实战 | 记某次值守中对攻击IP的溯源分析

VSole2022-01-08 06:03:05

0x01概述

在某次值守看告警中，态势感知系统监测到我市某政府单位的网站遭到来着IP：112.xx.xx.xx（上海）Apache shiro反序列化攻击，且告警中的攻击结果为成功，但后续经人工验证使用shiro反序列化利用工具未能成功利用该漏洞，利用不成功的原因后面也得到确认是因为其在攻击时数据包中存在较为容易猜解key命中了特征库的规则从而触发了告警，进一步确认需要人工核验，心中暗暗自喜还好不是安全事件不然又得出去应急了，随后并对攻击IP进行溯源分析。

0x02事件分析

到日志检索中心对攻击IP：112.xx.xx.xx进行检索，发现其不止攻击了告警中的单位，还攻击了我市内其他大量的政府单位与系统，于2021年8月30日至2021年9月29日一个月内该攻击IP累计对我市单位信息系统攻击共计46101余次，只能说这位兄弟头真铁。

粗略的统计了一下攻击的类型占比，其中敏感信息的攻击类型占了总比的49%，接着是代码执行17%之后是目录遍历11%，从攻击的占比度来看其的攻击手法极大可能是通过扫描器进行批量的攻击，专门寻找脆弱的目标，但只挑gov打既然头那么铁下面就对攻击来源溯源一波。

0x03溯源攻击者

根据攻击IP：112.xx.xx.xx在奇安信威胁研判分析平台捕获到该IP在近期今年的9月25号开始就已经出现了大量的攻击活动迹象，在微步在线情报平台也是在近期9月28开始发现该IP有漏洞利用的行为特征。

经奇安信威胁研判分析平台IP反查域名得到目前该攻击IP：112.xx.xx.xx解析的域名为sxxx.xxxxd.cc，为确保准确性经过反查DNS解析可确认当前该域名的是112.xx.xx.xx这个IP。

继续在威胁研判分析平台查询该域名的whois注册信息，虽然该域名目前的whois注册信息显示为空可能域名持有者做了信息保护，但在奇安信威胁研判分析平台是可以查询到域名第一次注册时未更改的历史信息的，得到关键信息注册人：xxxxxxxxwang，QQ邮箱：10xxxxxxx@qq.com，并通过该QQ进行搜索，其资料上也有该域名的相关字样，可以确定该域名属于该QQ的持有者。

下面通过搜索引擎搜索语法site:xxxxd.cc得到以下该域名的收录信息，并得到其的二级域名blog.xxxxd.cc个人博客。

在并在其博客的下方页脚处发现该域名的备案号沪ICP备1xxxxxx号，并在工信部进行备案查询，得到结果为此域名已在工信部备案，备案人：王某某（对应前面奇安信威胁研判分析平台该域名的历史whois注册人：xxxxxxwang）。

继续对该攻击者进一步的信息收集，通过得到的QQ邮箱10xxxxxx@qq.com进行大数据检索库进行查询，得到目前该QQ绑定的手机号为136xxxxxxxx（上海移动），泄露的密码中大部分含有19981123字样可直观的猜测此数字为出生年月日，并得到泄露的地址为：上海市xxxxxxxxxxxx附近。

为确保得到的手机号目前正在使用的，并在次对手机号进行一波反向查询得到微博地址：https://www.weibo.com/u/xxxxxx，其已在微博实名认证并且头像与QQ头像一致，资料内的生日年月份也一致，并通过对手机号136xxxxxxxx进行微信好友添加，其微信使用的头像与微信昵称wxx对应王某某基本可以确定该手机号目前为再用号码。

0x04关联好友线索

通过得到blog.xxxxd.cc该二级域名并在奇安信威胁研判分析平台进行关联域名查询，得到84xxxxxxx.xxxx.xxxxd.cc带有QQ号的三级域名。

为证实其中有一定的联系，通过DNS解析查询当前blog.xxxxd.cc与84xxxx.xxxx.xxxxd.cc所解析的服务器IP均为185.xx.xx.xx（美国）足以说明了王某某与84xxxx这个QQ号的主人有一定的关系。

再次使用大数据检索QQ号84xxxxx得到其真实姓名为刘某某QQ绑定的手机号为138xxxxxxxx（重庆移动），网络名：某某Kill，并通过泄露的菜鸟驿站信息得到详细地址：重庆市xxxxxxxxxxx附近，并且通过泄露的QQ群关系其在重庆中学群中的昵称也为刘某某由此可确认该名为真实姓名。

