近期,接客户通知开展HW攻防演练,于是和团队人员投入HW演练监控中。在某日监控中发现 监控设备出现数条告警信息,疑似攻击队对我方资产进行攻击。于是第一时间进行预警,并尝试溯源 攻击者。
监控设备告警日志
首先通过对监控设备捕捉到的有效攻击行为进行简单分析,得出两个有效信息:一是攻击IP为119.X.X.X,二是攻击者尝试利用NMAP工具对资产进行扫描探测,于是开展对攻击IP溯源工作。
威胁情报平台查找相关信息
通过微步威胁情报平台查询关于此IP的相关信息,发现该IP被判断为恶意攻击,并查到历史解 析域名。并进一步对该IP进行探测,以求发现更有价值的信息。
微 步 威 胁 情 报 平 台 :https://x.threatbook.cn/
安恒威胁情报平台:https://ti.dbappsecurity.com.cn/
查询历史解析域名whois信息,发现注册机构为:XXXX院。
利用ipuu对IP进行定位,发现该IP在北京市某城区某某四季别墅附近。
对该IP进行端口探测
利用Nmap对该IP进行全端口扫描,发现该攻击IP仅开放25、110端口。
25 端口:SMTP邮件服务, 对应服务漏洞:邮件伪造、未授权访问、弱口令。110 端口:POP3,对应服务漏洞:弱口令。对其进行一番尝试,并未发现可利用的漏洞。一波操作猛如虎,一 看战绩0-5.
常 见 漏 洞 及 对 应 服 务 漏 洞 可 参 见 :https://mp.weixin.qq.com/s/3QzpyAiGl3LI78Neqi7K7g。
查找子域名并进行溯源
通过oneforall、xray对其子域进行发掘。发现其存在较多子域,逐一进行整理并测试。oneforall项目地址:https://github.com/shmilylty/OneForAll
xray项目地址:https://github.com/chaitin/xray oneforall探测结果:
xray探测结果:
整理结果:
最后发现a.xxx.cn可访问且提供web服务,于是对该子域进行测试。
访问a.xxx.cn,发现该域名为资产及实验室运维管理系统登录页面,且没有验证码进行验证。弱 口令进行尝试,发现该系统存在任意用户登录,但登入系统仍返回该页面。
于是将请求抓包重放,寻找有效信息。
在响应包,发现了某职员的姓名、手机号等有效信息,整理如下。
写在最后
此次从安全设备监控到攻击IP至溯源结束,中间经历IP信息查询、whois查询、端口探测、IP反 查域名、子域名爆破、漏洞发掘等等,共计耗时近6小时。最终也发现了部分有效信息,但我并不认 为这是一次成功的溯源。因为通过子域获取的部分信息,并不能证明就是该人进行的攻击。写此文的 目的只是记录一下溯源的部分思路,希望今后能有次真正意义上的成功溯源,到时再与各位表哥们分享。
