溯源的思路

根据攻击告警、攻击流量, 提取到攻击者的IP地址、攻击方式、攻击流量中的特征,留下的木马后门文件等信息; 
尝试通过拿下攻击的攻击主机, 进而在攻击IP的主机中查找攻击者的线索, 包括登录IP、是否存在个人信息、攻击者的地理位置等; 
通过获取到的信息从网络中查找攻击者的个人信息, 搜索引擎、社交网站、博客等等。

溯源技巧

1）在接到溯源任务时，通常会获取到很多信息，如攻击者的IP地址、攻击类型、恶意文件以及攻击详情等，这些信息可以作为我们溯源工作的入手点。
2）针对不同的攻击类型，可以分析攻击详情的请求包，寻找攻击者的特征，同时通过获取到的IP地址进行威胁情报查询，以确定所用IP地址是代理IP还是真实IP地址。
3）如果遇到端口扫描，很可能是个人VPS或者空间搜索引擎的行为，在接到大量溯源任务时，可以优先进行这类溯源工作。
4）对于命令执行的情况，很可能是未经隐匿的网络或移动网络的行为，或者是接到脚本扫描任务的肉鸡，同样在接到大量溯源任务时，可以优先进行这类溯源工作。
5）如果遇到爬虫行为，很可能是空间搜索引擎的活动，可以将这类任务放到溯源工作的后面进行处理。

只有IP的溯源

1、根据备案获取到实名信息
2、探测该IP对应的域名, web服务或其它服务、 dns解析记录是否可以获取到一些个人信息
3、获取到个人信息后, 可根据社工库或一些公开的信息进行收集


蜜罐自带功能

ip定位
  是否定位到某个安全公司的地理位置
  是否标记为某个安全公司的网关

微步等其他ip反查得到域名

whois查询名得到公司或个人

天眼查、企查查查公司

社工库或个人博客查个人

高级一点：入侵被hacker入侵的网站溯源

如何溯源到个人

通过微步情报中心分析未知安全，然后IP反查域名，查到域名以后再看是否能解析到IP，确定域名后查whois信息，溯源到攻击者。比如说查域名注册的个人信息(聚名、爱名网)，可以获取到他的邮箱，再用得到的邮箱去检索信息，可能会检索到手机号，拿到手机号后去验证这个手机号是否与攻击者有关，手机号和域名备案信息做了关联性分析，根据备案信息的那个备案号与手机号的归属地做对应，确认这个手机号是攻击者的。用手机号对应的再去收集，比如微信、支付宝、姓名等等。对社交ID做整理，比如Github、博客园、抖音、CSDN等地方找他的社交平台标识符。

攻击还原，溯源

根据攻击流量包的url、ip，看攻击目标是哪个，复现还原，溯源的话就是ip定位、样本分析、根据攻击路径攻击手法等方式寻找攻击者真实ip以及网络上的一些个人、组织信息"

钓鱼溯源

发件账号个人信息，发件IP
投递物（攻击者用来传递恶意软件或执行攻击的工具或媒介）：c2地址（攻击者用来控制和接受命令的服务器地址）和元数据（包括文件、网络、电子邮件、恶意软件）
exe文件：存在 PDB 信息，部分开发人员将项目存放在桌面，这会导致编译信息带入开发人员的终端名称（极大可能为个人昵称）
lnk文件：由于lnk文件在新建的时候会带入计算机名称，这可以用于样本的拓线和分类，极少情况下可找到个人昵称
docx文件：可能存在“最后编译者名称”

如果溯源到跳板机怎么办

对跳板机进行一个信息收集，看看有什么有漏洞，看日志

能从钓鱼邮件中溯源出哪些信息

可以分析邮件的发送地址, 发件人, IP, 传输方式, 传输协议等

挖矿病毒溯源

相应：通过cpu内存占用情况判断是否是挖矿————询问管理员是否是内部测试————挖矿程序备份
阻断：断网隔离
分析：沙箱分析挖矿程序
清除：挖矿程序进程删除（若删除不掉先删除其守护进程）————挖矿程序删除
加固：通过登录日志或web日志等信息溯源攻击链（如果日志被删除等因素溯源不到攻击链：找背锅，例如他是weblogic系统，只要不是最新版本就说这个版本存在漏洞已经被利用，建议更新补丁且为了防止0day攻击，建议寻找我司渗透服务项目进行全方面渗透测试，如果不是web漏洞进来的就找登录日志，溯源到他们个人主机，一般主机中都存有服务凭证，找那个主机的主人背锅，就说他的电脑不知道什么时候被入侵了可能被钓鱼很长时间都说不准，甩锅就行，然后建议寻找我司进行网络安全意识培训）————相关漏洞修复后备份重装电脑恢复业务（建议关机几天防止黑客再次攻击），如果客户不想重装，让他们承担相应后果，我们做一些自启动项等权限维持方式的删除即可————强化后续进程行为监控

发现 shell攻击导致主机失陷, 该如何去做溯源?

首先通过攻击告警的日志一般可以看出 shell写入的位置;
一: 定位WebShell文件路径。
二: 对于加密的 webshell, 就很难通过关键词搜索到, 对于此类 webshell 可以通过目前比较好的 webshell 扫描工具如: 河马 webshell、WebShellkiller3.3 等。
三: webshell + 代码混淆加密 + 隐写术, 此类木马几乎可以绕过所有 webshell 扫描工具, 搜索或者扫描难易发现。针对此类木马可以使用逆向思维, 既然是 WebSehll , 那么攻击者肯定要通过访问该木马才能使用木马的功能, 那么只要访问肯定会留下痕迹, 无论是Apache、 Nginx 都会保存请求日志, 通过分析请求日志便可定位 WebShell!

已知攻击者IP，如何溯源定位攻击人员？

1、IP反查注册信息，可能会查询到域名，通过域名查询备案和whois信息，可能会查出邮箱电话，通过社工库查询相关邮箱和电话信息定位人员支付宝，微信转账；微博，百度贴吧等
2、通过白泽系统查询IP标记情况，查看攻击者IP日常访问数据内容，判断攻击者人员信息