事件响应中的开源情报技术(第二部分)

元数据与新型银行劫案

有些案件就是比其他案件更有趣。以事件响应为职业的你,必须学会在工作中寻找乐趣。有时在与客户初次通话后,你就会对这个案子产生强烈兴趣——那种诱惑、谜团和挑战让你几乎愿意免费接手(当然我们还没那么不擅长资本主义!)。这就是这样一个案子。

客户是一家在美国各地设有分支的金融机构,受到严格监管,技术和工作流程高度隔离。他们部署了从终端到边界的纵深防御安全方案,环境内实现微隔离,具备全面的审计监控能力,所有涉及大额资金交易的工作流程都严格遵循职责分离原则。简而言之,他们几乎落实了所有"网络安全最佳实践",甚至更多。但他们仍在被抢劫。

所有金融机构都会因欺诈交易遭受一定损失。但"FFSI银行"(虚构名称)最近几个月特定类型交易的欺诈活动显著增加。得益于严密的风控体系,他们拦截了大部分欺诈交易,但经过大量内部分析仍无法定位攻击源。

初次通话时,对方显然是个聪明能干的团队,对于无法自行解决问题显得既沮丧又尴尬。可能是存在多名内部协作人员的内部威胁?或是新型高度隐蔽的恶意软件?亦或是多层安全防护体系被外部攻破?

这类项目最不愉快的部分就是准备工作方案。"嘿Derek,你觉得这要花多少小时?"Derek回答:"大概40到400小时吧。"确实。面对这样具备先进能力的客户,我们需要更深入、更广泛地调查。但首先...从OSINT开始。

我们告知客户调查可能成本高昂,但建议先花几小时进行外部分析。如《OSINT事件响应第一部分》所述,攻击通常源于某些变化——从配置错误到零日漏洞再到用户行为变化,而互联网往往是最常见攻击媒介。如果互联网知道,威胁分子(银行劫匪?)就知道,作为事件响应者,我们也必须知道!

我按标准5分钟OSINT流程(参见第一部分)进行了初步排查。虽然没发现决定性证据,但获得了有用信息。多数OSINT工作在于审查DNS记录等"公开"信息,再推导关联数据。例如若发现"portal.ffsibank.com"解析到50.x.x.100,"support.ffsibank.com"解析到50.x.x.102,就可推测50.x.x.101可能也属FFSI(需验证)。若反向查询发现"dev.ffsibanking.com"这一相近域名,就获得了新的枚举目标。

但本案中IP/DNS线索都无果。于是我开始思考:"能唯一标识客户的最细粒度搜索词是什么?"在Shodan搜索"FFSI"等无结果后,Leakix.net上"ffsibank"的搜索却有了意外发现——一个柬埔寨赌博网站竟包含"ffsibank"文件夹,里面竟是FFSI银行客户登录门户的高仿页面!

通过Browserling虚拟浏览器安全访问该域名后,不仅发现了钓鱼页面,更在父目录中找到visit_log.txt文件——记录了所有访问者的User-Agent和IP地址。这是确凿证据更是情报金矿!

接着通过Censys证书搜索,以"ffsib*"为关键词配合"Let's Encrypt"证书提供商筛选,又发现数十个仿冒站点(攻击者故意将"bank"拼错为"bnak"等变体)。至此我们已能向客户证明:其客户正遭受有组织的钓鱼攻击,且掌握了监控新冒用站点的高价值指标(特定目录结构/日志文件/证书特征)。而所有这些发现,都远低于最初预估的40-400小时——OSINT大获全胜!

正如第一部分所述,事件响应工作本质是解答未知。OSINT作为调查环节,能高效揭示"已知的已知"和"已知的未知"。下期我们将解析如何通过元数据调查解决企业级AD账户锁定DoS攻击案例。

延伸阅读:

posted @ 2025-07-24 08:01  qife  阅读(13)  评论(0)    收藏  举报