前言:
这次溯源事件发生在几年前。在这里,我可以和大家分享一下我当时进行溯源的具体操作,也为大家提供一些溯源思路。当时,我每天都会通过流量检测平台将当天的攻击IP全部导出,然后借助批量化查询归属地的网址,批量查询这些IP的归属地,并将属于云服务器的IP保留下来。这是因为如果是机房IP或者运营商IP,不太容易进一步往下溯源,而云IP还可以反查一下域名或者反向攻击攻击者服务器,看看能否找到线索。大体的思路就是这样。当时每天上报了很多线索,但很难真正溯源到人。下面是一个成功的具体案例。
案例:
-
攻击事件告警
通过攻击流量获取到攻击者IP。
-
攻击IP定性
-
排查攻击IP开放服务
通过fofa搜索IP开放多个端口,其中包含明显的恶意工具CobaltStrike的端口特征:CobaltStrike Beacon configurations。并且其它开放端口无第三方服务的搭建,因此,判断该服务器为攻击者自用,非肉鸡或其它代理服务器。
-
攻击者画像构建
查询pDNS记录,查询恶意IP:xxx.xx.xxx.19(中国浙江省杭州市阿里云数据中心)近期(x月10日至x月xx日)指向域名:xxx.aa.bb。
通过公开渠道如备案系统、情报社区等获得域名信息:aa.bb,反查目标的ICP备案信息、域名历史whois信息等。
这里提供域名查到单位名称XX,推测大概率为人名。 
这里通过微步社区查询该域名备案下的手机号以及邮箱号。
最终获取攻击人员信息内容如下:
姓名:XXIP:xxx.xx.xxx.xx域名:aa.bb qq号:xxxxx手机号:xxxxxx
-
再次确认攻击人员身份
通过上述信息在支付宝接口、第三方厂商密码找回服务、TG社工库等多渠道再次确认攻击者信息,同时获取到攻击者的身份证信息。
通过身份证号、手机号归属地信息、推测攻击者长期生活在XX地区,于是进一步利用搜索引擎按攻击者信息作为关键字如“攻击者姓名”、“信息安全”、“当地省”进行检索。成功在XXXX学院官方网站上找到一篇相关文章“喜讯!攻击人员在xxxx年XX杯某大学生信息安全竞赛中斩获XX等奖”,其中包括攻击者“XX”名字。(敏感就不放图了,这里假装有一个攻击人员的获奖图。)
后续通过XXXX学院统一缴费平台的身份证号和姓名的登录方式,使用姓名:XX和身份证号:xxxxxxx….可成功登录,进一步确认了攻击者的真实信息。
下面就不放图了,后续通过收集到的资料发现在网安培训学习网站,发现了以攻击者姓名命名的人员,并且在学习某安全大厂的内部专享定制课程,猜测该攻击人员即为该厂商的攻击人员。
接下来使用微信大数据,搜索该用户的微信昵称,发现在某公开项目群,该攻击人员昵称为XX-姓名(这里XX为其所在的安全厂商名字)。
原文始发于微信公众号(思极安全实验室):国护成功溯源的攻击事件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论