记某次应急响应的社工分析                   

     某日，一客户服务器被黑， 我马不停蹄地奔向客户现场做应急处理，分析日志发现此次事件是由 3389 端口远程被爆破所致（3389 是一个远程桌面的端口，很多人为了更方便管理服务器，经常会开启 3389 端口，一般默认账号为 Administrator 或 admin，而对于其他简单的密码，在 3389 密码字典中均可找到。）具体分析过程就不说了，但是在排查隐患时发现客户服务器被安装了有意思的东西，程序后台隐藏运行，安装包却还在服务器上面，既然都隐藏运行了却没有删安装程序，也是有点奇葩。

 E流量、流量矿石、旺宝挂机、柠檬挂机等等。

      大概看了下这些软件，都是以损耗宽带流量，来获得某些虚拟交易币或者刷网站访问流量，这些软件的存在就会造成服务器宽带资源和性能大量消耗，并且会出现夹带恶意广告的问题。

     在这其中一个程序中发现了一个账号，竟然是用QQ号来注册的，因为不管是恶意刷流量或者挂机消耗资源，最终的目的就是把这些兑换为金钱，所以大胆猜测这个账号对应的QQ号或许属于攻击者所有。

可以看出收集公开信息，在社工的中是非常重要的前提。

简单介绍下信息收集关注的点：
个人信息类：工作/上学，生活习惯，联系方式，身份信息，用于密码分析的特殊字符或者短语等
相关网站类：社交网站，媒体网站，个人博客，公司网站等
而以上信息几乎能通过搜索引擎来找到，其他方面的信息收集，例如：服务器信息，WEB 指纹框架等这次就没涉及到的。也可以去了解下国外有一个很优秀用于社会工程学攻击的框架 Social-Engineer Toolkit。
那么，回到主题，既然已经有直接的方向，可以先从 Q 号的信息作为切入点，google 搜索走起，不要问我为什么要用 google 不用 baidu，反正我不会告诉你。
找到了一个有关联的网盘共享地址

继续搜索，找到了个以目标 Q 号命名的工具，嗯？有自己写工具了，看名字应该是 3389 远程爆破之类，前面就说了，在处理客户这个入侵事件中就分析出来是被 3389 远程爆破的，嗯？不会就是用这玩意整的吧，那攻击者的身份就基本对应上了。

下载回来，看到压缩包的内容，主程序图标竟然让我有种似曾相识的感觉？

果然，这不是国外的一款 3389 爆破工具 DUBrute 么，本宝宝此时内心是崩溃的，大兄弟你重命名改成自己的专版好歹也再改下 title 版权这些才像样点哇！

根据网盘的个人信息继续扩大收集范围，根据信息整理的结果包括：在几个黑客论坛有注册账号，有两个百度账号，微博账号，分析了一些发表的内容，可以确定攻击者就是此人，就读于南雄一中，高三学生，比较二次元。

回过头来查查 QQ 信息，确实是南雄一中 18 岁的高中生无误，再放照片一张。从网盘上传工具的时间 2013 年来看，开启快速心算法：2016-2013=3，18-3=15，哎呀，我的妈啊，15 岁就接触黑客技术了！回想当年，15岁的时候我还是个天天只会在桌球场叱咤风云的小逗比啊！！！

顺带着，社工库分析下，一些黑客论坛的账号注册记录，解密下 MD5 密码得到：zhiyaoni9410，guaiguailp520，zhiyaoni9420，123456789a，其实通过已知的一些信息和破解的密码就可以开始组合密码字典来进行暴力密码分析了，只是原本以为会是个专门做刷恶意流量挂广告黑链的黑产一条龙团队，激发了洪荒之力准备开大招，却给了我这样的结果，也就没多大兴趣继续了。

另外的数据库中还找到了这人以前用过的网名，沉睡的森林，也是有那么点缘分了，以前曾经和几个小伙伴的团队就叫“沉睡森林”，sleepforest.com 这域名也因我智障忘了续费到期被别人抢注遭小伙伴们吐槽了很久

随意找了个 QQ 原本想加下他让他看看 Eric S. Raymond 的那篇《How To Become A Hacker》感受下正确的路，结果发现添加请求是拒绝的，也不想暴露自己的微信号，就到此为止了。这方面的技术原本就是把双刃剑，有的人成为白帽黑客，有的人在犯罪边沿徘徊，我也阻止不了别人忠于内心的选择。

正如：从善如登，从恶如崩？