-
-
[转帖]黑产科普—最近大规模的QQ空间钓鱼攻击
-
发表于: 2013-4-5 13:08 2738
-
http://www.freebuf.com/articles/web/7951.html
2013-03-22 FreebuF.COM
小八卦下黑产: 这几天收到一些朋友的留言说希望能科普下这个黑产:
“弦哥,能科普下黑产现在发展到什么阶段了吗?普通用户的哪些信息被卖给谁了?”
“你好,可以科普些黑客们做黑产的事吗?他们怎么盈利?刷网游?盗购物单?卖网民隐私?还是做什么赚钱的呢?谢谢科普” 这话题太大了,太大了…… 黑产做的都是一些法律不允许或走法律擦边球的一些事,通常都能够暴利,在网络上的黑产分很多种:挂马、暗链、垃圾邮件、钓鱼、中奖欺诈、垃圾站、恶意软件、吸费软件、盗版(电影)、色情、博彩等等,10几种大类,几十种小类,这些欺骗网民感情的网站(除了某些真色情、真盗版电影的网站)都是我们应该警惕的,即使你不中招,你爸妈,亲朋好友也可能中招,大家可以到安全联盟的官网看看每天被网民举报的网址有多少:http://www.anquan.org/seccenter/accusation/,并可以到首页上查下自己访问的一些网站的信誉,如果信誉低劣,就得谨慎了。 黑产种类这么多,我也没办法在一篇文章里科普完,只能每次来个经典案例,通过案例本身来看黑产吧。 一次经典的QQ空间钓鱼案例 这次的案例非常经典,是安全联盟伙伴电脑管家捕获到的。近日电脑管家捕获到了一起大规模的QQ空间钓鱼攻击,我们进行了快速响应,追根溯源,直捣黄龙,不仅分析了传播手法,还搞下了目标利用程序与背后的一些活动信息,目前还不方便公开所有细节,我将大体过程八卦下(以下取证来自我们的某位安全研究员帅哥): 管家发了我一批钓鱼列表,其中几个:
http://www.websbook.com/code/plus/download.php?open=1&link=aHR0cDovL2NvZGUxLndlYnNib29rLmNvbS91cGltZy9qcy9zbGlkZS1zaG93NS5yYXI=
http://anquan.com.cn/pop/119/to/l.php?i=/I/m.aspx?/379/130
http://waimaoquan.alibaba.com/wm/plus/download.php?open=1&link=aHR0cDovL3VybDcubWUvT2FOcQ==
http://waimaoquan.alibaba.com/wm/plus/download.php?open=1&link=aHR0cDovL3VybDcubWUvVGlOcQ== 阿里巴巴居然也被利用了,我分析发现plus/download.php这个特征似乎眼熟,问了下我们安全研究团队的牛哥,他说是DedeCMS,link参数的值base64编码了,解码后是目标钓鱼地址的短网址形式,这个大规模的钓鱼链接传播利用了DedeCMS的跳转漏洞。 这样隐藏的好处很明显,大家第一眼是看不出这个URL有什么问题的,以大网站为载体进行传播是目前钓鱼网站传播的最流行手段,所以在这个产业链环节中有一个重要的交易就是:买卖跳转链。 钓鱼还需要一套钓鱼程序,比如说QQ空间的钓鱼程序,公开报价300、500一套。得看程序质量了,下面有个钓鱼程序后台的一个截图: 这个钓鱼程序虽然简陋,不过服务态度太好了,而且还声明了:请勿做任何违反法律的事…… 后台简陋,不过前台(传播的钓鱼页面)就很炫了,我们简单调查了一圈,上当的人还是有一定可观比例的,前台页面就是本文开篇的那张图了,诱惑么?一旦你输入QQ账号与密码登录,就中招啦! 我们跟踪了几个钓鱼程序的后台,看到了一些中招的记录,如下: 后台记录的这些数据应该是每天就会清洗一次(洗号),给背后的BOSS去洗钱了(QQ系列产品里很多虚拟财产)。把这些钓来的QQ账号卖出去也是一个过程,如下: 名词解释下:
1、广告信:用于广告营销的帐号;
2、忽悠信:用于恶意诈骗的帐号;
3、隔夜信:顾名思义,指前一天没有卖出去的帐号;恩,这些坏蛋的交易场所基本都是通过QQ或QQ群,腾讯在这方面可以关注下。还有一个很有趣的,交易的时候那些银行账号暴露了岂不是会有麻烦?没关系还有专门的团伙出售黑银行卡:
总结下钓鱼过程的各路角色: 从上面的一个过程可以看出这个钓鱼过程的各路角色了: 被钓者(网民)、跳转链接研发者,跳转链接出售者、钓鱼程序研发者、钓鱼程序出售者、实施钓鱼的团伙(买进跳转链接、钓鱼程序、空间、域名等)、散播钓鱼链接(渠道很多种,可能有的散播渠道也需要进行买卖)、黑银行卡出售者、洗钱团队、买家(还是这些网民,比如低价买装备等虚拟财产)…… 一个轮回后,最终的利益损失方就是网民了。 这个产业链过程和我们之前分析的挂马产业链、淘宝钓鱼产业链等大体一样,分工明确、一流的职业操守、耐心、厚脸皮、精明、贪婪等是这个产业的特点。不过我们还发现一些黑吃黑的现象。
1. 比如:我安排一个黑客把你的钓鱼程序后台黑了,把里面的账号密码私吞……
2. 再比如:我DDOS你的钓鱼网站,让你什么钱都赚不到…… 这里面的团队是利益驱动的,所以大家行动很快,职业素养也很高,但内心往往比较畸形,如果利益受损,很可能就会做出一些疯狂的事,这里有篇前段时间的新闻(95后少年建特价机票钓鱼网站两月卷走百万),大家可以看看: http://hlj.sina.com.cn/news/s/2013-03-13/140642070.html结语:
1. 后面我们还会逐渐八卦一些黑产背后的事,从我们的角度去写,往往会更有亮点,慢慢来,不急。
2. 我要说下,安全联盟(anquan.org)集各家之力打击这些危害网民的网站,如果大家发现这类网站,请到我们的举报平台进行举报:http://www.anquan.org/seccenter/accusation/。
3. 本文所说的DedeCMS跳转漏洞,如果有站长朋友使用这个程序欢迎到我们的网站体检中心(www.scanv.com)去进行一次安全体检,DedeCMS是我们团队见过史上漏洞最多的流行CMS应用。 更多朋友留言的问题,下篇再解答了,有些同学问的问题太泛,实在不好解答,谢谢支持。 ———-分割线———- 我们会持续性的进行安全科普,大家有什么问题可以在微信里给我们留言,我们会认真对待每份留言,并在下次发文时进行必要的解答。如果大家有什么安全八卦也欢迎投稿给我们,我们的微信:网站安全中心/wangzhan_anquan。 科普改变世界,我们一起努力让这个互联网更好更安全吧!
2013-03-22 FreebuF.COM
小八卦下黑产: 这几天收到一些朋友的留言说希望能科普下这个黑产:
“弦哥,能科普下黑产现在发展到什么阶段了吗?普通用户的哪些信息被卖给谁了?”
