实战 | 记一次攻防演练中的溯源经历

2022-09-07 11,348

缘起


在今年的攻防期间,通过安全设备告警分析,需要对某个源攻击IP进行溯源反制,并且需要记录整个溯源过程和提交溯源报告。


开展溯源


研判


在溯源之前,首先应该判断是否真的存在攻击行为,攻击的特征,攻击类型,攻击者意图都是需要搞清楚的,不能盲目地对某个IP就展开溯源,这样不仅方向跑偏了,又浪费了时间。


经过研判分析,判断IP(106.14.x.x)确实存在恶意攻击,这里就不再叙述如何研判的了,经验丰富的师傅们一看就知道了,确定IP之后,作为防守方需要站在攻击者的角度去溯源,用攻击者的思维还原整个攻击过程,这样更有利于溯源。


溯源信息收集


威胁情报信息收集


通过微步情报中心分析得出是未知安全,估计是没来得及做更新,于是换其他情报中心测试。

果然,通过其他情报中心验证,此IP存在恶意攻击行为。

IP反查域名

在前面威胁情报收集之后,该IP是阿里云的一台云服务器,推测应该属于个人的服务器,于是对IP反查绑定的域名,若存在域名,便可以查询域名备案信息,从而溯源到攻击者。

IP反查得到最近绑定的三个域名,需要验证这三个域名是否解析到攻击源IP。为什么要验证呢?因为有些攻击者攻击完之后,会故意将域名解析的IP进行更换,这样在情报中心还是在域名解析记录中,暂时是没更新解析记录的。

域名解析记录

经过二次验证,域名和IP是绑定在一起的,未做更改,既然这样的话,岂不是很容易了。

于是,使用ICP备案查询,上述的三个域名均有备案,备案性质是属于个人的。

身份信息追踪

获得IP绑定的域名之后,需要查询域名注册的个人信息,查询的方式有很多,比如聚名,笨米网,爱名网等域注册商处。

通过查询多个威胁信息平台,获得注册域名时留下的QQ邮箱(11xxx@qq.com)。

有了QQ邮箱即有了QQ号,就可以检索很多信息,于是进行检索得到了QQ绑定的手机号和微博。

为了验证手机号与攻击者有关,用手机号和域名备案信息做了关联性分析。根据域名备案信息“赣ICP备1xxxx号”,与手机归属地对应,故判断具有关联性。


社交ID标识符


这里对社交ID做一个小小的整理。

社交平台标识符包括:CSDN、博客园、GitHub、ZOL、Twitter、QQ、邮箱、贴吧、百度、微博、淘宝、网易、猎聘、58同城、个人博客、网盘、微信、常用ID、人人网、脉脉、当当网、杂志、牛客网,抖音,陌陌,探探,Soul等。

个人身份信息包括但不限于:姓名、性别、出生日期、sfz、手机号、sfz家庭住址、sfz所在公安局、快递收货地址、大致活动范围、***号、支付宝、学历、毕业院校、照片、伴侣、公司、钉钉、飞书等。

最后通过手机号查询到了微信,支付宝,姓名,微博,个人自拍照。

微博信息

个人自拍照


总结


此次溯源纯属运气好,能够直接找到相关信息!


作者:MCY

文章来源:https://www.freebuf.com/articles/web/341334.html

如有侵权,请联系删除


本文作者:HACK_Learn

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/186905.html

Tags:
评论  (0)
快来写下你的想法吧!

HACK_Learn

文章数:126 积分: 323

微信公众号:HACK学习呀

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号