反制取证典范with思路
2024-7-4 10:27:19 Author: mp.weixin.qq.com(查看原文) 阅读量:7 收藏

有意思的反制案例

漫漫长夜,身为一只值守的小牛马,突然看见蜜罐上上线了一个奇怪的告警~

oh~有攻击者被反制上鱼了

看看上线的机器都有什么信息呢?

嗯,手机号有了,报告稳了!

wifi信息确认了大概的单位名,结合ip定位可以大致印证一下是否有溯偏,我这里用埃文免费查了一次发现两个信息是对得上的

趁着机器还在线,去找找攻击者MacOS上的宝藏

路径东西倒是不少呢,录用通知书都出来了,这里可以写完整报告了

折腾完毕,在访问其他路径的时候估计是触发了MacOS的弹窗,被攻击者发现,清理离线了

那么根据当前的情况,过滤一下攻击者的ip,还原一下攻击者的上线经过,完善整体的反制路径

根据日志得知攻击者在通过git扫描的钓鱼页面的时候被反制了,之后没看见对我们单位有什么动作,估计是因为git反制的原理导致的,他日后估计还会多次上线。

既然上线了那就只好把你写进我的报告啦~

常见的几种溯源/反制手法

现代化蜜罐都做了哪些溯源/反制的操作呢?

  1. 1. 可克隆相关系统页面,伪装“漏洞”系统,以此进行反制。常见的有git反制、svn反制、goby反制、cs反制、还有一些应用的 0 day和 n day等。

  2. 2. 可克隆相关系统页面,伪装内部应用下载,以此诱导攻击者运行网站的木马程序进行反制。

  3. 3. 互联网端投饵,一般会在Github、Gitee、Coding上投放蜜标(有可能是个单独的网站地址、也有可能是个密码本引诱中招)。

  4. 4. 利用JSONP、XSS、CSRF等前端类漏洞获取访问蜜标的攻击者网络身份(网络画像)。

溯源社交平台到验证身份

所有的社交id都是为了得到 攻击者手机号/网络ID 以便于进一步得到攻击者详细信息

例如网络id可以拿到Google、Github、各大src等平台中访问搜索。

百度、微博、qq号都是可以尝试查看发布的公开信息的。

例如百度可以通过 baidu贴吧 --> qq号 --> 手机号 --> 支付宝查询真实姓名

良好的案例:

百度贴吧的回帖中发现红队老哥泄露了自己的联系方式

搜索QQ查看一些基本信息

SG库检索QQ号获取到了手机号

手机号检索到了微信号、脉脉等信息

支付宝转账验证,得到真实姓名

如果是打马中间四位数的手机号,可以去找找在线去空号的接口,或者付费去空号。

得到可用手机号之后,再给安卓手机批量导入剩余非空号的号码,去脉脉、百度贴吧等地方查看攻击者的详细信息,筛选定位出具体的攻击者。

手机号可以通过支付宝转账获得攻击者的真实姓名(可配合银行卡转账信息),得到完整手机号。

通过在线的各种信息检测接口来得到更多的信息。例如:https://privacy.aiuys.com/

得到进一步的更多信息,坐实攻击者身份


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2MzA3OTgxOA==&mid=2657165556&idx=1&sn=ed8d86668a3a9e692a8f23f09af14be5&chksm=f1d4d211c6a35b07f6bf2a6a41b3f7c1834a1ba7c8687729dfd752bda8534e342d6b030eca09&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh