记一次实战中信息收集溯源案例分享
原文首发在:奇安信攻防社区
https://forum.butian.net/share/3664
在某次值守中,发现了一个攻击IP ,通过社工信息收集等思路与技巧,结合地图定位与各个渠道信息检索,逐步深入,直到溯源到攻击IP所属人的完整信息,内容详细完整值得一读。
在某次值守中,发现了一个攻击IP 118.xxx.xx.205。
上微步情报社区查询后发现为阿里云机器。
我们可以通过微步和鹰图等平台反查到该IP绑定的对应域名,发现域名中有着ICP备案人姓名。
随后通过攻击者姓名,在工信部ICP信息备案系统中对攻击者姓名进行反查,查询该姓名备案的更多域名信息,方便我们找到切入点,果不其然发现了不少备案的域名信息。
随后逐个访问查看网站进行进一步信息收集,在其中发现了该攻击者的个人博客域名www.xxxx.com ,获取到了一些基础信息,博客中链接了攻击者的CSDN页面和github主页,github头像为攻击者的真实照片。
博客
CSDN
Github主页
同时,对Github每个项目中的有效信息进行检索收集,在Github记录里发现了攻击者的QQ邮箱,后通过深入溯源分析,认定该QQ邮箱绑定的QQ号为攻击者小号,无更多价值。
同时检索信息途中发现CSDN文章中标注了攻击者的今日头号账号:xxxxx生活史。
但时间久远,实际访问时发现该头条号已经无法访问,随后通过对此头条号昵称ID进行全网的模糊检索,想到可能存在微信视频号记录生活,也在微信中进行信息检索,果然发现了与此ID相近的微信视频号,该视频号名字为:xxx记,同时结合刚刚找到的Github主页头像照片信息确定该视频号归属于同一人。
接着对攻击者微信视频号内视频进行逐个查看,收集有用线索,该视频号为攻击者分享日常生活所用,查看多个视频后,发现有一视频介绍了所居住小区的模糊线索,继续查看视频确定此小区为居住地,视频中透露出此人居住在xxx路的小区中,且对面有一地标性的明显特征,同时视频此人站在一条河上的小桥上,将这几个特征进行地图查找。
通过地图检索,对视频所提及的地点进行排查,利用百度地图全景街道功能对某市xxx路周边的河流进行排查,缩小范围,随后沿着河流对小区进行逐一排查确认。逐一排查过后发现了此处位置最符合视频中的描述和画面
在此不放出该地点的地图
通过百度地图全景街道功能,与视频中画面进行比对,确定地点位于此处,与视频画面中的塑胶跑道、空调外机、对面的小桥等特征完全符合,同时倒带视频,查看视频拍摄者出小区时的视角方向,确定攻击者居住于某xxxx小区,且翻找攻击者视频号中的视频,拍摄者透露自己住在该小区的xx号楼,连接线索确定攻击者居住小区的单元楼号,至此,通过社工定位到了个人居住地址。
视频画面
百度街景
但是发现Github的QQ号为小号,无更多信息,于是只好回头继续查找其他域名网站信息,在网站的页脚信息找到了攻击者另一QQ号码,该QQ号为攻击者大号,后通过该QQ号码收集到了攻击者手机号码等更多信息。
对其支付宝手机号码转账进行确认,校验真实姓名成功,确定手机号码为此人使用。同时使用该手机号码尝试添加微信好友,微信昵称与所在地区与昵称也都与该攻击者强关联,线索链闭环,至此信息溯源完整,溯源结束。
最后总结一下实战中常用的溯源信息收集思路:
- 点赞
- 收藏
- 关注作者
评论(0)