19.HVV溯源

networksecurity

HVV溯源
目录

HVV溯源

一、概念

二、蜜罐的概念

蜜罐类型

国内的一些蜜罐产品：

三、溯源思路

1、捕获攻击源

2、溯源反制手段

3、攻击者画像

四、IP地址溯源

五、钓鱼邮件溯源

五、威胁情报平台

六、ip反查

七、在线云沙箱

八、实验
一、概念
​                护网溯源是指通过各种技术手段，追溯和识别网络中恶意攻击、违法犯罪等活动的来源和行为轨迹，以便及时采取措施保障网络安全。具体来说，护网溯源包括网络攻击溯源、垃圾邮件溯源、网络诈骗溯源等。
​                在实际应用中，护网溯源通常需要依靠网络监控、网络日志分析、数据包捕获等技术手段，对网络中的数据流进行分析和监控，以便发现和追踪恶意行为。护网溯源也是网络安全工作中的一个重要环节，可以帮助保护网络安全和用户隐私。
二、蜜罐的概念
​                模拟各种常见的应用服务，诱导攻击者攻击，从而记录攻击者的入侵行为，获取攻击者的主机信息、浏览器信息、甚至是真实 IP及社交信息。
蜜罐溯源的常见两种方式：
1、网站上插入特定的js文件
2、网站上显示需要下载某插件
蜜罐类型

	低交互蜜罐	中交互蜜罐	高交互蜜罐
真实操作系统	否	否	是
威胁性	低	中	高
信息收集	连接	请求	所有
运行所需要环境	低	低	高
部署所需环境	低	高	很高

国内的一些蜜罐产品：
谛听（长亭科技）
幻盾、幻阵（默安）
蜃景（360）
春秋云阵（永信至诚）
幻云（锦行科技）
明鉴迷网（安恒）
御阵（腾讯）
潜听（天融信）
幻影（非凡安全）
天燕（启明星辰）
三、溯源思路
1、捕获攻击源
（1）安全设备报警
（2）日志和流量分析
（3）服务器资源异常
（4）钓鱼邮件
（5）蜜罐系统
2、溯源反制手段
（1）IP定位（判断物理地址）
（2）ID追踪
（3）网站url
（4）恶意样本
（5）社交账号
3、攻击者画像
姓名、攻击IP地址、地理位置、QQ、IP地址所属公司、IP地址关联域名、邮箱、手机号、微信、微博、人物照片、博客
四、IP地址溯源
通过IP地址获得信息：
（1）判断是不是肉鸡，如果是肉鸡，尝试入侵肉鸡，如果可以成功入侵，可以查询登录日志、账号信息、昵称、黑客是否上传工具、历史操作记录、后门文件、进程、外连ip
（2）情报收集，判断是百度云、阿里云、腾讯云等厂商的ip，通过ip可以查到域名信息、邮箱和手机号等。如果查不到手机号，可以通过百度云、阿里云等平台上的账号找回功能，判断手机号的前几位或者后几位。通过手机号看能否加到微信号、QQ号等社交平台。
肉鸡
1、登录日志、新建账号、昵称
2、传工具、界面上面
3、历史操作记录、文件后门
4、进程、外连ip、真实ip
发现更多攻击者的痕迹
情报收集
1、cdn、百度云、阿里云、腾讯云
2、域名信息
3、邮箱和手机号
4、找手机号：
5、账号找回功能：
ip定位
1、安全公司所在位置
2、安全公司的网关
五、钓鱼邮件溯源
发件人账号（xxxx@qq.com   ）
发送的邮件服务器  ip
发件人
邮件的内容
钓鱼网站/木马附件
exe  开发人员终端
doc   最后编辑的谁（昵称）
昵称怎么去关联
蜜罐
百度id---百度贴吧---qq
五、威胁情报平台
https://www.secpulse.com/archives/173479.html
https://www.virustotal.com/　　               VirusTotal
https://x.threatbook.cn/　　                      微步在线-微步情报社区
https://ti.qianxin.com/　　                         奇安信威胁情报
https://ti.360.net/　　                                 360威胁情报中心
https://www.venuseye.com.cn/　　         启明星辰威胁情报
https://redqueen.tj-un.com　　                天际友盟REDQUEE安全智能服务平台
https://poma.nsfocus.com/　　                绿盟的威胁分析中心
六、ip反查
https://www.chaipip.com/　　                                  高精度IP地址查询-查IP
https://www.opengps.cn/Data/IP/ipplus.aspx　　高精度IP定位
https://www.ipip.net/ip.html　　                              ip反查
http://ip.yqie.com/　　                                                ip地址反向查询
http://qd.yyimg.com/act/index/id/　　                     百度ID反查
https://www.reg007.com/　　                                    注册网站反查
https://ip.rtbasia.com/                                                 tbasia（IP查询）
https://www.ipplus360.com/                                      ipplus360（IP查询）
https://tool.lu/ip/                                                          IP地址查询在线工具
七、在线云沙箱
在线云沙箱
https://ata.360.cn/detection　　                                360沙箱云
https://s.threatbook.cn/　                                       　微步云沙箱
https://www.virustotal.com/gui/home/upload　　VirusTotal平台
https://www.maldun.com/submit/submit_file/　　魔盾安全分析平台
https://app.any.run/　                                              　Any.Run交互式恶意软件分析平
https://habo.qq.com/　　                                            腾讯哈勃系统
https://mac-cloud.riskivy.com　　                              FreeBuf × 漏洞盒子「大圣云沙箱
八、实验
实验1：搭建蜜罐HFish