安基網 首頁 資訊 安全報 查看內容

黑吃黑:揭秘零零狗團伙利用裸貸照片等誘惑性手段的攻擊活動

2019-6-28 18:05| 投稿: lofor |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 前言裸條(裸貸)是在進行借款時,以借款人手持身份證的裸體照片替代借條。“裸條”借貸值得關注——女大學生用裸照獲得貸款,當發生違約不還款時,放貸人以公開裸體照片和與借款人父母聯系的手段作為要挾逼迫借款人 ...

前言

裸條(裸貸)是在進行借款時,以借款人手持身份證的裸體照片替代借條。“裸條”借貸值得關注——女大學生用裸照獲得貸款,當發生違約不還款時,放貸人以公開裸體照片和與借款人父母聯系的手段作為要挾逼迫借款人還款。

近日,奇安信威脅情報中心紅雨滴團隊捕獲了一起嚴重侵犯公民隱私的攻擊,其通過使用極具誘惑性語言命名的壓縮包進行傳播,并使用了涉及裸貸等黃賭毒方面的圖片和文檔作為壓縮包內容,并將木馬混于其中,手段惡劣。

為確保更多人免受騙,我們披露了此次攻擊。

除此之外,我們通過這起攻擊中暴露的信息,進行溯源分析后,發現這起攻擊背后實際上是一個初顯規模的黑產狗推團伙。

(狗推,網絡流行詞,是對于在菲律賓從事網絡博彩推廣工作的人一種帶有輕蔑性質的稱呼。)

其針對的攻擊目標大多從事博彩,色情等行業,且木馬均為通過TeamViewer進行受害者設備控制,只為了進行菠菜或WZ行業推廣,且攻擊對象也基本為菠菜或WZ行業人員,具有黑吃黑屬性。

因此我們結合黑吃黑對應007色彩,外加團伙的狗推屬性,將其命名為“零零狗”

最后,我們對攻擊團伙進行了溯源分析和黑客畫像,為避免普通用戶上當受騙,因此對該團伙進行了披露。

誘餌分析

本次初始攻擊樣本名稱為:大學生配照片聯系方式A袁雙.rar。

壓縮包內容如下圖所示,可見,精準資源.exe即為惡意軟件:

從圖片來源看,圖片疑似來源于某平臺裸條門事件。

其壓縮包內還有一個名為config的文件夾,實際上Setting.ini為Teamviewer程序,后續將闡述他如何被運用。

其中lnk文件疑似為攻擊者的win7電腦打包而成,原路徑為下圖紅框所示:

木馬分析

下面我們對精準資源.exe進行簡單分析。

Exe在啟動后,首先便會將Config目錄下的Setting.ini更名為Weller.exe并啟動:

更名后可見,其確實為TeamViewer程序。

TeamViewer是一個能在任何防火墻和NAT代理的后臺用于遠程控制的應用程序,桌面共享和文件傳輸的簡單且快速的解決方案。為了連接到另一臺計算機,只需要在兩臺計算機上同時運行 TeamViewer 即可,而不需要進行安裝(也可以選擇安裝,安裝后可以設置開機運行)。該軟件第一次啟動在兩臺計算機上自動生成伙伴 ID。只需要輸入你的伙伴的ID到TeamViewer,然后就會立即建立起連接。

惡意軟件啟動TeamViewer后,其會獲取TeamViewer窗口的用戶ID(leon)以及密碼(vivi),并將主機名+“|” + 用戶名(well),以及固定的一串VPD開頭的值(vip),構造成數據包的主要內容。

Vip這個字段的功能,我們在溯源分析后才發現其作用。

硬編碼C2地址:

從抓包結果可見,與分析結果一致:

