种程序,如果生成了调试信息,没有勾选否,那么就可能会造成PDB信息泄露。

image-20201009192718367.png

例:前面某期间,抓到的木马样本,通过C32看到程序尾部的信息,找到了生成木马的主机用户名,通常情况下很多黑客都喜欢用自己的ID作为主机用户名,跟同事通过Twitter看到另外的大佬也捕获到了这个马子,推断是国外黑客,虽然最终没有准确溯源到人,但是这个是一种溯源的思路。

通过C32分析,看到尾部的信息,找到mr.anderson这个ID。

image-20201009193155269.png

image-20201009193222148.png

通过找Twitter,发现这个,倒真是巧合,看来这个anderson搞了很多钓鱼邮件,怀疑是国外黑客。

https://twitter.com/L0x3rh4u/status/1298517307468128260

image-20201009194049446.png

7.在线挖洞

最后这个技巧有风险,可以结合点挖洞的思路,但是未授权所以风险太高了,最后不了了之。

例:

某期间,通过REG007找到了目标的注册域名手机号,发现注册了一个XX简历网站,是修改简历的,需要上传简历,然后简单用手机号注册了下,发现收到了四位验证码。

又去测了下找回密码,发现也是收到了四位验证码,用burp跑了下自己的账号,发现重置了密码,但是因为防守方的局限性,再加上未授权,所以就没有尝试别人的账号。延伸下思路,对抗的思路,主动出击的防守方,如果规则允许的话,那么可能也是不错的溯源思路?

0x02 总结

这次其实负责了蛮多的活儿,研判、溯源都参与了。感觉溯源就是结合攻击者来路暴露的信息,加上一些判断,去分析信息的真实性,一步一步构建出攻击者的人物画像,像手机号、邮箱这种直接能找到很多注册业务的信息,总能收集到一些东西,最后总结报告提交完事。

原文作者:Keefe

原文链接:某期间用到的溯源技巧

版权声明:本文采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可