蜜罐
设计蜜罐的初衷就是让黑客入侵,借此收集证据,攻击者踩到蜜罐则是溯源最幸运的一种情况。见以下案例。
某个风和日丽的午后,17:17开始收到安全设备告警,捕捉到攻击者的陆续攻击行为:
好巧不巧,IP地址 x.x.x.68 为防守单位部署的我司蜜罐,查看蜜罐日志,该设备不负众望地识别出攻击者画像,捕获到该攻击者的 微博ID :
微博搜索该ID,用户名为 xx绕城 ,该攻击者于2018年转发了黑客相关的文章。说明该微博ID所属者具备黑客技能:
在CSDN搜索到 xx绕城 的博客ID: xxxxxwall ,发表的文章为渗透相关,且该攻击者具有一定编程能力。
Github 搜索发现攻击者编写的jsp webshell,得到QQ号为: xxxxx0588 ,查询该QQ昵称同样为 xx绕城 :
看来 xx绕城 为该作者常用昵称,且极有可能从事安全相关的工作,既然一切的发源始于微博ID,那我们同样再次在微博上查找关于此人相关的信息。
微博搜索 xx绕城 ,可以发现此人为某安全杂志作者,且标注了真实姓名 x雷 :
从杂志中可以发现该作者较为详细的信息,包括 籍贯、真实姓名、照片、Email、年龄 等:
该Email中的QQ号与之前的QQ号对应,且籍贯相同,确定为同一人。
当然,根据该杂志的出版时间,结合作者年龄可以大概推算出生年份,不过没有具体的日期也没什么意义了,此次溯源到此告一段落。
总结:
|
key |
value |
|
攻击者IP |
x.x.46.51 |
|
微博ID |
xxxxxx0343 |
|
|
xxxxx0588 |
|
常用昵称 |
xx绕城 |
|
博客ID |
xxxxxwall |
|
邮箱地址 |
|
|
真实姓名 |
x雷 |
|
籍贯 |
河北保定 |
原文始发于微信公众号(白帽兔):溯源反制案例分享(一)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论