投稿
  1. 小新网首页
  2. 投稿

希拉里邮件门事件是怎么回事

zx1080 投稿

这些是平时阅读各种事件的记录,即算笔记又算摘抄。朝花夕拾,支离破碎。有些私人笔记的性质,写出来一是把别人的分析自己实现一遍做学习和验证对错,二是记录下来做梳理,方便自己以后回看。

看了国外的几篇对这个事件的分析报道和溯源行为,觉得基本上溯源失败了。黑了希拉里的人是什么动机?来自哪里?是川普派来的么?是第二次水门事件么?最终,答案都是不知道。

希拉里邮件门相关报道:

希拉里邮件门续集:维基解密再泄露20000封DNC邮件

因为这个事情太热了,以至于国外的安全公司不得不跟。但确实也无太多信息可以跟。在整个溯源过程中,大家用的方法却有很多值得借鉴和学习,尤其是未来在追踪APT的过程中可以用到。黑了希拉里的小伙自称” Guccifer”, 把希拉里的邮件发给了一个政治网站,也发到了wikileaks。如果你只对希拉里的邮件感兴趣,可以直接访问这里:https://wikileaks.org/clinton-emails/。

溯源过程

Guccifer用Guccifer20@aol.fr发邮件给了The Hill,一个美国的政治网站。所以安全公司追踪他的发邮件源:

希拉里邮件门事件是怎么回事

从邮件头的”received from”的地方,可以看到发信的IP地址是95.13.15.34。这个IP是最后的发件地址。是法国的IP。这个IP有意思的地方是,威胁情报网站定义该IP为僵尸网络。

https://x.threatbook.cn/ip/95.130.15.34

希拉里邮件门事件是怎么回事

同时在2015年10月7日,被记录曾经出现过WordPress的爆破行为

希拉里邮件门事件是怎么回事

备注:用Fingerprint来确认主机同一性的方法并不是绝对的可靠。可以参考。

发现6台机器都是同一网段的,

95.130.9.198

95.130.15.36

95.130.15.37

95.130.15.38

95.130.15.40

95.130.15.41

下一步是要解决,这几个IP到底是做什么的?

把每个IP都做了下反查,发现95.130.9.198这个IP上绑定了fr1.vpn-service.us这个域名。

https://x.threatbook.cn/ip/95.130.9.198

希拉里邮件门事件是怎么回事

分析太多这个网站的注册人并无太多意义,因为从页面访问是这样的:

希拉里邮件门事件是怎么回事

从接受的短信是俄语,希望佐证攻击者是俄罗斯人。但这就像一个证明题,有两个问题你需要证明:

这个IP既然是VPN平台,就要证明这个IP一直是攻击者在使用,而不是随机分配IP的要证明11个月前,攻击者已经注册了这个平台。

本文来自作者:zx1080,不代表小新网立场!

转载请注明:https://www.xiaoxinys.cn/218219.html

(0)
zx1080zx1080注册用户
0
上一篇 2022-10-13 12:52:00
下一篇 2022-10-13 13:14:00

相关推荐

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。