前言:最近疯传某团钓鱼把某多给日了(网上传的,不一定是真的,大家以警方报道为主)。不仅伪造页面还发马,钓鱼也就算了,还被人溯源抓到了。
作为一个专心搞技术的公众号,当然不应该仅仅满足于吃瓜,本篇文章就来扒一扒某团是怎么被溯源到的。
1.邮件钓鱼手法
现在主流的钓鱼邮件手法主要分为两种,分别为
-
伪造页面钓鱼(钓取账号密码)
-
木马钓鱼,普遍为office,可执行文件(钓鱼终端权限)
2.伪造页面钓鱼的溯源
伪造页面的溯源,当我们收到钓鱼页面的时候,一般我们能从钓鱼邮件里获得以下信息:
-
伪造页面域名
-
发件人的邮箱
-
伪造页面IP
-
账号密码回传服务器域名/IP
大家看到这里经常日站的小朋友们就知道该查啥了,没错就是域名和VPS的IP的whois信息。通过WHOIS信息我们可以查到域名的所有者是谁,和VPS的注册人是谁。
当然有的时候查不到,而且域名服务商和云服务商会以保护客户隐私的理由拒绝提供相关信息。这时候如果是公司层面的当然是报警啦,让警察叔叔帮你查。
3.木马钓鱼
木马钓鱼的溯源,首先我们还是来看当我们收到邮件的时候我们能有什么信息
-
发件人的邮箱
-
一个可执行的程序/文档
-
一个C2木马回连地址
发件人邮箱和C2回连地址就不说了,跟第二点伪造页面的溯源方法一致,查whois。
这里进入主题,我们来详细讲一讲可执行程序和文档的溯源。
4.可执行文件的溯源(以office+宏为例)
首先你收到一个带宏/控件的office文档。第一步当然是看文档自带的属性。office自带的属性会带上作者的信息,当然这是可以删除的。
当我们点击删除属性和个人信息之后,文件的属性和个人信息就会清空。
你以为删除这个就万事大吉了,nonono!!!很多大黑阔都有这样的错觉,我怀疑这次事件被溯源到的点可能就是这个。
把文档重命名更改后缀名为rar并解压
你会发现文件夹里面贼多XML文件,通过文件查找你会发现,只要是加过宏的文档,即使你删除了文档属性的个人信息,在某份配置文件信息里能够找到作者的相关信息。
大家有空的可以亲手尝试一下,宏文档的制作参加我另一篇文章
https://mp.weixin.qq.com/s/_-Lmsb9-igWSyAKO8vZPPw
写在最后:作为一个黑客技术爱好者,作为一个根正苗红的五好青年,我们应该洁身自好,时刻警醒自己。
科技向善!!!!
本文始发于微信公众号(边界骇客):每日一个钓鱼溯源小技巧
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论