活捉隔壁老王

0x00 前言

说到“隔壁老王”，对不起！我错了，是说到溯源，它的最终目的就是明确攻击路径并勾勒出完整的攻击者画像，以便于快速响应、处置、问责。溯源-更形象一点的理解：“我有一个朋友，他有个漂亮女朋友小张（网络资产），隔壁老王做了一些…此处省略，殊不知我的朋友通过私家侦探（蓝方），溯源出隔壁老王所有不当行为和身份信息…最终活捉了老王…”，这个过程你我应该都明白的[狗头]。

这里就之前某公司内部攻防演习中的攻击溯源，做一个小小分享。

0x01 初探隔壁老王

面对几千条拦截信息，当时的思路主要是：根据拦截详情，对拦截信息进行筛选，配合蜜罐先对疑似攻击成功的记录进行分析，再分析其他高危攻击行为。瞅了一眼蜜罐系统，看有没有抓到老王的信息，果然不出我所料，空空如也。那就踏实的一个个分析吧！

对当时疑似成功攻击的一条拦截记录进行研判，发现攻击行为属实后，进行溯源。首先获取源IP的威胁情报-红红的，怪喜庆的。然后欲反查域名来获取有价值信息，虽然这种方法成功率低到离谱，但是溯源不能放过任何细节，很显然的结果就是我没有中奖。

其次通过信息搜集发现该IP开放了22端口和80端口，访问了一下80端口，这…真白！感觉做了一波无用功。

抽了一根YAN后，喝口鸡汤：“溯源即信息搜集，信息搜集就不能放过任何细节。”于是再研究了一下这个雪白的页面，发现Title为“By laowang”(此处脱敏，以“laowang”代称)，。

这个Title长的奇奇怪怪的，看着就不像好人，于是猜测“laowang”可能是常用的ID或者花名。通过咨询度妈，发现有人使用“laowang”作为博客的ID，进去瞅了瞅，发现都是与网络安全相关的文章，由此可以确定该博客的作者是有网络安全从业背景的，但是无法确认该博主就是攻击者（为了便于阅读，后文以“王二牛”代称）。

此时想到通过搜索关键字从文章中收集一些有价值的信息，于是搜索[IP、shell、攻防、复现、VPS…]等关键字找到了几篇文章。通过其中一篇有关VPS的文章找到了想要的东西，该博主在这篇文章中未对其真实IP和VPS的IP的进行打码，VPS的IP与设备拦截的攻击IP一致。由此推断出该博主就是“隔壁老王”。

0x02 活捉隔壁老王

接下来还是从博客下手，找到“王二牛”在博客里的用户名，再通过CSDN博客里的用户名找回密码功能，获取到“王二牛”手机号的前三位和后四位。

然后通过Burp遍历手机号中间四位，CSDN平台限制遍历次数为1000次，超过1000次限制1个小时。为了提高准确率，通过前面获取的“王二牛”的真实IP,对“王二牛”的位置进行高精度定位，假定此位置为“王二牛”手机号码归属地。经过查询发现运营商在该位置的地区编码为7xxx(此处脱敏)，共有15个，再加上临近地区的编码组成字典。

通过遍历字典中的地区编码，成功获取到完整的手机号码。

再者通过ID:“laowang”,找到了该攻击者所属安全团队的知识分享平台，通过博客的域名获取到安全团队的名称以及团队核心人员的QQ号和微信。通过核心人员的QQ号发现其博客，博客内容中有网络安全培训报名相关的文章。

接下来分两路搜集信息:

首先第一路就使用常规手法先收集攻击者有价值信息：

1.使用“王二牛”的手机号通过支付宝转账功能获取真实姓名；

2.通过手机号搜索到“王二牛”的微博，找到一篇18年关于大学毕业的文章，获取到“王二牛”的学历、班级信息、母校名称等信息；

3.通过将手机号添加到通讯录，从抖音、快手、微视等平台中查看通讯录好友，获取到“王二牛”及部分身边人员面容信息；

4.通过其他手段获取到“王二牛”的QQ邮箱、身份证号、常用密码等等。

第二路想到的就是社工了：由于疫情影响，都是远程办公，要求参与的人员进行录屏和推流，所以可以利用这个场景进行钓鱼（虽然没有完全确定前面溯源到的“王二牛”就是本次的攻击队成员，但是到这一步了，咋都得赌一把！）

1.小号伪装后加“王二牛”微信（手机号）好友，有惊无险的加上了，接下来按照提前做好的剧本走。

2.这里给推流软件捆绑了CS免杀马，发了过去(走到这儿很担心的是：他知道我演他，他将计就计演我，然后被反C)，好在没过多久，“王二牛”就上线了，翻了一下文件发现是在VMware的虚拟机里，随后找到FinalShell的安装位置，看到几个用于远程连接的json文件，把这些文件下载到本地。但是还没来的及找其他的信息就掉了，估计我这拉跨的演技被发现了。

3.对json文件中的密钥进行解密得到了几个密码。

4.随后尝试用这些密码登录“王二牛”的VPS，试到最后一个，终于登录成功。

0x03 结语

本文主要分享的是针对后期信息搜集的思路上，前期切入点并没有难度（1分执着9分运气，因为现在以这种方式暴露自己的攻击者基本找不到了）。

原文始发于微信公众号（雁行安全团队）：活捉“隔壁老王”