看了國外的幾篇針對希拉里郵箱泄露事件的溯源分析,感覺基本上溯源算是失敗了。黑了希拉里的人是什么動機?來自哪里?是川普派來的么?是第二次水門事件么?最終,答案都是不知道。
因為這個事情太熱了,以至于國外的安全公司不得不跟。但確實也無太多信息可以跟。在整個溯源過程中,大家用的方法卻有很多值得借鑒和學習,尤其是未來在追蹤APT的過程中可以用到。黑了希拉里的小伙自稱” Guccifer”, 把希拉里的郵件發給了一個政治網站,也發到了wikileaks。如果你只對希拉里的郵件感興趣,可以直接訪問這里:https[:]//wikileaks[.]org/clinton-emails/。
Guccifer用[email protected]發郵件給了The Hill,一個美國的政治網站。所以安全公司追蹤他的發郵件源:
從郵件頭的”received from”的地方,可以看到發信的IP地址是95.13.15.34。這個IP是最后的發件地址。是法國的IP。這個IP有意思的地方是,威脅情報網站定義該IP為僵尸網絡。https://x.threatbook.cn/ip/95.130.15.34
同時在2015年10月7日,被記錄曾經出現過WordPress的爆破行為
然后安全人員想根據這個ip來深挖。于是想知道IP再往上一層的信息。他們去shodan做了查找:(吐槽下國產Zomeeye需要提高啊…..)
https://www.shodan.io/host/95.130.15.34
我也重新拿起工具掃了一下,發現已經掃不通了,所有端口都關了。一點額外的信息都沒有。但從shadon的歷史記錄來看,他之前至少開過3個端口。
安全人員通過SSH的fingerprint來在shodan上做進一步的搜索,鎖定了6臺機器:
備注:用Fingerprint來確認主機同一性的方法并不是絕對的可靠。可以參考。
發現6臺機器都是同一網段的,
95.130.9.198
95.130.15.36
95.130.15.37
95.130.15.38
95.130.15.40
95.130.15.41
下一步是要解決,這幾個IP到底是做什么的?
把每個IP都做了下反查,發現95.130.9.198這個IP上綁定了fr1.vpn-service.us這個域名。
https://x.threatbook.cn/ip/95.130.9.198
這個域名的相關信息:
https://x.threatbook.cn/domain/vpn-service.us
分析太多這個網站的注冊人并無太多意義,因為從頁面訪問是這樣的:
查到這里是個里程碑。從email的IP,ssh的指紋,找到網段,索引到這個點,確定這是一個VPN。這一套組合拳非常贊。雖然結論是這是一個VPN。其實想想也是,Guccifer說自己做好了所有防護措施,發信怎么可能不用跳板呢。
但如果因為這個VPN頁面訪問是俄文,據此就推斷,那攻擊者應該是個俄羅斯人。這對于溯源,對于安全追蹤來說,這種證據站不住腳。何況這個網站還支持英文版。這中間少了關鍵的一環。
之后安全人員在一個打碼平臺(中國叫打碼,指代收短信,假手機號),找到了這個ip曾經在11個月前,注冊了打碼平臺并且接受了短信
從接受的短信是俄語,希望佐證攻擊者是俄羅斯人。但這就像一個證明題,有兩個問題你需要證明:
這個IP既然是VPN平臺,就要證明這個IP一直是攻擊者在使用,而不是隨機分配IP的
要證明11個月前,攻擊者已經注冊了這個平臺。
可惜都無法證明。到這里溯源基本上進入死胡同了。
從追蹤溯源的角度來看,這次跟蹤證據鏈比較弱,挖的東西形不成鏈路,至少無法說服我。
Reference:
http://www[.]thesmokinggun[.]com/documents/crime/dnc-researched-clinton-speeches-travel-records-621985
http://thehill[.]com/policy/cybersecurity/287558-guccifer-20-drops-new-dnc-docs
https://www[.]threatconnect[.]com/guccifer-2-all-roads-lead-russia/
https://www.crowdstrike.com/blog/bears-midst-intrusion-democratic-national-committee/
http://www[.]foxnews[.]com/tech/2016/06/21/after-dnc-attack-hacker-guccifer-2-0-releases-hillary-clinton-dossier[.]html
京公網安備 11010502049343號