freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

2022攻防演练:记一次利用蜜罐的成功溯源
2022-11-14 16:22:20
所属地 天津

前言

记录一次2022年攻防演练中的成功溯源,话说蜜罐得到了甲方爸爸的青睐,果然没有辜负期望取得了一次成功的溯源,成功获取了攻击者姓名、履历、社交主页等信息。

溯源过程

1、蜜罐捕捉

7月25日监控到IP地址为101.***.***.135的攻击者对多个我方隐藏资产进行探测攻击,被蜜罐系统捕获到了设备指纹为72c723fb391f5d4588ce4968e87*****

v2-ee1b001b677ba93d51012696cf17a48b_b.jpgv2-0217eb827dc2cf1cfc8338354b3c02cc_b.jpgv2-30dde6bfbc165672dc0191f93c36a38e_b.jpg

期间在态势感知平台也发现该地址对其他真实业务系统存在攻击行为

v2-90feeeba744d772ec79bf51dbc72a957_b.jpg

发现该IP存在异常后,立即对该地址进行封堵,避免对我方其他业务系统进行攻击。

2、捕捉到百度ID

通过XX情报平台发现该机器指纹72c723fb391f5d4588ce4968e87*****有更新信息

v2-8a811aa99d6d9f195347ad92c2be04dd_b.jpg

进而发现存在同样指纹的攻击者有在7月26日攻击其他单位隐藏资产的记录,并通过蜜罐系统捕获到百度ID为sc***,设备指纹是根据设备操作系统、浏览器、硬件信息等综合获取的指纹,因此断定为同一攻击者。

v2-ab5addb81ba80b13e4ad2b338460180b_b.jpg

3、通过ID顺藤摸瓜

  1. 通过百度ID搜索贴吧发言记录发现内容与银行和IT相关,推断可能为金融行业信息类从业人员,可能入职过邮储银行,并且看到关注过SG贴吧

v2-ea01e38cfd85a3f43b9970cbc57ded5a_b.jpg

2、直接百度搜索ID,发现了GitHub、CSDN、TesterHome、程序员客栈等社交信息,

v2-9f4dd06a230c50a077385403e44165be_b.jpg

打开GitHub:居然有惊喜

结合ID上面这个拼音和ID上的字母组合,可以推测出姓名为*xin,

v2-f094774b12cd57acb523bd8c2d0e8d34_b.jpgv2-03255e11952000500e94bd60abf1ddd4_b.jpg

打开TesterHome,结合拼音和文章可以和上述的github对应,证明为同一人

v2-191ea0cf7f1e2bbcaaab7309c0206416_b.jpg

打开程序员客栈,看到了履历情况虽然可能没有及时更新,但是也获取了有价值的信息

v2-07dfd906399e516197cc260a71e6691c_b.jpgv2-09cab76eed66741ecd9b45b6e96bc777_b.jpg

点击查看联系方式:

v2-31c4f76116753544769d939a9eab626d_b.jpg

注册以后发现查看联系方式需要付费,所以作罢,找其他线索

4、确定姓名

通过脉脉,查询金融从业者、安全从业者、使用常见的拼音为**xin的名字发现存在姓名为**欣的人,就业信息与百度贴吧(入职邮政储蓄银行),程序员客栈(入职中国金融认证中心)相符,毕业院校也相符。



5、完成攻击者画像

综上所述,确认攻击者身份信息如下:

姓名:**欣

现任职:中国**银行 信息安全副主任工程师

曾任职:中国**认证中心 信息安全主管

中国**银行 RJ测试工程师

毕业院校:北京**大学

GitHub:https://github.com/s**x

百度论坛主页:https://tieba.baidu.com/home/main?un=s**x&from=tieba

程序员客栈主页:https://www.proginn.com/wo/4574**

TesterHome主页:http://testerhome.com/s**x/?locale=zh-tw

总结

比较简单的一次溯源,因为一个ID的暴露,导致个人信息被连锁挖出,只能说这个RT太不用心了,犯了低级错误,攻击之前用新的系统,清理干净历史痕迹,规避网络隐私都可以避免个人信息被完全挖出。

# 网络安全技术 # 红蓝对抗
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录