溯源反制案例分享(一)

admin 2022年6月4日12:27:50评论310 views字数 696阅读2分19秒阅读模式

蜜罐


设计蜜罐的初衷就是让黑客入侵,借此收集证据,攻击者踩到蜜罐则是溯源最幸运的一种情况。见以下案例。


某个风和日丽的午后,17:17开始收到安全设备告警,捕捉到攻击者的陆续攻击行为:


溯源反制案例分享(一)


好巧不巧,IP地址 x.x.x.68 为防守单位部署的我司蜜罐,查看蜜罐日志,该设备不负众望地识别出攻击者画像,捕获到该攻击者的 微博ID


溯源反制案例分享(一)


微博搜索该ID,用户名为 xx绕城 ,该攻击者于2018年转发了黑客相关的文章。说明该微博ID所属者具备黑客技能:


溯源反制案例分享(一)


溯源反制案例分享(一)


在CSDN搜索到 xx绕城 的博客ID: xxxxxwall ,发表的文章为渗透相关,且该攻击者具有一定编程能力。


溯源反制案例分享(一)


Github 搜索发现攻击者编写的jsp webshell,得到QQ号为: xxxxx0588 ,查询该QQ昵称同样为 xx绕城


溯源反制案例分享(一)


溯源反制案例分享(一)


看来 xx绕城 为该作者常用昵称,且极有可能从事安全相关的工作,既然一切的发源始于微博ID,那我们同样再次在微博上查找关于此人相关的信息。


微博搜索 xx绕城 ,可以发现此人为某安全杂志作者,且标注了真实姓名 x雷


溯源反制案例分享(一)


从杂志中可以发现该作者较为详细的信息,包括 籍贯、真实姓名、照片、Email、年龄 等:


溯源反制案例分享(一)


该Email中的QQ号与之前的QQ号对应,且籍贯相同,确定为同一人。

当然,根据该杂志的出版时间,结合作者年龄可以大概推算出生年份,不过没有具体的日期也没什么意义了,此次溯源到此告一段落。

总结:

key

value

攻击者IP

x.x.46.51

微博ID

xxxxxx0343

QQ

xxxxx0588

常用昵称

xx绕城

博客ID

xxxxxwall

邮箱地址

[email protected]

真实姓名

x雷

籍贯

河北保定


原文始发于微信公众号(白帽兔):溯源反制案例分享(一)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月4日12:27:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   溯源反制案例分享(一)https://cn-sec.com/archives/1085445.html

发表评论

匿名网友 填写信息