【网络安全】护网系列-蜜罐&情报搜集

6. 蜜罐

6.1 概念

蜜罐的概念：

模拟各种常见的应用服务，诱导攻击者攻击，

从而记录攻击者的入侵行为，获取攻击者的主机信息、浏览器信息、甚至是真实 IP及社交信息。

6.2溯源常见方式

蜜罐溯源的常见两种方式：

1、网站上插入特定的js文件（大多数）

2、网站上显示需要下载某插件

6.3 蜜罐分类

蜜罐的分类：

1、低交互蜜罐

2、中交互蜜罐

3、高交互蜜罐

6.4 蜜罐产品

观安魅影

谛听（长亭科技）（好用）
幻盾、幻阵（默安）（好用）
蜃景（360）
春秋云阵（永信至诚）
幻云（锦行科技）
明鉴迷网（安恒）
御阵（腾讯）
潜听（天融信）
幻影（非凡安全）
天燕（启明星辰）
等等

6.5 蜜罐部署

蜜罐环境部署：Hfish 开源免费的低交互蜜罐

部署教程
https://hfish.net/#/2-3-windows

6.6 溯源方法

6.6.1 威胁情报平台

https://www.secpulse.com/archives/173479.html

https://www.virustotal.com/　　VirusTotal

https://x.threatbook.cn/　　微步在线-微步情报社区

https://ti.qianxin.com/　　奇安信威胁情报

https://ti.360.net/　　360威胁情报中心

https://www.venuseye.com.cn/　　启明星辰威胁情报

https://redqueen.tj-un.com　　天际友盟REDQUEE安全智能服务平台

https://poma.nsfocus.com/　　绿盟的威胁分析中心

6.6.2 IP反查

IP定位

https://www.chaipip.com/　　高精度IP地址查询-查IP

https://www.opengps.cn/Data/IP/ipplus.aspx　　高精度IP定位

https://www.ipip.net/ip.html　　ip反查

http://ip.yqie.com/　　ip地址反向查询

http://qd.yyimg.com/act/index/id/　　百度ID反查

https://www.reg007.com/　　注册网站反查

https://ip.rtbasia.com/  tbasia（IP查询）

https://www.ipplus360.com/ ipplus360（IP查询）

https://tool.lu/ip/ IP地址查询在线工具

在线云沙箱

https://ata.360.cn/detection　　360沙箱云

https://s.threatbook.cn/　　微步云沙箱

https://www.virustotal.com/gui/home/upload　　VirusTotal平台

https://www.maldun.com/submit/submit_file/　　魔盾安全分析平台

https://app.any.run/　　Any.Run交互式恶意软件分析平

https://habo.qq.com/　　腾讯哈勃系统

https://mac-cloud.riskivy.com　　FreeBuf × 漏洞盒子「大圣云沙箱

6.6.2.1 IP地址溯源

1、探测资产：vps上搭建博客  个人昵称   简介  昵称：称号 src榜单是不是  
2、漏洞探测:  攻击队的成员  分数

肉鸡溯源
1、登录日志 新建账号   昵称
2、传工具   界面上面   qq号  by：xxxxx实验室  联系人：xxx
3、历史操作记录  文件后门
4、进程   外连ip  红队的资产  真实ip
发现更多攻击者的痕迹

6.6.2.2 情报收集

cdn  百度云 阿里云    腾讯云
域名信息
邮箱和手机号
找手机号：
利用账号找回功能，泄漏手机号

6.6.2.3 IP定位

安全公司所在位置
安全公司的网关

6.6.2.4 钓鱼邮件

发件人账号（xxxx@qq.com ）
留意发送的邮件服务器 ip
发件人
邮件的内容

钓鱼网站/木马附件

https://wfsfsf.com

exe 可以查看开发人员终端
doc 可以查看最后编辑文档的人员（昵称）

针对昵称怎么去关联
蜜罐

百度id-》百度贴吧 -》 qq

社工攻击

监控：
研判
溯源

最后通过手机号 添加到通讯录
抖音 微博 社交软件 推荐他的号给你

7. TIG情报搜集

TIG 威胁情报收集

7.1 介绍

TIG Threat Intelligence Gathering ，即威胁情报收集。

在蓝队进行溯源工作时，通常有以下场景：

1. 需要对 IP 的威胁情报信息、域名反查备案、IP 存活等信息进行查询

2. 需要对多个攻击 IP 进行查询

为了提高蓝队在进行这项工作时的效率，为此简单编写了一个威胁情报收集的小工具。

项目地址：

https://github.com/wgpsec/tig](https://github.com/wgpsec/tig)

当前该工具获取 IP 的信息有以下几个角度：

1. 微步情报信息：获取到 IP 的标签信息、是否恶意 IP、地理位置等等

2. IP 域名反查：获取到 IP 对应的域名，从而根据域名查询到备案信息和 Whois 信息

3. Fofa 信息：获取到 IP 可能开放的端口和 IP 对应的域名信息

4. Ping 存活检测：判断 IP 是否存活

假设在获取到的信息最大化情况下，通过 TIG 可以一键发现 IP 对应的情报标签、域名、域名注册人、备案邮箱、备案号、备案单位、域名注册商、IP 开放端口、地理位置等等信息。

7.2 安装

需要 python3.6 或更高版本支持

git clone https://github.com/wgpsec/tig.git
cd  tig
pip3 install -r requirements.txt
python3 tig.py

7.3 使用

UNIX 安装指南：

cd /opt/
git clone https://github.com/wgpsec/tig.git
echo '#!/bin/bash
cd /opt/tig
python3 tig.py $@' > /usr/bin/tig
chmod +x /usr/bin/tig
tig -v

工具命令如下：

 -h, --help  show this help message and exit
 -c CONFIG   指定配置文件，默认 ./config.ini
 -f FILE     指定 IP 文本，一行一个
 -i IP       指定目标 IP
 -p PROXY    指定代理，比如：http://127.0.0.1:1080 或者 socks5://127.0.0.1:1080
 -o OUTPUT   导出为 excel 表格，例如 output.xlsx

配置文件

如果是第一次使用本工具，在启动时会提示输入您的微步 API 和 Fofa API

查看自己微步 API Key 的地址为：https://x.threatbook.cn/nodev4/vb4/myAPI，免费账户有每天 50 次的限额。

查看自己 Fofa API Key 的地址为：https://fofa.info/personalData，普通会员每次免费前 100 条，高级会员每次免费前 10000 条。

如果之前使用过历史版本，程序会自动根据原来的配置文件生成当前的配置文件，无需手动更改。

7.4 示例

例如这里要获取某个 IP 的信息，直接使用 -i 命令即可，结果会默认保存到 output 文件夹内，或者 -o 指定导出文件位置。

或者直接指定一个 IP 列表，结果导出到 result.xlsx 文件里。

导出表格文件信息如下