【网络安全】护网系列-蜜罐&情报搜集

本文涉及的产品
.cn 域名,1个 12个月
简介: 【网络安全】护网系列-蜜罐&情报搜集

6. 蜜罐

6.1 概念

蜜罐的概念:

模拟各种常见的应用服务,诱导攻击者攻击

从而记录攻击者的入侵行为,获取攻击者的主机信息、浏览器信息、甚至是真实 IP及社交信息。

image-20230724101911658.png

6.2溯源常见方式

蜜罐溯源的常见两种方式:

1、网站上插入特定的js文件(大多数)

2、网站上显示需要下载某插件

6.3 蜜罐分类

蜜罐的分类:

1、低交互蜜罐

2、中交互蜜罐

3、高交互蜜罐

image-20230724102024750.png

6.4 蜜罐产品

观安魅影

image-20230724102145476.png

image-20230724102211173.png

谛听(长亭科技)(好用)
幻盾、幻阵(默安)(好用)
蜃景(360)
春秋云阵(永信至诚)
幻云(锦行科技)
明鉴迷网(安恒)
御阵(腾讯)
潜听(天融信)
幻影(非凡安全)
天燕(启明星辰)
等等

6.5 蜜罐部署

蜜罐环境部署:Hfish 开源免费的低交互蜜罐

image-20230724102320878.png

部署教程
https://hfish.net/#/2-3-windows

6.6 溯源方法

6.6.1 威胁情报平台

https://www.secpulse.com/archives/173479.html

https://www.virustotal.com/  VirusTotal

https://x.threatbook.cn/  微步在线-微步情报社区

https://ti.qianxin.com/  奇安信威胁情报

https://ti.360.net/  360威胁情报中心

https://www.venuseye.com.cn/  启明星辰威胁情报

https://redqueen.tj-un.com  天际友盟REDQUEE安全智能服务平台

https://poma.nsfocus.com/  绿盟的威胁分析中心

6.6.2 IP反查

IP定位

https://www.chaipip.com/  高精度IP地址查询-查IP

https://www.opengps.cn/Data/IP/ipplus.aspx  高精度IP定位

https://www.ipip.net/ip.html  ip反查

http://ip.yqie.com/  ip地址反向查询

http://qd.yyimg.com/act/index/id/  百度ID反查

https://www.reg007.com/  注册网站反查

https://ip.rtbasia.com/  tbasia(IP查询)

https://www.ipplus360.com/ ipplus360(IP查询)

https://tool.lu/ip/ IP地址查询在线工具

在线云沙箱

https://ata.360.cn/detection  360沙箱云

https://s.threatbook.cn/  微步云沙箱

https://www.virustotal.com/gui/home/upload  VirusTotal平台

https://www.maldun.com/submit/submit_file/  魔盾安全分析平台

https://app.any.run/  Any.Run交互式恶意软件分析平

https://habo.qq.com/  腾讯哈勃系统

https://mac-cloud.riskivy.com  FreeBuf × 漏洞盒子「大圣云沙箱
6.6.2.1 IP地址溯源
1、探测资产:vps上搭建博客  个人昵称   简介  昵称:称号 src榜单是不是  
2、漏洞探测:  攻击队的成员  分数

肉鸡溯源
1、登录日志 新建账号   昵称
2、传工具   界面上面   qq号  by:xxxxx实验室  联系人:xxx
3、历史操作记录  文件后门
4、进程   外连ip  红队的资产  真实ip
发现更多攻击者的痕迹
6.6.2.2 情报收集
cdn  百度云 阿里云    腾讯云
域名信息
邮箱和手机号
找手机号:
利用账号找回功能,泄漏手机号
6.6.2.3 IP定位
安全公司所在位置
安全公司的网关
6.6.2.4 钓鱼邮件

发件人账号(xxxx@qq.com )
留意发送的邮件服务器 ip
发件人
邮件的内容

钓鱼网站/木马附件

https://wfsfsf.com

exe 可以查看开发人员终端
doc 可以查看最后编辑文档的人员(昵称)

针对昵称怎么去关联
蜜罐

百度id-》百度贴吧 -》 qq

社工攻击

监控:
研判
溯源

最后通过手机号 添加到通讯录
抖音 微博 社交软件 推荐他的号给你

7. TIG情报搜集

TIG 威胁情报收集

GitHub stars GitHub issues GitHub release

tig

7.1 介绍

TIG Threat Intelligence Gathering ,即威胁情报收集。

在蓝队进行溯源工作时,通常有以下场景:

  1. 需要对 IP 的威胁情报信息、域名反查备案、IP 存活等信息进行查询

  2. 需要对多个攻击 IP 进行查询

为了提高蓝队在进行这项工作时的效率,为此简单编写了一个威胁情报收集的小工具。

项目地址:

https://github.com/wgpsec/tig](https://github.com/wgpsec/tig)

当前该工具获取 IP 的信息有以下几个角度:

