记录近期HVV的一次成功溯源
字数 1486 2025-09-01 11:26:02

HVV攻击溯源实战教学文档

1. 溯源背景与初始信息

事件概述

  • 攻击者访问外网部署的蜜罐系统
  • 蜜罐捕获了攻击者的百度账号信息和京东ID
  • 溯源周期:2天
  • 攻击时间:2025-07-14 22:04:10至22:06:26
  • 攻击IP:59.xx.3.xx(来自xx省xx市)

初始捕获信息

  1. 百度账号信息:
    • 用户名
    • UID
    • 头像
  2. 京东ID

2. 溯源方法论

2.1 攻击行为溯源尝试

  • IP反查(移动基站)→ 无有效信息
  • 流量包分析攻击手法 → 无独特特征
  • 历史经验:某些攻击者自研工具可能包含独特标识符(可通过GitHub搜索发现)

2.2 信息捕获溯源路径

百度账号信息利用

  1. 多平台搜索

    • 微信、百度、谷歌、搜狗、GitHub、Bilibili、抖音、百度网盘搜索
    • 获取新线索:攻击者昵称"mm****"

  2. 百度贴吧搜索

    • 发现6年前在计算机相关贴吧(计算机吧、C语言吧、kali吧)的发言记录
    • 确认信息安全学习背景
    • 发现贴吧昵称可单独设置(与百度主账号不同)

  3. 关键突破点

    • 在攻击者发言帖子中发现互动关系:
      • 用户"刘建龙"回复"i am your father"
      • 推测两人关系密切(可能是同学/室友)
    • 百度用户名"XXLong"与"刘建龙"的"龙"字匹配

  4. 关联信息挖掘

    • 分析"刘建龙"的贴吧活动:
      • 关注龙丽大学吧、软件学院相关贴吧
      • 活跃于美女相关贴吧
      • 推测为龙丽大学2018级软件学院学生
    • 使用谷歌语法搜索:"龙丽大学 刘建龙"
      • 发现学校官网文档确认身份

京东ID利用

  1. 密码找回功能

    • 通过JD_ID找回密码:
      • 获取手机号前3位和后3位
    • 通过银行卡找回:
      • 暴露姓名最后一个字
      • 确认与百度账号信息一致

  2. API信息泄露

    • 请求https://m-acp.jd.com/acp/user/getCredentialsInfo
    • 返回包中包含身份证首尾部分

3. 关键技术与技巧

3.1 信息收集技巧

  1. 跨平台关联搜索

    • 同一用户名/昵称在不同平台的关联使用
    • 利用头像一致性验证身份

  2. 密码找回功能利用

    • 通过各平台"忘记密码"功能获取部分敏感信息
    • 特别关注返回的提示信息(如姓名部分、手机号部分)

  3. 社交工程分析

    • 分析目标社交关系网
    • 通过互动模式推断真实关系
    • 利用"朋友比目标本人更活跃"的特点

3.2 溯源思维要点

  1. 信息关联性验证

    • 多个信息源交叉验证(百度用户名、京东姓名、学校信息)
    • 利用小细节建立关联(如"龙"字匹配)

  2. 时间维度分析

    • 关注历史活动记录(如6年前的贴吧发言)
    • 分析行为模式的连续性

  3. 心理行为分析

    • 安全从业者的行为特征(如使用固定昵称/头像)
    • 大学生群体的典型网络行为模式

4. 防御建议与改进措施

4.1 对攻击者的建议

  1. 操作安全

    • 避免使用相同ID/昵称跨平台
    • 定期更换头像
    • 避免在攻击设备上登录个人账号

  2. 信息隔离

    • 使用专用设备和账号进行渗透测试
    • 避免在攻击中泄露个人信息

4.2 对防御方的建议

  1. 蜜罐改进

    • 增加交互能力延长攻击者驻留时间
    • 设计更有诱惑力的虚假业务

  2. 信息捕获增强

    • 收集更全面的浏览器指纹
    • 记录更多社交账号信息

5. 总结

本次溯源案例展示了如何从有限的初始信息(百度账号和京东ID)出发,通过系统的信息收集、关联分析和社交工程,最终成功定位攻击者真实身份。关键点在于:

