查看原文
其他

记一次攻防演练溯源实例

缘起

在今年的攻防期间,通过安全设备告警分析,需要对某个源攻击IP进行溯源反制,并且需要记录整个溯源过程和提交溯源报告。

开展溯源

研判

在溯源之前,首先应该判断是否真的存在攻击行为,攻击的特征,攻击类型,攻击者意图都是需要搞清楚的,不能盲目地对某个IP就展开溯源,这样不仅方向跑偏了,又浪费了时间。

经过研判分析,判断IP(106.14.x.x)确实存在恶意攻击,这里就不再叙述如何研判的了,经验丰富的师傅们一看就知道了,确定IP之后,作为防守方需要站在攻击者的角度去溯源,用攻击者的思维还原整个攻击过程,这样更有利于溯源。

溯源信息收集

威胁情报信息收集


通过微步情报中心分析得出是未知安全,估计是没来得及做更新,于是换其他情报中心测试。

果然,通过其他情报中心验证,此IP存在恶意攻击行为。

IP反查域名

在前面威胁情报收集之后,该IP是阿里云的一台云服务器,推测应该属于个人的服务器,于是对IP反查绑定的域名,若存在域名,便可以查询域名备案信息,从而溯源到攻击者。

IP反查得到最近绑定的三个域名,需要验证这三个域名是否解析到攻击源IP。为什么要验证呢?因为有些攻击者攻击完之后,会故意将域名解析的IP进行更换,这样在情报中心还是在域名解析记录中,暂时是没更新解析记录的。

域名解析记录

经过二次验证,域名和IP是绑定在一起的,未做更改,既然这样的话,岂不是很容易了。

于是,使用ICP备案查询,上述的三个域名均有备案,备案性质是属于个人的。

身份信息追踪

获得IP绑定的域名之后,需要查询域名注册的个人信息,查询的方式有很多,比如聚名,笨米网,爱名网等域注册商处。

通过查询多个威胁信息平台,获得注册域名时留下的QQ邮箱(11xxx@qq.com)。

有了QQ邮箱即有了QQ号,就可以检索很多信息,于是进行检索得到了QQ绑定的手机号和微博。

为了验证手机号与攻击者有关,用手机号和域名备案信息做了关联性分析。根据域名备案信息“赣ICP备1xxxx号”,与手机归属地对应,故判断具有关联性。

社交ID标识符

这里对社交ID做一个小小的整理。

社交平台标识符包括:CSDN、博客园、GitHub、Twitter,抖音,陌陌,探探,Soul等。

个人身份信息包括但不限于:姓名、性别、出生日期、支付宝、学历、毕业院校、照片、伴侣、公司、钉钉等。

最后通过手机号查询到了微信,支付宝,姓名,微博,个人自拍照。

总结

此次溯源纯属运气好,能够直接找到相关信息!


来自 | https://www.freebuf.com/articles/web/341334.html


版权申明:内容来源网络,版权归原创者所有。除非无法确认,都会标明作者及出处,如有侵权,烦请告知,我们会立即删除并致歉!

本公号发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存