以后再也不敢查看邮件了

本文通过分享实际攻防演练中真实案例，防守方在未暴露任何敏感信息的情况下，仅通过邮件往来最终溯源到攻击方相关真实信息。

客户在看完防守方溯源工作后坦言道：以后再也不敢收你们给我发来的邮件了。

作为攻击溯源技术的引子，供各位从业和爱好者交流学习。

场景描述

攻击者伪造邮件，称其申请防守方靶标系统测试账号，诱骗防守方为其开通系统账号权限。防守方通过相关话术及技术，最终溯源到攻击方成员。

场景再现

某日在攻防演练日常防守过程中，业务小组成员收到主题为“申请XXXX账号”的邮件，邮件内容为系统内张一（化名）需要使用系统，请管理员为其新建账号密码。

经与张一本人确认邮件中工作单位、研究方向、联系方式等属实，但邮件为他人冒充发送，故第一时间反馈研判分析小组。

简单分析

通过导出邮件为eml格式，并以文本格式查看后，获取到其邮件中关键信息如下（已脱敏）：

邮箱：zhangyi@21cn.com 发件客户端IP地址：1.1.1.1 发件昵称：zhangyi 邮件客户端：21cn.com Webmail 手机号码：15555555555（为张一本人手机号码）

分析其使用的zhangyi@21cn.com邮箱，发现其为攻击者特意注册针对员工张一姓名全拼的21cn.com邮箱。

反制邮件

鉴于钓鱼邮件中手机号码为张一本人而非攻击者手机号码，经决策后防守方拿出多年积累的花式话术，回复其邮件称密码已发送短信至手机，并在签名处加入防守方可控的图片：

随后，在防守方服务器上监控签名处图片访问情况，发现攻击者于当日晚间23点、次日上午9点左右多次查看收件箱：

故此，获取到攻击者信息如下：

邮箱：zhangyi@21cn.com 发件客户端IP地址：1.1.1.1 收件客户端IP地址：1.1.1.1、1.1.1.2、1.1.1.3 发件昵称：zhangyi 邮件客户端：21.cnWebmail、Mail189AppiPhoneOS14.4 查看邮件时间：23点左右、9点左右

再次钓鱼

次日，防守方收到第二封钓鱼邮件，主题同样为“申请XXX账号”，邮件内容为王一（化名）需要使用系统，希望管理员新建账户，并附上手机号码。通过分析，猜测为攻击者因第一封邮件手机号码非攻击者可控，无法接受短信获取系统密码，故更换联系方式发送钓鱼邮件。

导出邮件分析后得到以下信息（已脱敏）：

邮箱：wangyi@163.com 发件客户端IP地址：2.2.2.1 发件昵称：王一 邮件客户端：163.com Webmail 手机号码：13000000044

随后同样发送带有防守方可控的图片作为邮件签名，监测其查看邮件时间、频率。

反制溯源

发现其收件IP地址1.1.1.2与张一的收件IP地址一致，结合邮件主题、话术、攻击手法确认两封钓鱼邮件为同一攻击者，决定并案处理。通过尝试申请重置其21cn.com的邮箱密码，发现其绑定了手机号1314444：

根据其泄漏的IP地址1.1.1.1、1.1.1.2、1.1.1.3、2.2.2.1等归属地均在哥谭市，故查询哥谭市所有131号段：

组合其号段，逐一尝试21cn.com的注册情况，最终发现存在3个对应的手机号码注册了21cn.com邮箱：

13137114444 13137724444 13140114444

对这三个手机号码进行大数据排查、信息收集，发现13140114444曾经绑定微博、微信、支付宝等账户，且其社交媒体活动规律符合网络安全从业者特征，尤其是其手机号绑定了某招聘网站显示其具有从事网络安全相关工作经验。

根据攻击者使用张一身份在工作时间（11:18、17:58等）发送、查看邮件泄漏的IP地址1.1.1.1，使用的邮件客户端MacOS，猜测为工作单位互联网出口IP，通过物理位置定位，可获取到相关地理位置：

且物理位置符合其招聘网站显示的工作单位官网办公位置哥谭市钻石区。

根据攻击者在非工作时间（21:14、23:58、02:34等）查看邮件泄漏的IP地址1.1.1.2、1.1.1.3、2.2.2.1，使用的邮件客户端189MailiPhone，猜测其为移动客户端进行查看邮件，经过排查确认IP为移动基站，且物理位置距离工作单位较近，猜测为攻击者实际住所。

