追踪溯源:希拉里邮箱泄露事件

前言

这些是平时阅读各种事件的记录,即算笔记又算摘抄。朝花夕拾,支离破碎。有些私人笔记的性质,写出来一是把别人的分析自己实现一遍做学习和验证对错,二是记录下来做梳理,方便自己以后回看。

看了国外的几篇对这个事件的分析报道和溯源行为,觉得基本上溯源失败了。黑了希拉里的人是什么动机?来自哪里?是川普派来的么?是第二次水门事件么?最终,答案都是不知道。

希拉里邮件门相关报道:

希拉里邮件门续集:维基解密再泄露20000封DNC邮件

因为这个事情太热了,以至于国外的安全公司不得不跟。但确实也无太多信息可以跟。在整个溯源过程中,大家用的方法却有很多值得借鉴和学习,尤其是未来在追踪APT的过程中可以用到。黑了希拉里的小伙自称” Guccifer”, 把希拉里的邮件发给了一个政治网站,也发到了wikileaks。如果你只对希拉里的邮件感兴趣,可以直接访问这里:https://wikileaks.org/clinton-emails/。

溯源过程

Guccifer用Guccifer20@aol.fr发邮件给了The Hill,一个美国的政治网站。所以安全公司追踪他的发邮件源:

a0f0e64ecee229b710287ff527e0c8ea_b

从邮件头的”received from”的地方,可以看到发信的IP地址是95.13.15.34。这个IP是最后的发件地址。是法国的IP。这个IP有意思的地方是,威胁情报网站定义该IP为僵尸网络。

https%3A//x.threatbook.cn/ip/95.130.15.34

db56141ba6cccffd4cfa84add08ef49c_b

同时在2015年10月7日,被记录曾经出现过WordPress的爆破行为

78d53c0fb1405ea3942e8085d10f1309_b

然后安全人员想根据这个ip来深挖。于是想知道IP再往上一层的信息。他们去shodan做了查找:(吐槽下国产Zomeeye需要提高啊…..)

https://www.shodan.io/host/95.130.15.34

9b935203b643b7f4e8e5c34787fba906_b

我也重新拿起工具扫了一下,发现已经扫不通了,所有端口都关了。一点额外的信息都没有。但从shadon的历史记录来看,他之前至少开过3个端口。

安全人员通过SSH的fingerprint来在shodan上做进一步的搜索,锁定了6台机器:

20efba436b44a7d8abeeb565851fc8be_b

备注:用Fingerprint来确认主机同一性的方法并不是绝对的可靠。可以参考。

发现6台机器都是同一网段的,

95.130.9.198

95.130.15.36

95.130.15.37

95.130.15.38

95.130.15.40

95.130.15.41

下一步是要解决,这几个IP到底是做什么的?

把每个IP都做了下反查,发现95.130.9.198这个IP上绑定了fr1.vpn-service.us这个域名。

https%3A//x.threatbook.cn/ip/95.130.9.198

dfafa98cd75e5e01921c2c87561ec252_b

这个域名的相关信息:

https%3A//x.threatbook.cn/domain/vpn-service.us

ed6fd516584c7cb05f3c8af341453422_b

f4bfa00675ff903553626fe739d1612b_b

分析太多这个网站的注册人并无太多意义,因为从页面访问是这样的:

bdab01026ee2e80c157cbf81e042307d_b

查到这里是个里程碑。从email的IP,ssh的指纹,找到网段,索引到这个点,确定这是一个VPN。这一套组合拳非常赞。虽然结论是这是一个VPN。其实想想也是,Guccifer说自己做好了所有防护措施,发信怎么可能不用跳板呢。

但如果因为这个VPN页面访问是俄文,据此就推断,那攻击者应该是个俄罗斯人。这对于溯源,对于安全追踪来说,这种证据站不住脚。何况这个网站还支持英文版。这中间少了关键的一环。

之后安全人员在一个打码平台(中国叫打码,指代收短信,假手机号),找到了这个ip曾经在11个月前,注册了打码平台并且接受了短信

在这里我有一个问题,就是他们怎么找到这个打码平台的,国外的打码平台应该也不是一个两个。

而通过google直接搜索IP的结果有800多条。直接找肯定不现实,那他们怎么找到的呢?

f47956dafb8bbe97a7c87afd61c74532_b

从接受的短信是俄语,希望佐证攻击者是俄罗斯人。但这就像一个证明题,有两个问题你需要证明:

  • 这个IP既然是VPN平台,就要证明这个IP一直是攻击者在使用,而不是随机分配IP的
  • 要证明11个月前,攻击者已经注册了这个平台。

可惜都无法证明。到这里溯源基本上进入死胡同了。

从追踪溯源的角度来看,这次跟踪证据链比较弱,挖的东西形不成链路,至少无法说服我。

Reference:

http://www.thesmokinggun.com/documents/crime/dnc-researched-clinton-speeches-travel-records-621985

http://thehill.com/policy/cybersecurity/287558-guccifer-20-drops-new-dnc-docs

Guccifer 2.0: All Roads Lead to Russia

https://www.crowdstrike.com/blog/bears-midst-intrusion-democratic-national-committee/

http://www.foxnews.com/tech/2016/06/21/after-dnc-attack-hacker-guccifer-2-0-releases-hillary-clinton-dossier.html

 

*来源:知乎  作者:苏哲  Mottoin小编整理发布

原创文章,作者:Moto,如若转载,请注明出处:http://www.mottoin.com/article/network/87029.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code