事件响应中的开源情报技术(第二部分)
元数据与新型银行劫案
有些案件就是比其他案件更有趣。以事件响应为职业的你,必须学会在工作中寻找乐趣。有时在与客户初次通话后,你就会对这个案子产生强烈兴趣——那种诱惑、谜团和挑战让你几乎愿意免费接手(当然我们还没那么不擅长资本主义!)。这就是这样一个案子。
客户是一家在美国各地设有分支的金融机构,受到严格监管,技术和工作流程高度隔离。他们部署了从终端到边界的纵深防御安全方案,环境内实现微隔离,具备全面的审计监控能力,所有涉及大额资金交易的工作流程都严格遵循职责分离原则。简而言之,他们几乎落实了所有"网络安全最佳实践",甚至更多。但他们仍在被抢劫。
所有金融机构都会因欺诈交易遭受一定损失。但"FFSI 银行"(虚构名称)最近几个月特定类型交易的欺诈活动显著增加。得益于严密的风控体系,他们拦截了大部分欺诈交易,但经过大量内部分析仍无法定位攻击源。
初次通话时,对方显然是个聪明能干的团队,对于无法自行解决问题显得既沮丧又尴尬。可能是存在多名内部协作人员的内部威胁?或是新型高度隐蔽的恶意软件?亦或是多层安全防护体系被外部攻破?
这类项目最不愉快的部分就是准备工作方案。"嘿 Derek,你觉得这要花多少小时?"Derek 回答:"大概 40 到 400 小时吧。"确实。面对这样具备先进能力的客户,我们需要更深入、更广泛地调查。但首先...从 OSINT 开始。
我们告知客户调查可能成本高昂,但建议先花几小时进行外部分析。如《OSINT 事件响应第一部分》所述,攻击通常源于某些变化——从配置错误到零日漏洞再到用户行为变化,而互联网往往是最常见攻击媒介。如果互联网知道,威胁分子(银行劫匪?)就知道,作为事件响应者,我们也必须知道!
我按标准 5 分钟 OSINT 流程(参见第一部分)进行了初步排查。虽然没发现决定性证据,但获得了有用信息。多数 OSINT 工作在于审查 DNS 记录等"公开"信息,再推导关联数据。例如若发现"portal.ffsibank.com"解析到 50.x.x.100,"support.ffsibank.com"解析到 50.x.x.102,就可推测 50.x.x.101 可能也属 FFSI(需验证)。若反向查询发现"dev.ffsibanking.com"这一相近域名,就获得了新的枚举目标。
但本案中 IP/DNS 线索都无果。于是我开始思考:"能唯一标识客户的最细粒度搜索词是什么?"在 Shodan 搜索"FFSI"等无结果后,Leakix.net 上"ffsibank"的搜索却有了意外发现——一个柬埔寨赌博网站竟包含"ffsibank"文件夹,里面竟是 FFSI 银行客户登录门户的高仿页面!
通过 Browserling 虚拟浏览器安全访问该域名后,不仅发现了钓鱼页面,更在父目录中找到 visit_log.txt 文件——记录了所有访问者的 User-Agent 和 IP 地址。这是确凿证据更是情报金矿!
接着通过 Censys 证书搜索,以"ffsib*"为关键词配合"Let's Encrypt"证书提供商筛选,又发现数十个仿冒站点(攻击者故意将"bank"拼错为"bnak"等变体)。至此我们已能向客户证明:其客户正遭受有组织的钓鱼攻击,且掌握了监控新冒用站点的高价值指标(特定目录结构/日志文件/证书特征)。而所有这些发现,都远低于最初预估的 40-400 小时——OSINT 大获全胜!
正如第一部分所述,事件响应工作本质是解答未知。OSINT 作为调查环节,能高效揭示"已知的已知"和"已知的未知"。下期我们将解析如何通过元数据调查解决企业级 AD 账户锁定 DoS 攻击案例。
延伸阅读:
[Antisyphon 付费课程推荐]更多精彩内容 请关注我的个人公众号 公众号(办公 AI 智能小助手)公众号二维码
办公AI智能小助手
还未添加个人签名 2021-05-19 加入
还未添加个人简介
评论