打開查詢到的網站�����,同樣也已經不能訪問�。此時我們要進行跟蹤分析�����,只要該團伙還在進行詐騙���,那么就絕不會徹底銷聲匿跡�����!
-提取Icon(網站或APP圖標)
違法網站通常會使用同一套模板開發�,只會對部分字符做出修改���,核心代碼組件不會變動����,因此Icon很有可能成為拓展目標資產范圍的關鍵��!
回到本次案例中:
當前網站使用了一個Icon���,這時我們就可以把這個圖標當做特征�。
Icon提取技巧
1.如出現多個Icon時����,可以把每一個Icon都點開查看一遍��, 打開網站分析當前資產和目標網站的相似度�����。
2.查看資產數���,如果資產數幾萬�,幾十萬���,大概率是通用組件Icon(非特殊唯一的Icon)�����,那基本就可以排除掉這個Icon����。
3.如報案類型為APP類型也可以提取APP圖標作為查詢特征(可以使用其他APP類調證程序設備提取Url或者Icon)
確認Icon后�����,通過這個特征查詢資產���。
通過分析資產的網站正文發現�,網站相似度很高��,由此得出這個特征正確�。
-提取Title(網站或APP標題)
即便是違法網站也會想讓用戶更容易記住他們的網站���,所會使用相同的Title����,讓用戶更容易找到他們的網站���,因此可以通過Title拓展目標資產的范圍�����。
當前網站的Title是“新**”����,這時我們就可以把這個“新**”當做特征�。
提取思路:
1.看左側的網站標題排名�,排除掉無效標題��,如:網站狀態碼(所有網站都有的屬性)之類
(1)404 - Not Found(在瀏覽網頁時��,服務器無法正常提供信息)
(2)301 Moved Permanently(永久重定向�����,說明請求的資源已經不存在了)���。
2.根據標題去搜索資產����,打開網站分析當前資產和目標網站的相似度���。
3.這里最好用”title”語法查詢網站標題完全等于”==”����,這里意思完全匹配���,可以幫我們減少誤報的資產��。
完整語法: title==”xxxx”
確認Title后��,通過這個特征查詢資產����。
這些網站相似度極高�����,由此得出這個特征是準確的��。詐騙分子的“品牌商標”����,現在是他們無處遁形的“馬腳”�����。
-提取Body(網站正文)中的唯一字符
前文提到了不法網站的流水線作業�,這種高效嚴重依賴相同的網站模板�,可能只是修改了部分文字標題等內容���,但是核心的框架代碼還是同一套��,因此它們的Body也會相同�。同樣因為使用了相似的HTML標簽�、關鍵字等�,我們也可以通過HTML標簽或關鍵字拓展目標資產的范圍��。
當前網站正文中有一個可能是關鍵字的參數����。
例如:
“/uploadfile/room/20230327/1679895756_SzCPUg.png”(圖片路徑)
這時我們就可以把這個當做特征����,核心思路就是找到非通用型字符作為查詢特征�。
提取思路:
1.像上面說的��,相似Body的網站����,可能用了同一個標簽�����,或關鍵字��,如:
(1)js文件路徑(/assets/layui/layui.js)
(2)圖片Url(/uploadfile/Lfi.jpg)
(3)自定義的關鍵字(歡迎來到“新**”)
2.根據Body去搜索資產����,打開網站分析當前資產和目標網站的相似度���。
3.查詢的資產數��,排除資產數過多的���,大概率是一個通用字符����,資產數少的�,并且前幾頁資產都是和目標網站相似度較高的��,那這個特征就是這個網站唯一條件��。
通過分析資產的網站正文發現����,都是比較相似的網站����,由此得出這個特征是準確的����。
2.根據特征規則進行拓線
根據上面說的特征提取方法提取如:Icon�����,Ip�����,Title�����,Cert��,Body中的唯一字符等信息���,作為拓線依據�����,可以靈活使用邏輯語句組合技巧:
前文已經提到我們的目標網站已經下線���,域名無法訪問��。但是現在�,我們已經擁有了Icon�����、Title��、Body中的唯一字符三種不同的特征�。
Icon:
想要使用Icon進行拓線��,我們可以查詢規則:
icon_hash="-645612690"(icon_hash=作用是搜索使用此Icon的資產)
在FOFA里面我們可以直接點擊Icon進行搜索�。
通過Icon我們查詢到了400多條新的資產����,依次打開網站查看����,其中一些資產是和我們樣本域名的網站相似度較低的�����,現在我們需要縮小資產范圍以達到拓線準確資產的效果����。
這里我使用了樣本網站的Title進行再次拓線:
查詢語句:icon_hash="-645612690" && title="新時代"
(icon_hash=&& title=的作用是搜索使用此Icon并且同時使用此Title的資產)
再次查詢后我們得到了10條資產�,我們現在可以根據網站正文的相似度來分析新的資產是不是和樣本域名屬于同一個站��,這時我們發現有一個18.166.**.**的網站正文和樣本域名的網站正文是一樣的�����,說明它倆是同一個站��,并且這個站是可以打開的�。
根據這個拓現思路我們根據不能訪問的網站查詢到了它新的能夠訪問的網站����。
-正文中的唯一字符
首先我對當前網站正文進行分析�,發現了一個可能是唯一字符的線索:
/uploadfile/room/20230327/1679895756_SzCPUg.png(圖片路徑)
我們根據這個唯一字符進行拓線���,看看能不能發現同類網站�����。
查詢語句:body="/uploadfile/room/20230327/1679895756_SzCPUg.png"
(網站正文中搜索“/uploadfile/room/20230327/1679895756_SzCPUg.png”資產)
這次我們通過Body中的唯一條件查詢到了10條資產��,我們現在可以根據網站正文的相似度來分析新的資產是不是和樣本域名屬于同一個站��,這時我們發現有一個18.166.**.**的網站正文和樣本域名的網站正文是一樣的����,說明它倆是同一個站���,并且這個站是可以打開的�����。
根據這個拓現思路我們根據不能訪問的網站查詢到了它新的能夠訪問的網站��。
總結
涉案網站下線�,不代表該團伙的違法行為已經終止����,更不代表他們從此便可以銷聲匿跡��。上述案例中����,我們介紹了當一個網站下線時�����,還可以根據Icon(圖標)�����,Title(標題)����,Body(正文)等特征�����,利用FOFA平臺拓線新的資產����,并且可以通過組合使用不同特征縮小范圍����,讓線索關聯分析工作更加高效聚焦��,最終拓線到存活的新站���。希望本文能對您的后續工作有幫助�!
如果您覺得這樣的方式過于繁瑣����,我們也為您準備了我們的全新平臺FO-OCTRA - 涉網打擊系統�����。
FO-OCTRA (明索·涉網打擊支撐系統)是一款全新的產品�,以固化網絡犯罪線索研判流程的最佳實踐為目標��,為執法人員提供常用技能棧工具�����,并配備持續化發現和監控涉網線索的功能��,提高工作效率����。
使用FO-OCTRA 體驗自動化拓線資產
導入想要查尋資產的IP或域名
FO-OCTRA會根據內置的查詢語法自動化提取線索進行拓線��,將在FOFA查詢到的資產導入至資產中心
資產導入后FO-OCTRA會自動提取資產的所有特征
并且會自動化關聯資產來源的線索鏈
關于FO-OCTRA
在FO-OCTRA的技術棧中���,我們還提供了網站真實IP探測��、線索推送��、調證線索查詢�、IP畫像查詢等工具��。以固化網絡犯罪線索研判流程的最佳實踐為目標�,FO-OCTRA希望為辦案人員提供實用可靠的技能棧工具�����,成為配備持續化發現和監控涉網線索功能的效率工具�。
