实战 | 记一次攻防演练中的溯源经历

admin 2022年8月27日23:29:31应急响应评论14 views1327字阅读4分25秒阅读模式

缘起


在今年的攻防期间,通过安全设备告警分析,需要对某个源攻击IP进行溯源反制,并且需要记录整个溯源过程和提交溯源报告。


开展溯源


研判


在溯源之前,首先应该判断是否真的存在攻击行为,攻击的特征,攻击类型,攻击者意图都是需要搞清楚的,不能盲目地对某个IP就展开溯源,这样不仅方向跑偏了,又浪费了时间。


经过研判分析,判断IP(106.14.x.x)确实存在恶意攻击,这里就不再叙述如何研判的了,经验丰富的师傅们一看就知道了,确定IP之后,作为防守方需要站在攻击者的角度去溯源,用攻击者的思维还原整个攻击过程,这样更有利于溯源。


溯源信息收集


威胁情报信息收集

实战 | 记一次攻防演练中的溯源经历
通过微步情报中心分析得出是未知安全,估计是没来得及做更新,于是换其他情报中心测试。

实战 | 记一次攻防演练中的溯源经历

实战 | 记一次攻防演练中的溯源经历

果然,通过其他情报中心验证,此IP存在恶意攻击行为。

IP反查域名

在前面威胁情报收集之后,该IP是阿里云的一台云服务器,推测应该属于个人的服务器,于是对IP反查绑定的域名,若存在域名,便可以查询域名备案信息,从而溯源到攻击者。

实战 | 记一次攻防演练中的溯源经历

IP反查得到最近绑定的三个域名,需要验证这三个域名是否解析到攻击源IP。为什么要验证呢?因为有些攻击者攻击完之后,会故意将域名解析的IP进行更换,这样在情报中心还是在域名解析记录中,暂时是没更新解析记录的。

实战 | 记一次攻防演练中的溯源经历

域名解析记录

实战 | 记一次攻防演练中的溯源经历

经过二次验证,域名和IP是绑定在一起的,未做更改,既然这样的话,岂不是很容易了。

于是,使用ICP备案查询,上述的三个域名均有备案,备案性质是属于个人的。

实战 | 记一次攻防演练中的溯源经历

实战 | 记一次攻防演练中的溯源经历

身份信息追踪

获得IP绑定的域名之后,需要查询域名注册的个人信息,查询的方式有很多,比如聚名,笨米网,爱名网等域注册商处。

实战 | 记一次攻防演练中的溯源经历

通过查询多个威胁信息平台,获得注册域名时留下的QQ邮箱([email protected])。

有了QQ邮箱即有了QQ号,就可以检索很多信息,于是进行检索得到了QQ绑定的手机号和微博。

实战 | 记一次攻防演练中的溯源经历

为了验证手机号与攻击者有关,用手机号和域名备案信息做了关联性分析。根据域名备案信息“赣ICP备1xxxx号”,与手机归属地对应,故判断具有关联性。

实战 | 记一次攻防演练中的溯源经历


社交ID标识符


这里对社交ID做一个小小的整理。

社交平台标识符包括:CSDN、博客园、GitHub、ZOL、Twitter、QQ、邮箱、贴吧、百度、微博、淘宝、网易、猎聘、58同城、个人博客、网盘、微信、常用ID、人人网、脉脉、当当网、杂志、牛客网,抖音,陌陌,探探,Soul等。

个人身份信息包括但不限于:姓名、性别、出生日期、sfz、手机号、sfz家庭住址、sfz所在公安局、快递收货地址、大致活动范围、银行卡号、支付宝、学历、毕业院校、照片、伴侣、公司、钉钉、飞书等。

最后通过手机号查询到了微信,支付宝,姓名,微博,个人自拍照。

实战 | 记一次攻防演练中的溯源经历

实战 | 记一次攻防演练中的溯源经历

微博信息

实战 | 记一次攻防演练中的溯源经历

个人自拍照
实战 | 记一次攻防演练中的溯源经历


总结


此次溯源纯属运气好,能够直接找到相关信息!

实战 | 记一次攻防演练中的溯源经历

推荐阅读:


实战 | 记一次Everything服务引发的蓝队溯源


实战 | 记某次值守中对攻击IP的溯源分析


实战 | 记一次对某企业的一次内网渗透总结


干货 | Twitter渗透技巧搬运工(四)


点赞,转发,在看


作者:MCY

文章来源:https://www.freebuf.com/articles/web/341334.html

如有侵权,请联系删除

实战 | 记一次攻防演练中的溯源经历

原文始发于微信公众号(HACK学习呀):实战 | 记一次攻防演练中的溯源经历

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月27日23:29:31
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  实战 | 记一次攻防演练中的溯源经历 http://cn-sec.com/archives/1258256.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: