元数据与新型银行劫案

在事件响应工作中，某些案件会因独特的挑战性而令人着迷。本文案例涉及一家采用深度防御架构的美国金融机构（代号FFSI Bank），尽管部署了终端防护、网络微隔离和交易审计等全套安全措施，仍持续遭遇特定交易欺诈。

OSINT侦查启动

我们首先执行标准5分钟OSINT流程（参见Part 1）：

1. DNS侦查：通过portal.ffsibank.com和support.ffsibank.com的A记录推断出50.x.x.101可能属于FFSI，进而发现关联域名dev.ffsibanking.com
2. LeakIX突破：搜索ffsibank关键词发现关键线索——柬埔寨赌博域名mail.redacted-pid.com上存在仿冒登录门户

虚拟化浏览器取证

通过Browserling安全访问可疑域名：

• 发现/ffsibank/目录包含高仿真银行登录页面
• 提取visit_log.txt获取受害者IP和User-Agent信息

1
2
3
4
5
6

[示例取证数据]
访问路径: Index of /ffsibank/
文件列表:
- login.html
- styles/
- visit_log.txt

证书指纹追踪

在Censys执行证书搜索：

1. 通配符搜索names:"ffsib*"获得425+结果
2. 筛选Let’s Encrypt证书发现批量伪造站点特征：
   • 常见名称(CN)包含ffsibnak等拼写变异
   • 相同证书签名策略

攻击链重建

最终确认攻击者通过：

1. 注册相似域名（如ffsibanking.com）
2. 部署Let’s Encrypt证书增强可信度
3. 构建钓鱼门户收集凭证
4. 通过访问日志监控受害者行为

下期预告

第三部分将剖析Active Directory账户锁定拒绝服务攻击中的元数据侦查技术。