为进一步的证实两人有关联，通过反查IP：185.xx.xx.xx所绑定的域名，可看到www.zhxxxxxx.com也解析到了该IP上。

访问www.zhxxxxxx.com可看到该网站以某某Kill（对应以上泄露的网络昵称）命名的一个个人博客，网站备案号渝ICP备xxxxxxxx号，但在工信部查询备案该备案号的备案域名为www.gxxxxxx.cn备案人也为刘某某所有，并在好友友情链接到了王某某的博客blog.xxxxxd.cc上。

0x05 总结

综合上诉溯源分析得出，攻击IP：112.xx.xx.xx对我市内政府单位实施网络攻击，当前攻击IP所解析的域名为sxxxx.xxxxxd.cc溯源得到该域名持有者真实姓名为王某某地址：上海市xxxxxxxxxxxx号，关联出其好友真实个人信息刘某某其地址：重庆市xxxxxxxxxx号，以下为溯源关联图。

另外在提一句，所有在未授权情况下的攻击扫描都是禁止的，互联网并非法外之地不要触碰法律的底线，现在正直春节年底防疫的敏感期间不要对政府单位系统进行恶意的扫描，给国家省省心让自己也过个好年。

ip反查域名域名绑定

本作品采用《CC 协议》，转载必须注明作者和本文链接

反查 IP 自动化

2023-11-28 10:28:52

从域名到 IP 的转换，通过 DNS 服务可以直接查询到，属于正向解析，但是从 IP 到域名，DNS 服务器并没有提供这项服务，属于不可逆查询

实战 | 记某次值守中对攻击IP的溯源分析

2022-01-08 06:03:05

经奇安信威胁研判分析平台IP反查域名得到目前该攻击IP：112.xx.xx.xx解析的域名为sxxx.xxxxd.cc，为确保准确性经过反查DNS解析可确认当前该域名的是112.xx.xx.xx这个IP。

网络扫描：探测域名

2021-07-28 11:12:21

Ping扫描，域名解析，反向DNS查询，子域名枚举。

干货 | 最全Web 渗透测试信息搜集-CheckList

2022-03-17 22:06:40

如果网站开启了CDN加速，就无法通过网站的域名信息获取真实的IP，要对目标的IP资源进行收集，就要绕过CDN查询到其真实的IP信息。使用ping域名判断是否有CDN直接使用ping域名查看回显地址来进行判断，如下回显cname.vercel-dns.com，很明显使用了cdn技术。使用不同主机ping域名判断是否有CDN如果自己在多地都有主机可以ping域名，就可以根据返回的IP信息进行判断。

蓝队面试题整理（防守方面试题整理）

2022-10-14 22:24:53

用户名：加密密码：密码最后一次修改日期：两次密码的修改时间间隔：密码有效期：密码修改到期到的警告天数：密码过期之后的宽限天数：账号失效时间：保留。查看下pid所对应的进程文件路径，

网安26号院|黑客环伺！12家国家级APT组织紧盯我国

2021-11-25 17:12:41

毒云藤、蔓灵花、海莲花等国家级攻击组织，持续针对我国境内开展攻击活动。（感恩节互动有礼）

12个国家级APT组织紧盯我国

2021-11-19 07:33:53

国家级APT（Advanced Persistent Threat，高级持续性威胁）组织是有国家背景支持的顶尖黑客团伙，专注于针对特定目标进行长期的持续性网络攻击。 2021 年上半年，网络武器威力和攻击规模持续增大，可能是近年来APT攻击活动最黑暗的半年。全球 APT 组织为达到攻击目的，不惜花费巨额资金和人力成本，使用的在野0day 漏洞数量陡然剧增，出现的频次之高为历年罕见。

解析真实域名IP的方法

2023-07-18 15:21:11

一.DNS历史解析记录查询域名的历史解析记录，可能会找到网站使用CDN前的解析记录，从而获取真实IP。

src漏洞挖掘浅谈

2023-02-20 11:22:13

信息收集就说到这里，信息收集的主要目的就是扩大可利用面，10000万个资产你可能碰到弱口令，但1个资产你肯定没有弱口令挖掘前篇前边已经讲了信息收集，在测试前为了能高效的挖掘src，就需要有数据进行测试，这个数据就是我们常说的字典，字典怎么来，整理，收集，经验，积累。金额，数量都是可以篡改的地方小结挖掘src漏洞最主要还是挖掘逻辑漏洞，无非就是耐心，细节，多留意数据包的可疑数据，数据包所实现的功能。

VSole

网络安全专家