ID追踪
(1) 百度信息收集:“id” (双引号为英文)
(2) 谷歌信息收集
(3) src信息收集(各大src排行榜)
(4) 微博搜索(如果发现有微博记录,可使用tg查询weibo泄露数据)
(5) 微信ID收集:微信进行ID搜索(直接发钉钉群一起查)
(6) 如果获得手机号(可直接搜索支付宝、社交账户等)
注:获取手机号如信息不多,直接上报钉钉群(利用共享渠道对其进行二次工作)
(7) 豆瓣/贴吧/知乎/脉脉 你能知道的所有社交平台,进行信息收集
(8) 其他补充
在github,gitee,开源中国中查找
在社交平台上查找,(微信/微博/linkedin/twitter)
技术博客(csdn,博客园),src平台(补天)
在安全群/安全圈子里询问。
IP定位
https://www.opengps.cn/Data/IP/ipplus.aspx
网站URL,恶意样本
这是原生后门(未进行免杀及其他操作)
这是昨天的域前置后门(只是做了域前置,未做免杀)
回连IP为正常IDC,最起码隐藏了IP(emmm)
1、可利用网站:
https://x.threatbook.cn/ https://ti.qianxin.com/ https://ti.360.net/ https://www.venuseye.com.cn/
2、根据域名进行溯源
whois查询
备案查询
企查查/天眼查查询
zoomeye/fofa查询
3、样本特征字符密码等
如后门的密码,源码中的注释,反编译分析的特殊字符串等
社交帐号:
1、reg007
输入手机号查询注册过那些网站(当然充vip查的信息会更多emmm)
这里我确实注册过ASUS
2、各种库子查询
手机号码:
1、支付宝转账 - > 确定姓名,甚至获取照片
2、微信搜索 -> 微信ID可能是攻击者的ID,甚至照片
3、各种裤子
之前的快递事件以及这几天的微信事件
攻击画像大概模型: 姓名/ID: 攻击IP: 地理位置: QQ: IP地址所属公司: IP地址关联域名: 邮箱: 手机号: 微信/微博/src/id证明: 人物照片: 跳板机(可选): 关联攻击事件:
日志提取-IP地址溯源-攻击画像
日志上分析出攻击者IP地址
威胁感知-标签-社交-库搜搜-电话,其他信息等
内鬼提取-ID昵称溯源-攻击画像
某天Tg上有人贩卖课程,寻找内鬼开始
文件提取-恶意样本溯源-攻击画像
后门-IP-IP反查域名-域名收集-个人信息
