一次真实的攻防溯源案例

admin 2024年5月19日04:01:02评论22 views字数 2001阅读6分40秒阅读模式

分析过程

攻击发现


监测的兄弟们发现攻击IP 118.xxx.xxx.12,笔者立刻对其进行详(xi)细(lan)的溯源分析,成功溯源出该名攻击者画像。

一次真实的攻防溯源案例


溯源反制

1. 攻击主机情报分析

威胁情报网站查询到该IP画像,判断为公网肉鸡,属于某国企直属子公司的资产,随后进行渗透。

一次真实的攻防溯源案例

2. 对肉的渗透攻击

在拿到授权后,先是使用了goby一把嗦,发现其开放了较多的端口和资产,扫出的漏洞也都是一资产的误报,漏洞资产也识别有误,把资产全部点了一遍发现了几个常见资产也都用了相关poc也均(tai)无(cai)果(le),就在溯源进入瓶颈的时候,发现了个有趣的端口,点进去直接就是一个公网不用认证的OpenWrt的shell终端orz。。

一次真实的攻防溯源案例

一次真实的攻防溯源案例

笔者猜测是攻击者为了方便操作直接映射了个公网shell结果因为个人习惯原因没有设置密码和访问控制。所以,拿到了肉鸡的shell后,我们如何进行进一步溯源?大概是分为以下几个点:

    • • 主机日志登录记录

    • • 代理工具登录记录

    • • 代理工具配置文件

    • • 远程桌面日志

    • • 可疑通信进程及外联

    • • 可疑样本(远控马、反弹shell马)

    • • 计划任务及可疑服务

经过一番搜寻,最终将目标转向三个可疑软件openvpn v2ray frp cat了下frp的配置,直接指向下一步要溯源的可疑域名。至于为什么锁定了攻击者使用了frp进行流量代理,后边会解释原因。

一次真实的攻防溯源案例

遍历文件发现其目录下有frp相关的连接日志,分析日志后证实是p.xxxxx.cn所有者胡xx近期有在操作该肉鸡。

一次真实的攻防溯源案例

一次真实的攻防溯源案例

3. 溯源攻击

资产证明:天眼查结果显示此资产为某国企直属子公司的资产

一次真实的攻防溯源案例

通过攻击链排查,该攻击为118.xxx.xxx.12发起,此服务器为被攻击者控制的长期肉鸡,攻击者事先入侵了某国企直属子公司外网ip为118.xxx.xxx.12的服务器集团,后在本次攻防演练期间使用frp工具进行流量代理发起对我方的网络攻击。且上文frp代理仅为一级frp代理的双向隧道,至此某国企直属子公司内网已经完全失陷。而后分析其目录文件,发现其目录下存在openVPN代理工具,通过分析openVPN的日志筛选出近期连接ip中较为可疑的是111.xxx.xxx.147,在通过威胁情报平台分析得出其极有可能的黑客组织月APT29 Cozy Bear。鉴于日志只持续到7月19日,而后并无openVPN的连接记录,所以攻击者还为胡xx。

一次真实的攻防溯源案例

一次真实的攻防溯源案例

4. 攻击域名溯源

分析可疑域名p.xxxxx.cn,发现其解析ip为49.xxx.xxx.152,其主域名xxxxxx.cn下还有数个子域名,解析ip如下。

子域名 解析ip
p.xxxxx.cn 49.xxx.xxx.152 
cname.xxxxx.cn 49.xxx.xxx.152 
frp-bj115.xxxxx.cn  82.xxx.xxx.115 
frp-bymg.xxxxx.cn

107.xxx.xxx.7 

mail.xxxxx.cn 82.xxx.xxx.115 
op.xxxxx.cn 118.xxx.xxx.12 

一次真实的攻防溯源案例

经逐个域名whois查询,所有域名所有者均指向胡xx

一次真实的攻防溯源案例

部分域名下存在恶意样本,经分析样本存在dll劫持、加壳、反沙箱、花指令反调试、加载运行字节码的行为,判断为其为一C2的shellcode loader,其回连ip与此前子域名查询的一ip相吻合(82.xxx.xxx.115)

一次真实的攻防溯源案例

一次真实的攻防溯源案例

5. 个人身份溯源

在确认其使用ip中有两个(82.xxx.xxx.115、49.xxx.xxx.152)是国内vps平台腾讯云的产品,随即进行了密码找回fuzz,获得了其两个手机号的相关信息。

一次真实的攻防溯源案例

一次真实的攻防溯源案例

并结合此前获得的163邮箱进行查询,发现其另一手机号的信息

在已有授权的前提下,结合人口大数据库的筛选分析,最终确定其身份,所得信息均与此前获得的线索有关。

一次真实的攻防溯源案例

一次真实的攻防溯源案例

而后溯源人员随即对该人进行了定点排查,锁定其社交账号。

一次真实的攻防溯源案例

其名下有一公司(工作室),且经营业务涉及网络安全,现已注销,绑定手机号码为13xxxxxxxx6,与域名绑定的163邮箱信息相吻合。

一次真实的攻防溯源案例

因为没有更进一步的社交平台信息,溯源人员随即进行了社会工程学攻击,伪装成面试官加上其微信账号试探其是否为网安从业者。

一次真实的攻防溯源案例

后边我们通过伪装成面试官向其索要简历并成功获得其简历,在与其的聊天过程中发现其正在某厂商RT实习,提交报告后加了2000分,证实此次溯源有效。


总结

这次溯源是比较侥幸的,因为打肉鸡这一步很容易,没啥技术含量,个人也比较菜,权当是帮师傅们梳理一下思路吧,整理完毕大概思路是: 发现攻击ip->证实为肉鸡->对肉鸡进行getshell->排查肉鸡入侵痕迹->发现frp、openvpn配置文件->对配置文件中的ip和域名进行whois->结合已有信息进行社会工程学

原文链接

https://www.t00ls.com/articles-70283.html


原文始发于微信公众号(T00ls安全):一次真实的攻防溯源案例

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月19日04:01:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   一次真实的攻防溯源案例http://cn-sec.com/archives/2021749.html

发表评论

匿名网友 填写信息