记一次实战中信息收集溯源案例分享

原文首发在：奇安信攻防社区

https://forum.butian.net/share/3664

在某次值守中，发现了一个攻击IP ，通过社工信息收集等思路与技巧，结合地图定位与各个渠道信息检索，逐步深入，直到溯源到攻击IP所属人的完整信息，内容详细完整值得一读。

在某次值守中，发现了一个攻击IP 118.xxx.xx.205。

上微步情报社区查询后发现为阿里云机器。

我们可以通过微步和鹰图等平台反查到该IP绑定的对应域名，发现域名中有着ICP备案人姓名。

随后通过攻击者姓名，在工信部ICP信息备案系统中对攻击者姓名进行反查，查询该姓名备案的更多域名信息，方便我们找到切入点，果不其然发现了不少备案的域名信息。

随后逐个访问查看网站进行进一步信息收集，在其中发现了该攻击者的个人博客域名www.xxxx.com ，获取到了一些基础信息，博客中链接了攻击者的CSDN页面和github主页，github头像为攻击者的真实照片。

                                 博客

                                 CSDN

                            Github主页

同时，对Github每个项目中的有效信息进行检索收集，在Github记录里发现了攻击者的QQ邮箱，后通过深入溯源分析，认定该QQ邮箱绑定的QQ号为攻击者小号，无更多价值。

同时检索信息途中发现CSDN文章中标注了攻击者的今日头号账号：xxxxx生活史。

但时间久远，实际访问时发现该头条号已经无法访问，随后通过对此头条号昵称ID进行全网的模糊检索，想到可能存在微信视频号记录生活，也在微信中进行信息检索，果然发现了与此ID相近的微信视频号，该视频号名字为：xxx记，同时结合刚刚找到的Github主页头像照片信息确定该视频号归属于同一人。

接着对攻击者微信视频号内视频进行逐个查看，收集有用线索，该视频号为攻击者分享日常生活所用，查看多个视频后，发现有一视频介绍了所居住小区的模糊线索，继续查看视频确定此小区为居住地，视频中透露出此人居住在xxx路的小区中，且对面有一地标性的明显特征，同时视频此人站在一条河上的小桥上，将这几个特征进行地图查找。

通过地图检索，对视频所提及的地点进行排查，利用百度地图全景街道功能对某市xxx路周边的河流进行排查，缩小范围，随后沿着河流对小区进行逐一排查确认。逐一排查过后发现了此处位置最符合视频中的描述和画面

                        在此不放出该地点的地图

通过百度地图全景街道功能，与视频中画面进行比对，确定地点位于此处，与视频画面中的塑胶跑道、空调外机、对面的小桥等特征完全符合，同时倒带视频，查看视频拍摄者出小区时的视角方向，确定攻击者居住于某xxxx小区，且翻找攻击者视频号中的视频，拍摄者透露自己住在该小区的xx号楼，连接线索确定攻击者居住小区的单元楼号，至此，通过社工定位到了个人居住地址。

                              视频画面

                              百度街景

但是发现Github的QQ号为小号，无更多信息，于是只好回头继续查找其他域名网站信息，在网站的页脚信息找到了攻击者另一QQ号码，该QQ号为攻击者大号，后通过该QQ号码收集到了攻击者手机号码等更多信息。

对其支付宝手机号码转账进行确认，校验真实姓名成功，确定手机号码为此人使用。同时使用该手机号码尝试添加微信好友，微信昵称与所在地区与昵称也都与该攻击者强关联，线索链闭环，至此信息溯源完整，溯源结束。

最后总结一下实战中常用的溯源信息收集思路：