本次给友友们分享的是在某次hw行动中溯源案例,某天一个风和日丽下午在值守时,突然设备上弹出了一条扫描的告警信息,此时此刻心想这是哪个小可爱在扫,带着我的好奇心和疑问就开始了吃西瓜的旅程~~~,首先经人工的研判很快就确定了这条攻击的ip:121.*.*.60,拿到这个121.*.*.60 ,之后我很快有了溯源思路:
1.首先把ip丢到威胁情报里分析
查到服务器为(阿里云服务器),绑定的域名为****.top,备案姓名:韩**
![某次HW行动溯源案例]( "某次HW行动溯源案例")
1.首先把ip丢到威胁情报里分析
查到服务器为(阿里云服务器),绑定的域名为****.top,备案姓名:韩**
2.在阿里云的登录页面用域名进行反查信息
查到其认证信息为韩*楠,qq为749**@qq.com
3.通过多方搜索引擎威胁情报平台分析查看到其邮箱为749**@qq.com
4.通过其他反查手段查询到其绑定的手机号为17******419
5.通过多个社交平台一一确认是否为本人的手机号,最终在钉钉查询中成功确认本人。
到这里也就结束了最后也成功吃到了西瓜,后续将继续分享精彩的溯源思路。欢迎友友分享投稿~~~感谢大家啦!!!
原文始发于微信公众号(伞神安全):某次HW行动溯源案例
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论