蓝队溯源案例

01

溯源案例：某物流行业

事件背景：攻击者通过敏感目录扫描，获得蜜罐链接，访问蜜罐后留下自己的微博信息。

大清早就被小领导叫去看蜜罐，发现一条红红得捕获提示，演练都都要结束了，难道这蜜罐要证明他的存在感了。

微博ID：2xxxxxxxx 微博名称：xxxxxxb

根据其发布的一条微博，发现除了一条喂狗粮的微博以为外，没有任何有用信息，那就对其女友微博下手，谁让你大早晨让我这单身狗吃的饱饱的，如果不对其女友号下手就没有下文了，所以说恋爱脑该死啊~

进去看到如下信息：

其女友发布的一则微博中发现甜蜜双排微博，微博内容出现其QQ头像以及男朋友的姓名。

可能优秀得攻击佬还需要自我提升一下，但是进来我才发现狗粮已经把我撑到了。

百度搜索“网络安全 姓名”，搜到了攻击队大佬曾经得CTF获奖经历，某林业大学。

在另一则微博中获得其姓名，根据两个人的姓名在奖状中同时出现的频率和其微博名称可能为名字的缩写，获得其名字为XXX，毕业于XXX林业大学。

百度XXXX大学有网络安全的协会，查看其官网纳新信息，找到他们学校的纳新群。加进去查看，发现上述一样的头像，可以确定此号为xxxxxxb的QQ号。

学校信息暴漏面很宽泛，可以查到得信息也相当多。

获取其QQ号为xxxxxxxxxxx。

根据QQ号关联其手机号，xxxxxxxxxxxx。在支付宝进行实名查询，发现其并不让查询。

翻阅女友微博发现，女友经常在bilibili发布Vlog，Vlog中存在微博相同ID xxxxxb。

我这个单身狗真是越看越来气。

通过xxxxxB这个ID找到牛客、CSDN、github等多个论坛。

2021年毕业、安全工程师、github找到其公司为某乙方成员，通过社工乙方外包员工，下三滥手段拿到公司通讯录截图。

某乙方公司运营服务部门，百度查找该部门招投标信息，可查看到Web安全相关测绘产品信息，符合攻击队职能。

溯源结果：

姓名：XXX

学校:XXXXXX林业大学

公司：某乙方

常用名称：xxxxxxb

手机号：xxxxxxxxxxxxx

QQ：xxxxxxxxxxxxx

邮箱：xxxxxxxxxx@xxxxxxxxxx.cn

CSDN：https://blog.csdn.net/

牛客：https://www.nowcoder.com/users/xxxxxxxxx

Github：https://github.com/xxxxxxxxxxxxxxx

微博：https://weibo.com/u/xxxxxxxxxxxxx

Bilibili：https://space.bilibili.com/xxxxxxxxxxxxxx

从攻击视角来说，公网信息泄露是无法短时间抹去得，但可以通过使用纯净攻击环境来避免蜜罐抓到个人浏览器信息，希望大家看完溯源案例后养成纯洁渗透得好习惯。

综上所述，让我们明白了一个攻防人员不要谈恋爱，不要谈恋爱，不要谈恋爱的道理，重要的事情重复三遍!!!!!!隔~(吃饱完工！)