希拉里邮件门事件是怎么回事

这些是平时阅读各种事件的记录，即算笔记又算摘抄。朝花夕拾，支离破碎。有些私人笔记的性质，写出来一是把别人的分析自己实现一遍做学习和验证对错，二是记录下来做梳理，方便自己以后回看。

看了国外的几篇对这个事件的分析报道和溯源行为，觉得基本上溯源失败了。黑了希拉里的人是什么动机？来自哪里？是川普派来的么？是第二次水门事件么？最终，答案都是不知道。

希拉里邮件门相关报道：

希拉里邮件门续集：维基解密再泄露20000封DNC邮件

因为这个事情太热了，以至于国外的安全公司不得不跟。但确实也无太多信息可以跟。在整个溯源过程中，大家用的方法却有很多值得借鉴和学习，尤其是未来在追踪APT的过程中可以用到。黑了希拉里的小伙自称” Guccifer”, 把希拉里的邮件发给了一个政治网站，也发到了wikileaks。如果你只对希拉里的邮件感兴趣，可以直接访问这里:https://wikileaks.org/clinton-emails/。

溯源过程

Guccifer用Guccifer20@aol.fr发邮件给了The Hill，一个美国的政治网站。所以安全公司追踪他的发邮件源:

从邮件头的”received from”的地方，可以看到发信的IP地址是95.13.15.34。这个IP是最后的发件地址。是法国的IP。这个IP有意思的地方是，威胁情报网站定义该IP为僵尸网络。

https://x.threatbook.cn/ip/95.130.15.34

同时在2015年10月7日，被记录曾经出现过WordPress的爆破行为

备注:用Fingerprint来确认主机同一性的方法并不是绝对的可靠。可以参考。

发现6台机器都是同一网段的，

95.130.9.198

95.130.15.36

95.130.15.37

95.130.15.38

95.130.15.40

95.130.15.41

下一步是要解决，这几个IP到底是做什么的？

把每个IP都做了下反查，发现95.130.9.198这个IP上绑定了fr1.vpn-service.us这个域名。

https://x.threatbook.cn/ip/95.130.9.198

分析太多这个网站的注册人并无太多意义，因为从页面访问是这样的:

从接受的短信是俄语，希望佐证攻击者是俄罗斯人。但这就像一个证明题，有两个问题你需要证明:

这个IP既然是VPN平台，就要证明这个IP一直是攻击者在使用，而不是随机分配IP的要证明11个月前，攻击者已经注册了这个平台。