1. 概述

溯源整个流程我认为有三个部分。

1. 攻击源捕获。

2. 溯源信息

3. 输出攻击者画像

攻击源的捕获是为了获得攻击者的ip、黑客id、手机号、邮箱等信息。

溯源信息是为了定位黑客到具体的人。

输出攻击者画像是为了给这个人一个格式化的档案方便下次查找与信息存储。

2. 攻击源捕获

攻击源捕获主要分为以下几个方法：

1. 安全设备报警，如 EDR 告警等。

2. 日志分析，获取攻击者指纹信息与攻击方式。

3. 服务器资源异常，如服务器上多了 webshell 文件或者计划任务。

4. 蜜罐告警，获取攻击者指纹信息。

5. 邮件钓鱼，其中一般有木马文件，通过对木马文件逆向分析获取攻击者信息。

如果直接得到攻击者 ip，那么直接到溯源信息阶段，如果无法得到攻击者 ip 则选择上机排查。

上机排查的时候如果是 linux 电脑，则查看 history 信息还有文件修改信息，这就涉及到了 linux 应急响应的知识。
如果是 windows 电脑，就查看登录日志 4625，通过 logontype 的类型来分辨攻击者如何登陆的机器并回推攻击方法。

logontype 对照表如下：

local WINDOWSRDPINTERACTIVE = “2”
local WINDOWSRDPUNLOCK = “7”
local WINDOWSRDPREMOTEINTERACTIVE = “10”
local WINDOWSSMBNETWORK = “3”

得到攻击者基础信息的方式：

1. 看恶意邮件的邮件头获取恶意域名

2. 逆向分析恶意木马获取恶意 ip 或者域名

3. 查看机器回连 ip 获取恶意 ip 地址

4. 查看日志获取恶意 ip

5. 查看蜜罐或其他安全设备告警信息获取恶意 ip

6. 如果黑客使用近源渗透如直接用手机号打电话，则可直接得到手机号

7. 查看 webshell 的编写方式有可能直接获取黑客 id，因为不少黑客喜欢将自己的 id 设为 webshell 链接密码

3. 溯源信息阶段

获得攻击者真实 ip 或者域名之后我们进行溯源信息阶段。

第一步：针对 IP 或者域名通过公网已有的开放信息进行查询

https://x.threatbook.cn/

https://ti.qianxin.com/

https://ti.360.cn/
https://www.reg007.com/ #通过手机号或者邮箱获取用户注册过的网站

https://www.venuseye.com.cn/

https://community.riskiq.com/

第二步：定位目标

利用精确 ip 定位进行目标的位置定位。

第三步：收集互联网侧的用户 ID

收集手机号与互联网上的各种 ID 信息 (利用 google hacking)。

通过黑客 ID 进行信息收集：