  1. 微步情报信息:获取到 IP 的标签信息、是否恶意 IP、地理位置等等

  2. IP 域名反查:获取到 IP 对应的域名,从而根据域名查询到备案信息和 Whois 信息

  3. Fofa 信息:获取到 IP 可能开放的端口和 IP 对应的域名信息

  4. Ping 存活检测:判断 IP 是否存活

假设在获取到的信息最大化情况下,通过 TIG 可以一键发现 IP 对应的情报标签、域名、域名注册人、备案邮箱、备案号、备案单位、域名注册商、IP 开放端口、地理位置等等信息。

TIG.png

7.2 安装

需要 python3.6 或更高版本支持

git clone https://github.com/wgpsec/tig.git
cd  tig
pip3 install -r requirements.txt
python3 tig.py

7.3 使用

UNIX 安装指南:

cd /opt/
git clone https://github.com/wgpsec/tig.git
echo '#!/bin/bash
cd /opt/tig
python3 tig.py $@' > /usr/bin/tig
chmod +x /usr/bin/tig
tig -v

工具命令如下:

 -h, --help  show this help message and exit
 -c CONFIG   指定配置文件,默认 ./config.ini
 -f FILE     指定 IP 文本,一行一个
 -i IP       指定目标 IP
 -p PROXY    指定代理,比如:http://127.0.0.1:1080 或者 socks5://127.0.0.1:1080
 -o OUTPUT   导出为 excel 表格,例如 output.xlsx

配置文件

如果是第一次使用本工具,在启动时会提示输入您的微步 API 和 Fofa API

tig2.png

查看自己微步 API Key 的地址为:https://x.threatbook.cn/nodev4/vb4/myAPI,免费账户有每天 50 次的限额。

查看自己 Fofa API Key 的地址为:https://fofa.info/personalData,普通会员每次免费前 100 条,高级会员每次免费前 10000 条。

如果之前使用过历史版本,程序会自动根据原来的配置文件生成当前的配置文件,无需手动更改。

tig3.png

image-20230724110638817.png

7.4 示例

例如这里要获取某个 IP 的信息,直接使用 -i 命令即可,结果会默认保存到 output 文件夹内,或者 -o 指定导出文件位置。

tig4.png

或者直接指定一个 IP 列表,结果导出到 result.xlsx 文件里。

tig5.png

导出表格文件信息如下

tig6.png

目录
相关文章
|
运维 监控 安全
【网络安全】护网系列-社工&溯源
【网络安全】护网系列-社工&溯源
1023 0
|
5月前
|
安全 网络安全 SDN
网络安全中的蜜罐技术与威胁诱捕:主动防御的新篇章
【7月更文挑战第6天】随着网络安全威胁的日益严峻,蜜罐技术与威胁诱捕技术作为主动防御的重要手段,正逐步成为网络安全领域的新宠。通过不断的技术创新和实践应用,我们有理由相信,在未来的网络安全战争中,蜜罐与威胁诱捕技术将发挥越来越重要的作用,为我们的网络安全保驾护航。
|
7月前
|
云安全 监控 安全
什么是蜜罐,在当前网络安全形势下,蜜罐能提供哪些帮助
蜜罐作为一种主动防御技术,在网络安全领域发挥着越来越重要的作用。通过部署蜜罐,组织可以及时发现并应对网络攻击,提高网络的安全防护能力。同时,蜜罐也可以作为一个研究工具,帮助安全研究人员了解攻击者的行为和技术。
|
7月前
|
存储 监控 安全
网络安全产品之认识蜜罐
蜜罐的概念首次由Clifford Stoll在其1988年出版的小说《The Cuckoo's Egg》中提出。Clifford Stoll不仅是一位著名的计算机安全专家,还是这本小说的作者。他在小说中描述了自己作为一个公司的网络管理员如何追踪并发现一起商业间谍案的故事。在这个过程中,他成功地利用包含虚假信息的文件作为诱饵来检测入侵,这种技术思想就是蜜罐的雏形。因此,可以认为Clifford Stoll是首次提出蜜罐概念的人。随后,在1998年,商用的蜜罐产品开始出现,这标志着蜜罐技术开始从理论走向实际应用。本文让我们一起来认识蜜罐。
149 0
|
安全 Linux Shell
【网络安全】护网系列-权限维持-Linux权限提升&维持
【网络安全】护网系列-权限维持-Linux权限提升&维持
359 0
|
SQL 安全 网络协议
【网络安全】护网系列-流量分析
【网络安全】护网系列-流量分析
1000 1
|
SQL 监控 安全
【网络安全】护网系列-护网安全设备
【网络安全】护网系列-护网安全设备
634 0
|
网络协议 安全 Shell
【网络安全】护网系列-隧道代理
【网络安全】护网系列-隧道代理
295 0
|
安全 关系型数据库 MySQL
【网络安全】护网系列-应急响应排查
【网络安全】护网系列-应急响应排查
537 0
|
安全 Shell 网络安全
【网络安全】护网系列-windows权限维持
【网络安全】护网系列-windows权限维持
186 0