一次真实的攻防溯源案例

分析过程

攻击发现

监测的兄弟们发现攻击IP 118.xxx.xxx.12，笔者立刻对其进行详(xi)细(lan)的溯源分析，成功溯源出该名攻击者画像。

溯源反制

1. 攻击主机情报分析

威胁情报网站查询到该IP画像，判断为公网肉鸡，属于某国企直属子公司的资产，随后进行渗透。

2. 对肉的渗透攻击

在拿到授权后，先是使用了goby一把嗦，发现其开放了较多的端口和资产，扫出的漏洞也都是一资产的误报，漏洞资产也识别有误，把资产全部点了一遍发现了几个常见资产也都用了相关poc也均（tai）无（cai）果（le），就在溯源进入瓶颈的时候，发现了个有趣的端口，点进去直接就是一个公网不用认证的OpenWrt的shell终端orz。。

笔者猜测是攻击者为了方便操作直接映射了个公网shell结果因为个人习惯原因没有设置密码和访问控制。所以，拿到了肉鸡的shell后，我们如何进行进一步溯源？大概是分为以下几个点：

• • 主机日志登录记录
• • 代理工具登录记录
• • 代理工具配置文件
• • 远程桌面日志
• • 可疑通信进程及外联
• • 可疑样本（远控马、反弹shell马）
• • 计划任务及可疑服务

经过一番搜寻，最终将目标转向三个可疑软件openvpn v2ray frp cat了下frp的配置，直接指向下一步要溯源的可疑域名。至于为什么锁定了攻击者使用了frp进行流量代理，后边会解释原因。

遍历文件发现其目录下有frp相关的连接日志，分析日志后证实是p.xxxxx.cn所有者胡xx近期有在操作该肉鸡。

3. 溯源攻击

资产证明：天眼查结果显示此资产为某国企直属子公司的资产

通过攻击链排查，该攻击为118.xxx.xxx.12发起，此服务器为被攻击者控制的长期肉鸡，攻击者事先入侵了某国企直属子公司外网ip为118.xxx.xxx.12的服务器集团，后在本次攻防演练期间使用frp工具进行流量代理发起对我方的网络攻击。且上文frp代理仅为一级frp代理的双向隧道，至此某国企直属子公司内网已经完全失陷。而后分析其目录文件，发现其目录下存在openVPN代理工具，通过分析openVPN的日志筛选出近期连接ip中较为可疑的是111.xxx.xxx.147，在通过威胁情报平台分析得出其极有可能的黑客组织月APT29 Cozy Bear。鉴于日志只持续到7月19日，而后并无openVPN的连接记录，所以攻击者还为胡xx。

4. 攻击域名溯源

分析可疑域名p.xxxxx.cn，发现其解析ip为49.xxx.xxx.152，其主域名xxxxxx.cn下还有数个子域名，解析ip如下。

经逐个域名whois查询，所有域名所有者均指向胡xx

部分域名下存在恶意样本，经分析样本存在dll劫持、加壳、反沙箱、花指令反调试、加载运行字节码的行为，判断为其为一C2的shellcode loader，其回连ip与此前子域名查询的一ip相吻合（82.xxx.xxx.115）

5. 个人身份溯源

在确认其使用ip中有两个（82.xxx.xxx.115、49.xxx.xxx.152）是国内vps平台腾讯云的产品，随即进行了密码找回fuzz，获得了其两个手机号的相关信息。

并结合此前获得的163邮箱进行查询，发现其另一手机号的信息

在已有授权的前提下，结合人口大数据库的筛选分析，最终确定其身份，所得信息均与此前获得的线索有关。

而后溯源人员随即对该人进行了定点排查，锁定其社交账号。

其名下有一公司（工作室），且经营业务涉及网络安全，现已注销，绑定手机号码为13xxxxxxxx6，与域名绑定的163邮箱信息相吻合。

因为没有更进一步的社交平台信息，溯源人员随即进行了社会工程学攻击，伪装成面试官加上其微信账号试探其是否为网安从业者。

后边我们通过伪装成面试官向其索要简历并成功获得其简历，在与其的聊天过程中发现其正在某厂商RT实习，提交报告后加了2000分，证实此次溯源有效。

总结

这次溯源是比较侥幸的，因为打肉鸡这一步很容易，没啥技术含量，个人也比较菜，权当是帮师傅们梳理一下思路吧，整理完毕大概思路是： 发现攻击ip->证实为肉鸡->对肉鸡进行getshell->排查肉鸡入侵痕迹->发现frp、openvpn配置文件->对配置文件中的ip和域名进行whois->结合已有信息进行社会工程学

原文链接

https://www.t00ls.com/articles-70283.html