实战 | 记一次攻防演练中的溯源经历
2023-2-9 00:1:45 Author: 橘猫学安全(查看原文) 阅读量:60 收藏

缘起

在今年的攻防期间,通过安全设备告警分析,需要对某个源攻击IP进行溯源反制,并且需要记录整个溯源过程和提交溯源报告。

开展溯源

研判:

在溯源之前,首先应该判断是否真的存在攻击行为,攻击的特征,攻击类型,攻击者意图都是需要搞清楚的,不能盲目地对某个IP就展开溯源,这样不仅方向跑偏了,又浪费了时间。
经过研判分析,判断IP(106.14.x.x)确实存在恶意攻击,这里就不再叙述如何研判的了,经验丰富的师傅们一看就知道了,确定IP之后,作为防守方需要站在攻击者的角度去溯源,用攻击者的思维还原整个攻击过程,这样更有利于溯源。

溯源信息收集:

威胁情报信息收集

通过微步情报中心分析得出是未知安全,估计是没来得及做更新,于是换其他情报中心测试。

果然,通过其他情报中心验证,此IP存在恶意攻击行为。
IP反查域名:

在前面威胁情报收集之后,该IP是阿里云的一台云服务器,推测应该属于个人的服务器,于是对IP反查绑定的域名,若存在域名,便可以查询域名备案信息,从而溯源到攻击者。

IP反查得到最近绑定的三个域名,需要验证这三个域名是否解析到攻击源IP。为什么要验证呢?因为有些攻击者攻击完之后,会故意将域名解析的IP进行更换,这样在情报中心还是在域名解析记录中,暂时是没更新解析记录的。

域名解析记录

经过二次验证,域名和IP是绑定在一起的,未做更改,既然这样的话,岂不是很容易了。

于是,使用ICP备案查询,上述的三个域名均有备案,备案性质是属于个人的。

身份信息追踪

获得IP绑定的域名之后,需要查询域名注册的个人信息,查询的方式有很多,比如聚名,笨米网,爱名网等域注册商处。

通过查询多个威胁信息平台,获得注册域名时留下的QQ邮箱([email protected])。

有了QQ邮箱即有了QQ号,就可以检索很多信息,于是进行检索得到了QQ绑定的手机号和微博。

为了验证手机号与攻击者有关,用手机号和域名备案信息做了关联性分析。根据域名备案信息“赣ICP备1xxxx号”,与手机归属地对应,故判断具有关联性。

社交ID标识符

这里对社交ID做一个小小的整理。

社交平台标识符包括:CSDN、博客园、GitHub、ZOL、Twitter、QQ、邮箱、贴吧、百度、微博、淘宝、网易、猎聘、58同城、个人博客、网盘、微信、常用ID、人人网、脉脉、当当网、杂志、牛客网,抖音,陌陌,探探,Soul等。

个人身份信息包括但不限于:姓名、性别、出生日期、sfz、手机号、sfz家庭住址、sfz所在公安局、快递收货地址、大致活动范围、银行卡号、支付宝、学历、毕业院校、照片、伴侣、公司、钉钉、飞书等。

最后通过手机号查询到了微信,支付宝,姓名,微博,个人自拍照。

微博信息

个人自拍照

总结

此次溯源纯属运气好,能够直接找到相关信息!

作者:MCY

文章来源:https://www.freebuf.com/articles/web/341334.html

如有侵权,请联系删除

推荐阅读

实战|记一次奇妙的文件上传getshell
「 超详细 | 分享 」手把手教你如何进行内网渗透
神兵利器 | siusiu-渗透工具管理套件
一款功能全面的XSS扫描器
实战 | 一次利用哥斯拉马绕过宝塔waf
BurpCrypto: 万能网站密码爆破测试工具
快速筛选真实IP并整理为C段 -- 棱眼
自动探测端口顺便爆破工具t14m4t
渗透工具|无状态子域名爆破工具(1秒扫160万个子域)
查看更多精彩内容,还请关注橘猫学安全:
每日坚持学习与分享,觉得文章对你有帮助可在底部给点个“再看

文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5OTY2NjUxMw==&mid=2247503335&idx=1&sn=08ec0694264adf905cc5af5593e3e7dc&chksm=c04d4ad9f73ac3cf5ddbde62c88bdc776a294f38caf2d6cbd3d0441018b626646ddf0fab59dc#rd
如有侵权请联系:admin#unsafe.sh