  1. 充分利用各个平台的信息找回功能
  2. 善于发现和利用攻击者社交关系
  3. 坚持多源信息交叉验证
  4. 理解并利用目标群体的行为特征

此案例也提醒安全从业人员,网络空间中的个人信息关联性远超一般认知,任何微小的信息泄露都可能导致身份暴露。

HVV攻击溯源实战教学文档 1. 溯源背景与初始信息 事件概述 : 攻击者访问外网部署的蜜罐系统 蜜罐捕获了攻击者的百度账号信息和京东ID 溯源周期:2天 攻击时间:2025-07-14 22:04:10至22:06:26 攻击IP:59.xx.3.xx(来自xx省xx市) 初始捕获信息 : 百度账号信息: 用户名 UID 头像 京东ID 2. 溯源方法论 2.1 攻击行为溯源尝试 IP反查(移动基站)→ 无有效信息 流量包分析攻击手法 → 无独特特征 历史经验:某些攻击者自研工具可能包含独特标识符(可通过GitHub搜索发现) 2.2 信息捕获溯源路径 百度账号信息利用 多平台搜索 : 微信、百度、谷歌、搜狗、GitHub、Bilibili、抖音、百度网盘搜索 获取新线索:攻击者昵称"mm**** " 百度贴吧搜索 : 发现6年前在计算机相关贴吧(计算机吧、C语言吧、kali吧)的发言记录 确认信息安全学习背景 发现贴吧昵称可单独设置(与百度主账号不同) 关键突破点 : 在攻击者发言帖子中发现互动关系: 用户"刘建龙"回复"i am your father" 推测两人关系密切(可能是同学/室友) 百度用户名"XXLong"与"刘建龙"的"龙"字匹配 关联信息挖掘 : 分析"刘建龙"的贴吧活动: 关注龙丽大学吧、软件学院相关贴吧 活跃于美女相关贴吧 推测为龙丽大学2018级软件学院学生 使用谷歌语法搜索:"龙丽大学 刘建龙" 发现学校官网文档确认身份 京东ID利用 密码找回功能 : 通过JD_ ID找回密码: 获取手机号前3位和后3位 通过银行卡找回: 暴露姓名最后一个字 确认与百度账号信息一致 API信息泄露 : 请求 https://m-acp.jd.com/acp/user/getCredentialsInfo 返回包中包含身份证首尾部分 3. 关键技术与技巧 3.1 信息收集技巧 跨平台关联搜索 : 同一用户名/昵称在不同平台的关联使用 利用头像一致性验证身份 密码找回功能利用 : 通过各平台"忘记密码"功能获取部分敏感信息 特别关注返回的提示信息(如姓名部分、手机号部分) 社交工程分析 : 分析目标社交关系网 通过互动模式推断真实关系 利用"朋友比目标本人更活跃"的特点 3.2 溯源思维要点 信息关联性验证 : 多个信息源交叉验证(百度用户名、京东姓名、学校信息) 利用小细节建立关联(如"龙"字匹配) 时间维度分析 : 关注历史活动记录(如6年前的贴吧发言) 分析行为模式的连续性 心理行为分析 : 安全从业者的行为特征(如使用固定昵称/头像) 大学生群体的典型网络行为模式 4. 防御建议与改进措施 4.1 对攻击者的建议 操作安全 : 避免使用相同ID/昵称跨平台 定期更换头像 避免在攻击设备上登录个人账号 信息隔离 : 使用专用设备和账号进行渗透测试 避免在攻击中泄露个人信息 4.2 对防御方的建议 蜜罐改进 : 增加交互能力延长攻击者驻留时间 设计更有诱惑力的虚假业务 信息捕获增强 : 收集更全面的浏览器指纹 记录更多社交账号信息 5. 总结 本次溯源案例展示了如何从有限的初始信息(百度账号和京东ID)出发,通过系统的信息收集、关联分析和社交工程,最终成功定位攻击者真实身份。关键点在于: 充分利用各个平台的信息找回功能 善于发现和利用攻击者社交关系 坚持多源信息交叉验证 理解并利用目标群体的行为特征 此案例也提醒安全从业人员,网络空间中的个人信息关联性远超一般认知,任何微小的信息泄露都可能导致身份暴露。