19.HVV溯源

HVV溯源


目录

• HVV溯源
  
  
  
  • 一、概念
    
  • 二、蜜罐的概念
    
    
    
    • 蜜罐类型
      
    • 国内的一些蜜罐产品：
      
    
    
  • 三、溯源思路
    
    
    
    • 1、捕获攻击源
      
    • 2、溯源反制手段
      
    • 3、攻击者画像
      
    
    
  • 四、IP地址溯源
    
  • 五、钓鱼邮件溯源
    
  • 五、威胁情报平台
    
  • 六、ip反查
    
  • 七、在线云沙箱
    
  • 八、实验
    
  
  

一、概念

​                护网溯源是指通过各种技术手段，追溯和识别网络中恶意攻击、违法犯罪等活动的来源和行为轨迹，以便及时采取措施保障网络安全。具体来说，护网溯源包括网络攻击溯源、垃圾邮件溯源、网络诈骗溯源等。
​                在实际应用中，护网溯源通常需要依靠网络监控、网络日志分析、数据包捕获等技术手段，对网络中的数据流进行分析和监控，以便发现和追踪恶意行为。护网溯源也是网络安全工作中的一个重要环节，可以帮助保护网络安全和用户隐私。
二、蜜罐的概念

​                模拟各种常见的应用服务，诱导攻击者攻击，从而记录攻击者的入侵行为，获取攻击者的主机信息、浏览器信息、甚至是真实 IP及社交信息。
蜜罐溯源的常见两种方式：
1、网站上插入特定的js文件
2、网站上显示需要下载某插件
蜜罐类型

低交互蜜罐中交互蜜罐高交互蜜罐真实操作系统否否是威胁性低中高信息收集连接请求所有运行所需要环境低低高部署所需环境低高很高国内的一些蜜罐产品：

谛听（长亭科技）
幻盾、幻阵（默安）
蜃景（360）
春秋云阵（永信至诚）
幻云（锦行科技）
明鉴迷网（安恒）
御阵（腾讯）
潜听（天融信）
幻影（非凡安全）
天燕（启明星辰）
三、溯源思路

1、捕获攻击源

（1）安全设备报警
（2）日志和流量分析
（3）服务器资源异常
（4）钓鱼邮件
（5）蜜罐系统
2、溯源反制手段

（1）IP定位（判断物理地址）
（2）ID追踪
（3）网站url
（4）恶意样本
（5）社交账号
3、攻击者画像

姓名、攻击IP地址、地理位置、QQ、IP地址所属公司、IP地址关联域名、邮箱、手机号、微信、微博、人物照片、博客
四、IP地址溯源

通过IP地址获得信息：
（1）判断是不是肉鸡，如果是肉鸡，尝试入侵肉鸡，如果可以成功入侵，可以查询登录日志、账号信息、昵称、黑客是否上传工具、历史操作记录、后门文件、进程、外连ip
（2）情报收集，判断是百度云、阿里云、腾讯云等厂商的ip，通过ip可以查到域名信息、邮箱和手机号等。如果查不到手机号，可以通过百度云、阿里云等平台上的账号找回功能，判断手机号的前几位或者后几位。通过手机号看能否加到微信号、QQ号等社交平台。
肉鸡
1、登录日志、新建账号、昵称
2、传工具、界面上面
3、历史操作记录、文件后门
4、进程、外连ip、真实ip
发现更多攻击者的痕迹
情报收集
1、cdn、百度云、阿里云、腾讯云
2、域名信息
3、邮箱和手机号
4、找手机号：
5、账号找回功能：
ip定位
1、安全公司所在位置
2、安全公司的网关
五、钓鱼邮件溯源

发件人账号（xxxx@qq.com   ）
发送的邮件服务器  ip
发件人
邮件的内容
钓鱼网站/木马附件
exe  开发人员终端
doc   最后编辑的谁（昵称）
昵称怎么去关联
蜜罐
百度id--->百度贴吧--->qq
五、威胁情报平台

https://www.secpulse.com/archives/173479.html
https://www.virustotal.com/　　               VirusTotal
https://x.threatbook.cn/　　                      微步在线-微步情报社区
https://ti.qianxin.com/　　                         奇安信威胁情报
https://ti.360.net/　　                                 360威胁情报中心
https://www.venuseye.com.cn/　　         启明星辰威胁情报
https://redqueen.tj-un.com　　                天际友盟REDQUEE安全智能服务平台
https://poma.nsfocus.com/　　                绿盟的威胁分析中心
六、ip反查

https://www.chaipip.com/　　                                  高精度IP地址查询-查IP
https://www.opengps.cn/Data/IP/ipplus.aspx　　高精度IP定位
https://www.ipip.net/ip.html　　                              ip反查
http://ip.yqie.com/　　                                                ip地址反向查询
http://qd.yyimg.com/act/index/id/　　                     百度ID反查
https://www.reg007.com/　　                                    注册网站反查
https://ip.rtbasia.com/                                                 tbasia（IP查询）
https://www.ipplus360.com/                                      ipplus360（IP查询）
https://tool.lu/ip/                                                          IP地址查询在线工具
七、在线云沙箱

在线云沙箱
https://ata.360.cn/detection　　                                360沙箱云
https://s.threatbook.cn/　                                       　微步云沙箱
https://www.virustotal.com/gui/home/upload　　VirusTotal平台
https://www.maldun.com/submit/submit_file/　　魔盾安全分析平台
https://app.any.run/　                                              　Any.Run交互式恶意软件分析平
https://habo.qq.com/　　                                            腾讯哈勃系统
https://mac-cloud.riskivy.com　　                              FreeBuf × 漏洞盒子「大圣云沙箱
八、实验

实验1：搭建蜜罐HFish

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！