记一次实战中信息收集溯源案例分享
奇安信攻防社区
2024-08-15 15:56:24
收藏
在某次值守中,发现了一个攻击IP 118.xxx.xx.205。
![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-7a85f5abd2196eedc6270157e315add6010ba4b7.png)
上微步情报社区查询后发现为阿里云机器。
![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-a21bc13016618aece528f079415e9df1fbaae09f.png)
我们可以通过微步和鹰图等平台反查到该IP绑定的对应域名,发现域名中有着ICP备案人姓名。
![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-4489b77998b420b9f58f431a421791c49be80733.png)
![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-cc24a9f94e1ef68f08aade5709595557396746d2.png)
随后通过攻击者姓名,在工信部ICP信息备案系统中对攻击者姓名进行反查,查询该姓名备案的更多域名信息,方便我们找到切入点,果不其然发现了不少备案的域名信息。
![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-e7293f6e73999e1addf7c21eee1f6f5c33255e69.png)
随后逐个访问查看网站进行进一步信息收集,在其中发现了该攻击者的个人博客域名www.xxxx.com ,获取到了一些基础信息,博客中链接了攻击者的CSDN页面和github主页,github头像为攻击者的真实照片。
![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-7757d76538a5ea1c586516119673020248f31201.png)
```php
博客
```
![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-63ac1dca25ddea5fc157763f331ccc2e82d2b39f.png)
```php
CSDN
```
![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-bfd01756fee15bbdd858dda73462b3e6a07c8cff.png)
```php
Github主页
```
同时,对Github每个项目中的有效信息进行检索收集,在Github记录里发现了攻击者的QQ邮箱,后通过深入溯源分析,认定该QQ邮箱绑定的QQ号为攻击者小号,无更多价值。
![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-2397892a372099a68b03619f34b3664caad12dea.png)
同时检索信息途中发现CSDN文章中标注了攻击者的今日头号账号:**xxxxx生活史**。
![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-1a1926f12f957c3e41116f8b89fae938b9c9eca5.png)
但时间久远,实际访问时发现该头条号已经无法访问,随后通过对此头条号昵称ID进行全网的模糊检索,想到可能存在微信视频号记录生活,也在微信中进行信息检索,果然发现了与此**ID相近**的微信视频号,该视频号名字为:**xxx记**,同时结合刚刚找到的Github主页头像照片信息确定该视频号归属于同一人。
![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-58e2c895caa7164a32ded6ec3f094722cc4f393b.png)
接着对攻击者微信视频号内视频进行逐个查看,收集有用线索,该视频号为攻击者分享日常生活所用,查看多个视频后,发现有一视频介绍了所居住小区的模糊线索,继续查看视频确定此小区为居住地,视频中透露出此人居住在**xxx路**的小区中,且对面有一地标性的明显特征,同时视频此人站在一条河上的小桥上,将这几个特征进行地图查找。
![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-9fb683c0c1600b92f9401fa55ea47b2090500187.png)
通过地图检索,对视频所提及的地点进行排查,利用百度地图全景街道功能对某市xxx路周边的河流进行排查,缩小范围,随后沿着河流对小区进行逐一排查确认。逐一排查过后发现了此处位置最符合视频中的描述和画面
```php
在此不放出该地点的地图
```
通过百度地图全景街道功能,与视频中画面进行比对,确定地点位于此处,与视频画面中的**塑胶跑道、空调外机、对面的小桥**等特征完全符合,同时倒带视频,查看视频拍摄者出小区时的视角方向,确定攻击者居住于某**xxxx小区**,且翻找攻击者视频号中的视频,拍摄者透露自己住在该小区的xx号楼,连接线索确定攻击者居住小区的单元楼号,至此,通过社工定位到了个人居住地址。
![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-944ab5a069caabb9fa61df980b50fea1d62da42f.png)
```php
视频画面
```
![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-9c9313be153c2ef6f5dab3acf7eaea56ecb23e47.png)
```php
百度街景
```
但是发现Github的QQ号为小号,无更多信息,于是只好回头继续查找其他域名网站信息,在网站的页脚信息找到了攻击者另一QQ号码,该QQ号为攻击者大号,后通过该QQ号码收集到了攻击者手机号码等更多信息。
![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-3ec4614c7524a55d64e3739743fd5a06d53377c2.png)
对其支付宝手机号码转账进行确认,校验真实姓名成功,确定手机号码为此人使用。同时使用该手机号码尝试添加微信好友,微信昵称与所在地区与昵称也都与该攻击者强关联,线索链闭环,至此信息溯源完整,溯源结束。
![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-3087097cbbdb8ce62b49510f72dd7ad0cf421594.png)
最后总结一下实战中常用的溯源信息收集思路:
![发现攻击IP.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-000a736d4f0c7b53a97208f2434206f1a17803cf.png)
侵权请联系站方: [email protected]