分析其手机号为阿里小号，符合攻防演练中攻击者常见属性之一，猜测手机号为攻击者手机号：

通过大数据排查手机号曾泄漏物流信息，符合其工作单位、实际物理住所哥谭市特征：

综合信息及身份画像

综上，根据整理已获取到攻击者信息，分析其相关特征（已脱敏），进行攻击者画像：

邮箱：zhangyi@21.cn、wangyi@163.com（个人注册） 发件客户端IP地址：1.1.1.1（公司互联网出口IP）、2.2.2.1（疑似物理住所宽带IP地址） 收件客户端IP地址：1.1.1.1（公司互联网出口IP）、1.1.1.2、1.1.1.3（移动客户端IP地址） 邮件客户端：21.cnWebmail、163.comWebmail、Mail189AppiPhoneiOS14.2（移动客户端）、MacOSX10.15（疑似工作PC） 发送邮件时间：18点左右、11点左右 查看邮件时间：23点左右、21点左右 姓名：贝恩 手机号码：13140114444（大学期间开始使用，猜测为主力机）、13000000044（阿里小号） 工作单位：韦恩集团哥谭市分公司 家庭住所：哥谭市钻石区 年龄：26岁 工作属性：攻防演练活动期间，上班后、下班前使用个人PC在公司发送钓鱼邮件，回家途中及回家后使用移动客户端查看钓鱼邮件接受情况。 身份属性：猜测其为攻防演练场外协助团队，企图通过社会工程学手段进行攻击。但技术水平一般，个人防护手段欠缺，且容易被防守方反钓鱼邮件迷惑，最终暴露个人真实属性。

结语

本文通过案例形象地再现了钓鱼邮件及钓鱼邮件反制，基于“删繁就简”的原则，在不使用重量级武器如“免杀木马反制”、“钓鱼URL反制”等手段，以信息收集为主要溯源手段，向读者阐述了相关技术，旨在与各位从业及爱好者探讨交流。

溯源技术理论概述

溯源信息

当溯源时，一般可获得的信息如下：

其中攻击IP、攻击类型、恶意文件、攻击详情是溯源入手的点。

通过攻击类型分析攻击详情的请求包，看有没有攻击者特征，通过获取到的IP地址进行威胁情报查询来判断所用的IP具体是代理IP还是真实IP地址。

l  如端口扫描大概率为个人VPS或空间搜索引擎，在接到大量溯源任务时可优先溯源。

l  如命令执行大概率为未经任何隐匿的网络、移动网络、接到脚本扫描任务的肉鸡，在接到大量溯源任务时可优先溯源。

l  如爬虫大概率为空间搜索引擎，可放到最后溯源。

l  如恶意文件可获得C2地址、未删除的带有敏感信息的代码（如常用ID、组织信息）、持续化控制代码（C2地址指在APT攻击里的命令与控制，若获取到C2地址可以使我们的溯源目标更有针对性）

l  持续化控制代码需要详细分析，如采用DGA域名上线的方法，分析出域名算法，预测之后的域名可有效减少损失，增加溯源面。

溯源结果框架

在受到攻击、扫描之后，进行一系列溯源操作后，理想情况下想要获得如下数据，来刻画攻击者画像。

在溯源时，应避免单一面石锤，需要反复验证，避免中途溯源错人，各个溯源线索可以串起来，要具有逻辑性。

威胁情报平台

https://x.threatbook.cn/
https://www.virustotal.com/

已知域名获取信息

通过威胁情报平台我们可以获取域名解析记录、历史Whois、子域名、SSL证书等如图：

域名反查

https://www.ipip.net/ip.html
https://www.whois.com/

历史whois

https://whois.chinaz.com/reverse?ddlSearchMode=4
https://community.riskiq.com/
通过whois可获得:

l   ID

l   姓名

l   邮箱

SSL证书

通过SSL证书可获得:

l   ID

l   邮箱

l   解析记录
域名解析记录：http://www.jsons.cn/nslookup/

已知IP获取信息

IP信息
http://ipwhois.cnnic.net.cn/index.jsp
https://www.opengps.cn/Data/IP/ipplus.aspx
通过IP信息可获得：

l   网络类型

l   IP段所属公司

l   IP所属大致位置

已知ID/姓名/手机号/邮箱获取信息

支付宝转账，验证姓名

QQ、微信添加好友搜索

社交平台查找

搜索引擎搜索