當攻擊者獲取到受害者的Teamviewer賬號和密碼后,其就會進行回連以便控制受害者電腦并進行進一步操作。

木馬同源分析

由于樣本在運行后會將配置文件改為Weller.exe并執行,通過該特征以及一些其他維度進行同源樣本關聯后,我們發現該黑產團伙的大量同源樣本。

由于該團伙會使用同一個樣本,但是使用不同的樣本名進行投放,主要通過QQ進行文件傳輸從而傳播。

因此經過統計,繪制表格如下所示:

MD5樣本名
290272aea423f5cc3d4192d6e67281f3朕本人自用的專屬大盜
艾奇聊唄爆粉.exe文本合并工具.exe
7be15765d752c3398e59484c0078c743大道-03
39a09109fd9d53a8b2c124bac53cec9e大道-016月份報裱.exe
78f25d8861572b29e183c3fa48cb6d34大道333
1ce4ff83715ca73028064436beb01a78神圣計劃v5.1.exe
朕本人自用的專屬大盜
9a4da73a8f9fa626b8c46c540ee843f7朕本人自用的專屬大盜
60+·ÖÖóêóÆ죬.EXE
0808a3b67d87007f169063ad228346b0趙雅芝開房合集.exe更多精品資源.exe
朕本人自用的專屬大盜
a362ee3189904e5a4dbcdcf4f9932d0f1221ÕÅí¼Æ¬.exe朕本人自用的專屬大盜
eaae507c1dc2967ccde790552ede1d6d91Porn
精準微信資源.exe
e7a148ca37e99175ea93d8df7323f876聯系方式.exe91porn
510e4385de6694e23426600ee82a1cd2超級VPN.exe
b5681af65ff5d7e74e9e828816600ac1解壓打開飾品.exe
d19c9ace0437040b6d2aec719c63a7c36月回訪彩金.exe
8e50606164883ab7a72ae97b32dda2af點我打開.exe

除了樣本中頻繁出現的“專屬大盜”,“大道”關鍵詞外,其他關鍵字充分表明攻擊目標所在。

名人開房合集、精準微信資源.exe、神圣計劃v5.1.exe:

艾奇聊唄爆粉.exe:

亞博ab.exe:

可見目標均為涉及黃賭毒,網賺行業從業人員。

根據開源情報可見,該類木馬最早上傳時間為2019-03-28。

從一些同源木馬中的關鍵字“第三步 把tv中的id和密碼揪出來”“id和密碼揪出來B”,可見代碼應該是團伙成員所寫,因為既有注釋,且代碼一直在更新。

除此之外,每個樣本中都會有‘工程1’的字眼:

而投放這類木馬一般基于壓縮包進行投放,壓縮包名稱有:

壓縮包名稱
計劃軟件.rar
五組小玲所有文件.rar
精準資源附帶大學生帶照片聯系方式.rar
大學生配照片聯系方式A袁雙.rar
精準資料.rar
網紅主播最新資源
照片飾品
色 視頻\雙龍妓院王美玲
張柏芝艷照門
開客資源
神秘彩金報表
亞博ab

這些壓縮包誘餌中,除了一開始提及的大學生裸貸誘餌外,五組小玲所有文件便最能體現出該黑產團伙的攻擊目標。

首先壓縮包如下圖所示,其中超級VPN為木馬文件:

文件涉及博彩網站后臺充值數據:

博彩網站的充值會員信息:

而這類數據,通常會被WZ行業人員再利用,針對這類人群進行廣告投放,從而引流,可以使得這類人群再次前往制定博彩站點進行賭博。

因此,基于以上攻擊數據,以及黑產團伙的攻擊目標,我們暫時對該團伙定義為黑吃黑團伙,在下一節中,我們將會給出證據。

此外,由于這些木馬回連C2都指向了一個IP:128.1.163.222,值得一提的是,該類木馬回連的C2上一目錄的頁面顯示均為error0,因此可以由此確定C2服務端均為一個框架搭建而成。

