记HVV期间钓鱼溯源

HVV简介

护网行动是以公安部牵头，组织红蓝对两方攻防，进攻方不限方式对防守方发动网络攻击，检测防守方存在的安全漏洞，而防守方的任务就是能在受到网络攻击时进行相应的防守或者能够解析出攻击方发动的网络攻击的原理，都视为防守成功。

说起来HVV结束都快一个月了，本来想的是结束后一周内就写一篇博客记录一下的，结果HVV结束第二天回公司就开始赶项目，加班加的身心俱疲就一直拖到了现在。

回想整个HVV期间发生的事，除开针对于甲方业务开展的网络攻击不谈，红队开展的社工明显还是准备不足，以下就活动期间红队开展的社工钓鱼反被溯源做一个总结。

事件发生过程

在HVV的某一天，我一如既往的盯着毫无变化的电脑屏幕，突然有设备捕获了几条标题名为《你的账号密码即将过期，请立即重置密码》的邮件，当时我就虎躯一震，甲方也是动作迅速，立刻联系到了收到邮件的几个行员，让他们不要对邮件进行操作，紧接着就开始实施早已预备好的安全方案，最后顺藤摸瓜抓到了一个红队。

溯源过程

本次邮件钓鱼刚刚开始就已结束，甲方动作迅速，并未让危害扩展开来，接下来就是根据邮件进行溯源，就整个溯源过程展开介绍。

首先将钓鱼邮件进行隔离，然后使用邮件沙箱提取出邮件正文以及附件，正文没什么有价值的东西，重点全在附件里，附件是一个名叫**工具.rar的压缩包程序，将压缩包放至沙箱中进行解压，得到了一个exe程序，俗话说做木马就要做全套，应该是做了对应的免杀，将exe上传到微步情报社区进行分析，没有一家杀软检测出病毒，对程序进行不出网执行，发现了反弹shell的回连IP，同时使用IDA对该程序进行静态分析，发现作者没有删除pdb信息，随后使用百度搜索得到的IP发现了与IP相对应的个人博客，查看博客内容发现作者曾经写过一篇关于免杀的博客。在翻阅博客的过程中发现了博主在写文章时曾截图了自己的脱敏手机号，紧接着查看网站的备案信息得到博主的个人信息，使用已知的信息结合数据库检索最终完全将攻击定位到了个人。后续的过程由于涉及个人隐私太多就不再过多介绍了。

HVV总结

总的来说这次HVV对我个人还是有较大的提升，尤其是对溯源和反制有了更深层次的了解，技术提升虽然不大，但是眼界开阔了不少

虽说每天的工作大多是查看数据包，封IP，各种各样的畸形数据包层出不穷

期间就佩洛西访台等热点事件也是整出了不少段子

但总的来说还是成功坚持到了最后

最后也是借微步社区的一张图来对此次HVV做最后的告别，感谢陪伴。江湖路远，来日方长。