freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

记一次攻防演练溯源实例
2022-08-21 22:43:22
所属地 四川省

缘起

在今年的攻防期间,通过安全设备告警分析,需要对某个源攻击IP进行溯源反制,并且需要记录整个溯源过程和提交溯源报告。

开展溯源

研判

在溯源之前,首先应该判断是否真的存在攻击行为,攻击的特征,攻击类型,攻击者意图都是需要搞清楚的,不能盲目地对某个IP就展开溯源,这样不仅方向跑偏了,又浪费了时间。

经过研判分析,判断IP(106.14.x.x)确实存在恶意攻击,这里就不再叙述如何研判的了,经验丰富的师傅们一看就知道了,确定IP之后,作为防守方需要站在攻击者的角度去溯源,用攻击者的思维还原整个攻击过程,这样更有利于溯源。

溯源信息收集

威胁情报信息收集

1.png
通过微步情报中心分析得出是未知安全,估计是没来得及做更新,于是换其他情报中心测试。

2.png

3.png

果然,通过其他情报中心验证,此IP存在恶意攻击行为。

IP反查域名

在前面威胁情报收集之后,该IP是阿里云的一台云服务器,推测应该属于个人的服务器,于是对IP反查绑定的域名,若存在域名,便可以查询域名备案信息,从而溯源到攻击者。

4.png

IP反查得到最近绑定的三个域名,需要验证这三个域名是否解析到攻击源IP。为什么要验证呢?因为有些攻击者攻击完之后,会故意将域名解析的IP进行更换,这样在情报中心还是在域名解析记录中,暂时是没更新解析记录的。

5.png

域名解析记录

6.png

经过二次验证,域名和IP是绑定在一起的,未做更改,既然这样的话,岂不是很容易了。

于是,使用ICP备案查询,上述的三个域名均有备案,备案性质是属于个人的。

7.png

8.png

身份信息追踪

获得IP绑定的域名之后,需要查询域名注册的个人信息,查询的方式有很多,比如聚名,笨米网,爱名网等域注册商处。

9.png

通过查询多个威胁信息平台,获得注册域名时留下的QQ邮箱(11xxx@qq.com)。

有了QQ邮箱即有了QQ号,就可以检索很多信息,于是进行检索得到了QQ绑定的手机号和微博。

10.png

为了验证手机号与攻击者有关,用手机号和域名备案信息做了关联性分析。根据域名备案信息“赣ICP备1xxxx号”,与手机归属地对应,故判断具有关联性。

11.png

社交ID标识符

这里对社交ID做一个小小的整理。

社交平台标识符包括:CSDN、博客园、GitHub、Twitter,抖音,陌陌,探探,Soul等。

个人身份信息包括但不限于:姓名、性别、出生日期、支付宝、学历、毕业院校、照片、伴侣、公司、钉钉等。

最后通过手机号查询到了微信,支付宝,姓名,微博,个人自拍照。

12.png

13.png

总结

此次溯源纯属运气好,能够直接找到相关信息!

# 黑客 # 溯源 # 溯源分析 # 溯源反制
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录