基于此,我們對該IP的歷史解析域名進行查證后,發現以下域名均會返回上述特征,因此可以確認這些域名均為黑產團伙的注冊域名,此外一些域名的注冊信息一致。

perineed.com

viqtecher.com

img.88luoli.xyz

crazy998.com

wellerhere.com

tecniqq.com

msf998.com

soniker.com

perineed.com

22luoli.xyz

而其中,一個名為www.crazy998.com引起了我們的注意。

其首先展示的是一個抽獎頁面:

在查看頁面源代碼后,我們發現其會訪問騰訊的一個接口:

經過測試發現,在任何瀏覽器登錄過QQ相關的服務,其對應的cookie均會顯示在此頁面,其中打碼處為QQ號:

由于我們并沒有攻擊者的服務端,因此無法確認攻擊者是如何利用該接口進行獲取點擊者的Cookie,也許其會配合木馬使用,由此獲取受害者的qqcookie。

除此之外,該站點代碼還注釋掉了一個QQ群的登錄接口代碼,同樣暫未知用途。

因此建議所有用戶在遇到存疑頁面務必不要輕易點擊,即使具有豐富安全經驗人士也有可能因為過度自信而被竊取信息。

此外,由于域名img.88luoli.xyz,最早出現時間為2018年11月11日,這與其他域名均在2019年2月之后第一次出現并綁定IP所處的時間線極為不符合。

因此再次通過奇安信多維度數據關聯發現,img.88luoli.xyz

2018/11/11 2018/11/15 128.1.174.219

美國/加利福尼亞州

2018/11/11 2018/11/11 42.51.15.24

中國/河南

可見,這個42.51.15.24河南IP,在11月11日綁定一天后,在15日將其更換為IP 128.1.174.219,并在6月23日更換為最新的ip128.1.163.222

因此,該河南的IP地址,高度疑似為攻擊者的IP地址。

而受害者方面,大多為位于菲律賓的中文使用者。

黑客溯源分析

我們從上節中木馬回連域名進行分析后,發現有多個域名并沒有進行隱私保護處理。

可見qqchum.com 的Whois信息如下,我們發現其公司注冊名為:

銀河娛樂盧永利賭場 VIP房,而永利澳門(Wynn Macao)是一座位於澳門新口岸仙德麗街的賭場度假村,從下圖中所填省份填的為澳門。

我們認為填寫的此類信息的舉動僅為了混淆視聽,嫁禍于博彩網站。

緊接著,通過對該QQ進行查詢,可以確認該團伙會通過各種渠道進行宣傳:

根據多維度數據顯示,樣本通常使用QQ進行投放,這也印證了該團伙在各種論壇進行釣魚活動。

可見下面這條帖子最符合一開始的攻擊場景,作為精準資源關鍵字進行誘餌制作并投放:

從外網信息來看,該QQ號為購買所得:

從其頭像和名稱出發:

可見該QQ疑似偽裝成一家專門做大數據的整合營銷服務商。

緊接著,我們通過一些手段,確認了該黑產團伙,除了做引流,群發等生意,還通過遠程控制他人電腦的不法手段獲取用戶信息數據從而進行售賣。

目標確實為柬埔寨的進行博彩行為的人,從而獲取他們的個人信息,緊接著進行售賣,從而獲取利潤。

在后續的對話中,此人將測試木馬一同發布給我們,一共兩種木馬,售價均為2500+永久更新。

而其中名為新大道的樣本就是一開始利用Teamviewer的木馬。

而該樣本的回連C2正是IP:128.1.163.222。

同樣第二個名為扣扣郵必達的樣本,使用易語言編寫。

其家族名為flystudio,一個專門竊取信息和Cookie的銀行木馬,其內置鏈接中同樣為該IP地址。

因此可以證明此QQ,即為攻擊者團伙的一名專門對外進行銷售行為的成員。

而經過另外一些手段,我們發現該團伙不僅出售這類菠菜用戶數據,而且還會使用appleid進行推送。

相關閱讀

最新評論

 最新
湖北快3 购买技巧