事件响应中的开源情报应用（第一部分）

作为数字取证和事件响应顾问，我们始终面临未解之谜。客户通常知晓异常事件的发生，但对"方式、时间、地点、原因"缺乏认知。我们的核心任务是梳理"已知已知项"和"已知未知项"，并高效协助客户回答以下关键问题：

• 是否遭受入侵？
• 若已入侵：
  • 入侵持续时间（驻留时间）？
  • 受影响账户与系统范围？
  • 入侵方法（零号患者）？
  • 数据访问/外泄情况？

在近期多起案例中，开源情报（OSINT）技术为解答这些问题提供了关键支撑。

攻击面快速测绘实战

邮件服务器枚举（15秒快速侦察）

通过nslookup命令快速识别邮件服务提供商：

1

nslookup -type=mx companydomainname.com 8.8.8.8

当输出显示companydomainname-com.protection.outlook.com时，可判定客户使用M365邮件服务。若发现本地部署的Microsoft Exchange服务器，则需重点关注其攻击面。

DNS资产发现（DNS Dumpster实战）

通过顶级域名（TLD）在https://dnsdumpster.com 获取：

• ISP分配的IP段（如COMCAST-1234）
• 自托管基础设施IP范围
• SPF记录中的关键IP线索

端口暴露分析（Shodan.io技巧）

使用IP范围搜索语法（如net:10.1.0.128/25）重点排查：

• 远程访问端口（3389/RDP，22/SSH）
• 非标准Web服务端口
• 关键记录：“最后发现时间"时间戳

多引擎验证策略：

• Censys.io：ip:10.1.0.128/25 范围搜索
• LeakIX.net：ip:"10.1.0.128/25" 子网查询

案例剖析：3天从错误配置到勒索软件

时间线还原：

1. 周五下午：客户防火墙更换引发配置迁移错误
2. 配置异变：单端口允许规则误转为1:1 NAT映射
3. 暴露形成：RDP（3389）和SMB端口向互联网开放
4. 凌晨3点：通过未授权账户安装远程访问软件

OSINT关键证据链：

1. Shodan扫描显示RDP端口暴露时间戳
2. 事件日志4625（登录失败）与公网IP关联
3. 防火墙映射确认公网IP与内网主机对应关系

技术价值：

• 将"零号患者"定位时间从数天压缩至分钟级
• 通过"首次发现/最后发现"时间戳为责任认定提供外部验证
• 证明互联网感知错误配置的时间早于入侵时间

（第二部分预告：将通过金融机构攻击案例深入解析元数据在OSINT中的应用）

本文演示的技术适用于内部安全团队与咨询顾问，强调将OSINT纳入标准调查流程的必要性。所有操作均在5分钟内完成，却能为事件响应提供决定性突破方向。