追踪溯源 | 希拉里邮箱泄露事件

看了国外的几篇针对希拉里邮箱泄露事件的溯源分析,感觉基本上溯源算是失败了。黑了希拉里的人是什么动机?来自哪里?是川普派来的么?是第二次水门事件么?最终,答案都是不知道。

因为这个事情太热了,以至于国外的安全公司不得不跟。但确实也无太多信息可以跟。在整个溯源过程中,大家用的方法却有很多值得借鉴和学习,尤其是未来在追踪APT的过程中可以用到。

黑了希拉里的小伙自称”Guccifer”, 把希拉里的邮件发给了一个政治网站,也发到了wikileaks。如果你只对希拉里的邮件感兴趣,可以直接访问https[:]//wikileaks[.]org/clinton-emails/。

Guccifer用Guccifer20@aol.fr发邮件给了The Hill,一个美国的政治网站。所以安全公司追踪他的发邮件源:

从邮件头的”received from”的地方,可以看到发信的IP地址是95.13.15.34。这个IP是最后的发件地址。是法国的IP。这个IP有意思的地方是,威胁情报网站定义该IP为僵尸网络。https://x.threatbook.cn/ip/95.130.15.34

同时在2015年10月7日,被记录曾经出现过WordPress的爆破行为。

然后安全人员想根据这个ip来深挖。于是想知道IP再往上一层的信息。他们去shodan做了查找:(吐槽下国产Zomeeye需要提高啊…..)

https://www.shodan.io/host/95.130.15.34

我也重新拿起工具扫了一下,发现已经扫不通了,所有端口都关了。一点额外的信息都没有。但从shadon的历史记录来看,他之前至少开过3个端口。

安全人员通过SSH的fingerprint来在shodan上做进一步的搜索,锁定了6台机器:

备注:用Fingerprint来确认主机同一性的方法并不是绝对的可靠。可以参考。

发现6台机器都是同一网段的,

95.130.9.198 95.130.15.36 95.130.15.37 95.130.15.38 95.130.15.40  95.130.15.41

下一步是要解决,这几个IP到底是做什么的?

把每个IP都做了下反查,发现95.130.9.198这个IP上绑定了fr1.vpn-service.us这个域名。

https://x.threatbook.cn/ip/95.130.9.198

这个域名的相关信息:

https://x.threatbook.cn/domain/vpn-service.us

分析太多这个网站的注册人并无太多意义,因为从页面访问是这样的:

查到这里是个里程碑。从email的IP,ssh的指纹,找到网段,索引到这个点,确定这是一个VPN。这一套组合拳非常赞。

虽然结论是这是一个VPN。其实想想也是,Guccifer说自己做好了所有防护措施,发信怎么可能不用跳板呢。

但如果因为这个VPN页面访问是俄文,据此就推断,那攻击者应该是个俄罗斯人。这对于溯源,对于安全追踪来说,这种证据站不住脚。何况这个网站还支持英文版。这中间少了关键的一环。

之后安全人员在一个打码平台(中国叫打码,指代收短信,假手机号),找到了这个ip曾经在11个月前,注册了打码平台并且接受了短信

从接受的短信是俄语,希望佐证攻击者是俄罗斯人。但这就像一个证明题,有两个问题你需要证明:

    • 这个IP既然是VPN平台,就要证明这个IP一直是攻击者在使用,而不是随机分配IP的
    • 要证明11个月前,攻击者已经注册了这个平台。

可惜都无法证明。到这里溯源基本上进入死胡同了。

从追踪溯源的角度来看,这次跟踪证据链比较弱,挖的东西形不成链路,至少无法说服我。


Reference:

http://www[.]thesmokinggun[.]com/documents/crime/dnc-researched-clinton-speeches-travel-records-621985

http://thehill[.]com/policy/cybersecurity/287558-guccifer-20-drops-new-dnc-docs

https://www[.]threatconnect[.]com/guccifer-2-all-roads-lead-russia/

https://www.crowdstrike.com/blog/bears-midst-intrusion-democratic-national-committee/

http://www[.]foxnews[.]com/tech/2016/06/21/after-dnc-attack-hacker-guccifer-2-0-releases-hillary-clinton-dossier[.]html

*本文作者:苏哲,未经许可禁止转载

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2016-08-22

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏大魏分享(微信公众号:david-share)

VMware的灾备与双活----我在vForum 2015分会场的分享(1)

本次VMware vForum大会(北京站和上海站),有幸和同事Alex You一起分享了《如何基于虚拟化构建双活数据中心》课题。我主要负责介绍了VMware...

56870
来自专栏FreeBuf

暗影追踪 | 谁是LeakedSource.com的幕后运营者?

在LeakedSource突然关停之际,安全专家Brian Krebs利用蛛丝马迹的线索,通过层层抽丝剥茧,顺藤摸瓜,最终确定了LeakedSource幕后运营...

32850
来自专栏SDNLAB

OpenStack安全问题:缺乏自卫武器

大家可能还记得Alexander Adamov在2015年5月的一篇关于“云端检测针对性的网络攻击”的文章,现在他给我们带来了OpenStack东京安全峰会的一...

29660
来自专栏智能算法

祝贺 Linux 25 岁:25 个关于 Linux 的惊人真相!

作者:Javen Fang 链接:https://zhuanlan.zhihu.com/p/22222383 简评:给我的最大的印象时,才 25 年,达到这么惊...

41570
来自专栏域名资讯

米虫余杰浩收购“皇后”域名huanghou.com

2017年9月,知名域名投资人余杰浩在朋友圈爆料到自己收购了“皇后”域名huanghou.com,并表示其适合的平台类型,但并未透露收购价格。

18700
来自专栏安恒信息

俄罗斯论坛曝Gmail五百万密码泄露

北京时间9月11日早间消息,俄罗斯黑客刚刚在网上公布了将近500万个Gmail邮箱及其相应的密码,但好在其中很多都是旧密码,不会对用户产生影响。 俄罗斯科技博客...

32850
来自专栏BestSDK

Android Wear更新SDK:支持新手势和收听语音信息

编辑导语 谷歌近日更新了Android Wear,引入三种功能,分别是新的手势控制、语音指令范围扩大以及语音通话。 ? 谷歌近日更新了Android Wear,...

25680
来自专栏FreeBuf

追踪、定位、监听一个也不能少:最强悍的监控间谍软件FlexiSPY源码泄露

4月22日,黑客FlexiDie公布了大量来自监控软件厂商FlexiSPY的文件,泄露的文件包括源码和一些内部文档。 这家监控公司其实是一家总部位于泰国(...

926100
来自专栏施炯的IoT开发专栏

移动物联网 之 智能家居

本系列文章结合时下正热的“物联网”概念,介绍实现“智能家居”的一套解决方案。 引言     随着科技的发展,手机已经不简单地是个通讯设备,而是人们生活的必需...

27480
来自专栏程序员互动联盟

【程序人生】糟糕的程序员你会做?

一个好程序员不好做,那么一个糟糕的程序应该不难吧! 秘籍一:让你看不懂我写的是什么 都说让人看不懂的代码,才是牛逼代码。一类是算法高深,一般人实在是看不懂。另一...

33280

扫码关注云+社区

领取腾讯云代金券