利用空间测绘进行威胁分析

01

—

背景

偶然机会在推上看到一篇有趣的帖子，黑客的服务器存在目录遍历漏洞，泄露了服务器上的目录文件，主机上存在不少黑客工具和受害者的信息。

分析网站数据包发现黑客通过Python启动的http服务器，造成了这个问题。

在过去几天里，我每天从测绘数据中捞取存在目录遍历漏洞的网站，然后对相关目录文件进行分析。下面将从数据获取、数据分析分两个方面展开聊聊。

02

—

数据获取

从测绘数据中寻找存在目录遍历漏洞的语法一般是基于网页标题搜索获取，具体如下。

`title="Index of"``title="Directory listing"``title="Collection listing"``title="listing directory"``title="list documents"``title="folder listing"``title="Content of folder"``title="collection of repositories"``title="listing of"``title="Index for"``title="Listing folder"`

利用以上语法可以根据X情报社区网页标题Top50排序找到目录遍历漏洞搜索的其他测绘语法，进而获取更多的数据输入。

03

—

网页结构分析

获取到网站数据后，接下来需要采集对每个网站的全量链接，目前我看到的网页结构有两种。
（1）url写在body标签内

（2）url存在table标签内

另外在进行递归采集url的时候，会碰到如下格式的目录，也需要特殊处理下。

（3）采集完数据后，可以将获取到全量数据计算hash调用S沙箱接口批量判黑白，这里我们取两个字段"威胁等级"和"多引擎结果"，多引擎判断结果可以提供样本归属类别的大概信息。

04

—

威胁分析

（1）恶意软件分析

恶意软件识别有两种思路，一是基于多引擎的结果进行筛选，搜索threat_level(威胁等级)是可疑或者安全且多引擎返回结果不是白的文件，二是搜索文件后缀，比如exe、dll、lnk等，这种搜索会搜索到不少正常文件，简单根据文件名称略去正常文件，把可疑文件丢到沙箱看看。例如：http://152.32.165.82:8000/，根目录下存在procdump、mimikatz、pwdump等转储hash的文件。

（2）黑客主机识别

识别黑客的一种思路是从黑客工具入手，形如扫描器ARL、Shuize，内网穿透工具frp等，例如主机81.70.x.x，根目录下存在扫描器Shuize。

分析文件网站下其他目录，其扫描了xxx88.com。

（3）数据泄露检索

检索docx、xlsx、pdf的文件类的url，可以根据文件内容、文件名称确认泄露的单位。