本文通過分享實際攻防演練中真實案例,防守方在未暴露任何敏感信息的情況下,僅通過郵件往來最終溯源到攻擊方相關真實信息。
作為攻擊溯源技術的引子,供各位從業和愛好者交流學習。
場景描述
攻擊者僞造郵件,稱其申請防守方靶标系統測試賬号,誘騙防守方為其開通系統賬号權限。防守方通過相關話術及技術,最終溯源到攻擊方成員。
場景再現
某日在攻防演練日常防守過程中,業務小組成員收到主題為 " 申請 XXXX 賬号 " 的郵件,郵件内容為系統内張一(化名)需要使用系統,請管理員為其新建賬号密碼。經與張一本人确認郵件中工作單位、研究方向、聯系方式等屬實,但郵件為他人冒充發送,故第一時間反饋研判分析小組。
簡單分析
通過導出郵件為 eml 格式,并以文本格式查看後,獲取到其郵件中關鍵信息如下(已脫敏):
分析其使用的 [email protected] 郵箱,發現其為攻擊者特意注冊針對員工張一姓名全拼的 21cn.com 郵箱。
反制郵件
鑒于釣魚郵件中手機号碼為張一本人而非攻擊者手機号碼,經決策後防守方拿出多年積累的花式話術,回複其郵件稱密碼已發送短信至手機,并在簽名處加入防守方可控的圖片:
随後,在防守方服務器上監控簽名處圖片訪問情況,發現攻擊者于當日晚間 23 點、次日上午 9 點左右多次查看收件箱:
故此,獲取到攻擊者信息如下:
再次釣魚
次日,防守方收到第二封釣魚郵件,主題同樣為 " 申請 XXX 賬号 ",郵件内容為王一(化名)需要使用系統,希望管理員新建賬戶,并附上手機号碼。通過分析,猜測為攻擊者因第一封郵件手機号碼非攻擊者可控,無法接受短信獲取系統密碼,故更換聯系方式發送釣魚郵件。
導出郵件分析後得到以下信息(已脫敏):
随後同樣發送帶有防守方可控的圖片作為郵件簽名,監測其查看郵件時間、頻率。
反制溯源
發現其收件 IP 地址 1.1.1.2 與張一的收件 IP 地址一緻,結合郵件主題、話術、攻擊手法确認兩封釣魚郵件為同一攻擊者,決定并案處理。通過嘗試申請重置其 21cn.com 的郵箱密碼,發現其綁定了手機号 1314444:
根據其洩漏的 IP 地址 1.1.1.1、1.1.1.2、1.1.1.3、2.2.2.1 等歸屬地均在哥譚市,故查詢哥譚市所有 131 号段:
組合其号段,逐一嘗試 21cn.com 的注冊情況,最終發現存在 3 個對應的手機号碼注冊了 21cn.com 郵箱:
對這三個手機号碼進行大數據排查、信息收集,發現 13140114444 曾經綁定微博、微信、支付寶等賬戶,且其社交媒體活動規律符合網絡安全從業者特征,尤其是其手機号綁定了某招聘網站顯示其具有從事網絡安全相關工作經驗。
根據攻擊者使用張一身份在工作時間(11:18、17:58 等)發送、查看郵件洩漏的 IP 地址 1.1.1.1,使用的郵件客戶端 MacOS,猜測為工作單位互聯網出口 IP,通過物理位置定位,可獲取到相關地理位置:
且物理位置符合其招聘網站顯示的工作單位官網辦公位置哥譚市鑽石區。
根據攻擊者在非工作時間(21:14、23:58、02:34 等)查看郵件洩漏的 IP 地址 1.1.1.2、1.1.1.3、2.2.2.1,使用的郵件客戶端 189MailiPhone,猜測其為移動客戶端進行查看郵件,經過排查确認 IP 為移動基站,且物理位置距離工作單位較近,猜測為攻擊者實際住所。分析其手機号為阿裡小号,符合攻防演練中攻擊者常見屬性之一,猜測手機号為攻擊者手機号:
通過大數據排查手機号曾洩漏物流信息,符合其工作單位、實際物理住所哥譚市特征:
綜合信息及身份畫像
綜上,根據整理已獲取到攻擊者信息,分析其相關特征(已脫敏),進行攻擊者畫像:
結語
本文通過案例形象地再現了釣魚郵件及釣魚郵件反制,基于 " 删繁就簡 " 的原則,在不使用重量級武器如 " 免殺木馬反制 "、" 釣魚 URL 反制 " 等手段,以信息收集為主要溯源手段,向讀者闡述了相關技術,旨在與各位從業及愛好者探讨交流。
