奇安信攻防社区-记一次实战中信息收集溯源案例分享

记一次实战中信息收集溯源案例分享

在某次值守中，发现了一个攻击IP ，通过社工信息收集等思路与技巧，结合地图定位与各个渠道信息检索，逐步深入，直到溯源到攻击IP所属人的完整信息，内容详细完整值得一读。

在某次值守中，发现了一个攻击IP 118.xxx.xx.205。

![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-7a85f5abd2196eedc6270157e315add6010ba4b7.png)

上微步情报社区查询后发现为阿里云机器。

![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-a21bc13016618aece528f079415e9df1fbaae09f.png)

我们可以通过微步和鹰图等平台反查到该IP绑定的对应域名，发现域名中有着ICP备案人姓名。

![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-4489b77998b420b9f58f431a421791c49be80733.png)

![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-cc24a9f94e1ef68f08aade5709595557396746d2.png)  
随后通过攻击者姓名，在工信部ICP信息备案系统中对攻击者姓名进行反查，查询该姓名备案的更多域名信息，方便我们找到切入点，果不其然发现了不少备案的域名信息。

![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-e7293f6e73999e1addf7c21eee1f6f5c33255e69.png)

随后逐个访问查看网站进行进一步信息收集，在其中发现了该攻击者的个人博客域名www.xxxx.com ，获取到了一些基础信息，博客中链接了攻击者的CSDN页面和github主页，github头像为攻击者的真实照片。

![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-7757d76538a5ea1c586516119673020248f31201.png)

```php
                                 博客
```

![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-63ac1dca25ddea5fc157763f331ccc2e82d2b39f.png)

```php
                                 CSDN
```

![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-bfd01756fee15bbdd858dda73462b3e6a07c8cff.png)

```php
                            Github主页
```

同时，对Github每个项目中的有效信息进行检索收集，在Github记录里发现了攻击者的QQ邮箱，后通过深入溯源分析，认定该QQ邮箱绑定的QQ号为攻击者小号，无更多价值。

![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-2397892a372099a68b03619f34b3664caad12dea.png)  
同时检索信息途中发现CSDN文章中标注了攻击者的今日头号账号：**xxxxx生活史**。

![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-1a1926f12f957c3e41116f8b89fae938b9c9eca5.png)

但时间久远，实际访问时发现该头条号已经无法访问，随后通过对此头条号昵称ID进行全网的模糊检索，想到可能存在微信视频号记录生活，也在微信中进行信息检索，果然发现了与此**ID相近**的微信视频号，该视频号名字为：**xxx记**，同时结合刚刚找到的Github主页头像照片信息确定该视频号归属于同一人。

![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-58e2c895caa7164a32ded6ec3f094722cc4f393b.png)

接着对攻击者微信视频号内视频进行逐个查看，收集有用线索，该视频号为攻击者分享日常生活所用，查看多个视频后，发现有一视频介绍了所居住小区的模糊线索，继续查看视频确定此小区为居住地，视频中透露出此人居住在**xxx路**的小区中，且对面有一地标性的明显特征，同时视频此人站在一条河上的小桥上，将这几个特征进行地图查找。

![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-9fb683c0c1600b92f9401fa55ea47b2090500187.png)

通过地图检索，对视频所提及的地点进行排查，利用百度地图全景街道功能对某市xxx路周边的河流进行排查，缩小范围，随后沿着河流对小区进行逐一排查确认。逐一排查过后发现了此处位置最符合视频中的描述和画面

```php
                        在此不放出该地点的地图
```

通过百度地图全景街道功能，与视频中画面进行比对，确定地点位于此处，与视频画面中的**塑胶跑道、空调外机、对面的小桥**等特征完全符合，同时倒带视频，查看视频拍摄者出小区时的视角方向，确定攻击者居住于某**xxxx小区**，且翻找攻击者视频号中的视频，拍摄者透露自己住在该小区的xx号楼，连接线索确定攻击者居住小区的单元楼号，至此，通过社工定位到了个人居住地址。

![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-944ab5a069caabb9fa61df980b50fea1d62da42f.png)

```php
                              视频画面
```

![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-9c9313be153c2ef6f5dab3acf7eaea56ecb23e47.png)

```php
                              百度街景
```

但是发现Github的QQ号为小号，无更多信息，于是只好回头继续查找其他域名网站信息，在网站的页脚信息找到了攻击者另一QQ号码，该QQ号为攻击者大号，后通过该QQ号码收集到了攻击者手机号码等更多信息。

![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-3ec4614c7524a55d64e3739743fd5a06d53377c2.png)

对其支付宝手机号码转账进行确认，校验真实姓名成功，确定手机号码为此人使用。同时使用该手机号码尝试添加微信好友，微信昵称与所在地区与昵称也都与该攻击者强关联，线索链闭环，至此信息溯源完整，溯源结束。

![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-3087097cbbdb8ce62b49510f72dd7ad0cf421594.png)

最后总结一下实战中常用的溯源信息收集思路：

![发现攻击IP.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-000a736d4f0c7b53a97208f2434206f1a17803cf.png)

发表于 2024-08-15 10:10:48
阅读 ( 3876 )
分类：应急响应

9 条评论

11111wqe 2024-08-16 16:26

第一步就很有可能出问题了。从你的截图可以看到末次域名解析在一年前，之后域名和ip之间很可能没有关系了。而阿里云的ip非常容易易手，在没有连续性的证据下，一年前的域名解析完全无法作为证据。很有可能是攻击队近期买的阿里云ip，而这与你后面溯源到的是个前端完全对应上了，这个人完全不是个安全行业的人员，你很可能开盒了一个无辜的人。

chenwuwu 回复 11111wqe

这是23年的案例，不是最近的

2024-08-16 18:18
回复

用户871317348 2024-08-18 02:05

谢谢博主的分享

online 2024-08-15 14:50

怎么看都不像搞安全的，像是搞前端的。IP域名反查时间能对应上吗？万一是过期的域名解析的记录。还有就是溯源的方向应该往攻击者的职业、公司吧....作者感觉方向有点偏

chenwuwu 回复 online

攻击者不一定只是攻击队，也有可能是个人攻击者和黑灰产，这是23年的案例，这个域名解析当时是生效的

2024-08-16 18:19
回复

asdfs 2024-08-16 17:29

没证明是搞安全的，无效

asdfs 2024-08-16 17:32

M0urn 2024-08-30 10:18

前面的思路好像出问题了，就算域名和IP解析对的上，你拿名字直接搜其他备案不会有重名问题么，他这个名字看起来相当大众，而且备案号地域很多，大概率是好多个人的备案信息，有可能溯歪了。能做域名备案的大概率也是互联网行业的人，所以才会出现这个做前端的备案。个人觉得后面的信息都是以名字为基础查出来的，而你后面查的这个名字和攻击者的绑定性存疑，所以有溯歪的可能，之前我就这么溯歪过一次，差点报警给人学生逮进去了。

chenwuwu 回复 M0urn

可能是我文章打码比较多不太好看清，个人博客的截图就是攻击者IP解析的域名，所以是能够确定没溯歪的，姓名反查的时候也是确定两边有互相关联的信息才会接着去找

2024-11-20 09:23
回复