“你好,可以科普些黑客们做黑产的事吗?他们怎么盈利?刷网游?盗购物单?卖网民隐私?还是做什么赚钱的呢?谢谢科普” 这话题太大了,太大了…… 黑产做的都是一些法律不允许或走法律擦边球的一些事,通常都能够暴利,在网络上的黑产分很多种:挂马、暗链、垃圾邮件、钓鱼、中奖欺诈、垃圾站、恶意软件、吸费软件、盗版(电影)、色情、博彩等等,10几种大类,几十种小类,这些欺骗网民感情的网站(除了某些真色情、真盗版电影的网站)都是我们应该警惕的,即使你不中招,你爸妈,亲朋好友也可能中招,大家可以到安全联盟的官网看看每天被网民举报的网址有多少:http://www.anquan.org/seccenter/accusation/,并可以到首页上查下自己访问的一些网站的信誉,如果信誉低劣,就得谨慎了。 黑产种类这么多,我也没办法在一篇文章里科普完,只能每次来个经典案例,通过案例本身来看黑产吧。 一次经典的QQ空间钓鱼案例 这次的案例非常经典,是安全联盟伙伴电脑管家捕获到的。近日电脑管家捕获到了一起大规模的QQ空间钓鱼攻击,我们进行了快速响应,追根溯源,直捣黄龙,不仅分析了传播手法,还搞下了目标利用程序与背后的一些活动信息,目前还不方便公开所有细节,我将大体过程八卦下(以下取证来自我们的某位安全研究员帅哥): 管家发了我一批钓鱼列表,其中几个:
http://www.websbook.com/code/plus/download.php?open=1&link=aHR0cDovL2NvZGUxLndlYnNib29rLmNvbS91cGltZy9qcy9zbGlkZS1zaG93NS5yYXI=
http://anquan.com.cn/pop/119/to/l.php?i=/I/m.aspx?/379/130
http://waimaoquan.alibaba.com/wm/plus/download.php?open=1&link=aHR0cDovL3VybDcubWUvT2FOcQ==
http://waimaoquan.alibaba.com/wm/plus/download.php?open=1&link=aHR0cDovL3VybDcubWUvVGlOcQ== 阿里巴巴居然也被利用了,我分析发现plus/download.php这个特征似乎眼熟,问了下我们安全研究团队的牛哥,他说是DedeCMS,link参数的值base64编码了,解码后是目标钓鱼地址的短网址形式,这个大规模的钓鱼链接传播利用了DedeCMS的跳转漏洞。 这样隐藏的好处很明显,大家第一眼是看不出这个URL有什么问题的,以大网站为载体进行传播是目前钓鱼网站传播的最流行手段,所以在这个产业链环节中有一个重要的交易就是:买卖跳转链。 钓鱼还需要一套钓鱼程序,比如说QQ空间的钓鱼程序,公开报价300、500一套。得看程序质量了,下面有个钓鱼程序后台的一个截图: 这个钓鱼程序虽然简陋,不过服务态度太好了,而且还声明了:请勿做任何违反法律的事…… 后台简陋,不过前台(传播的钓鱼页面)就很炫了,我们简单调查了一圈,上当的人还是有一定可观比例的,前台页面就是本文开篇的那张图了,诱惑么?一旦你输入QQ账号与密码登录,就中招啦! 我们跟踪了几个钓鱼程序的后台,看到了一些中招的记录,如下: 后台记录的这些数据应该是每天就会清洗一次(洗号),给背后的BOSS去洗钱了(QQ系列产品里很多虚拟财产)。把这些钓来的QQ账号卖出去也是一个过程,如下: 名词解释下:
1、广告信:用于广告营销的帐号;
2、忽悠信:用于恶意诈骗的帐号;
3、隔夜信:顾名思义,指前一天没有卖出去的帐号;恩,这些坏蛋的交易场所基本都是通过QQ或QQ群,腾讯在这方面可以关注下。还有一个很有趣的,交易的时候那些银行账号暴露了岂不是会有麻烦?没关系还有专门的团伙出售黑银行卡:
总结下钓鱼过程的各路角色: 从上面的一个过程可以看出这个钓鱼过程的各路角色了: 被钓者(网民)、跳转链接研发者,跳转链接出售者、钓鱼程序研发者、钓鱼程序出售者、实施钓鱼的团伙(买进跳转链接、钓鱼程序、空间、域名等)、散播钓鱼链接(渠道很多种,可能有的散播渠道也需要进行买卖)、黑银行卡出售者、洗钱团队、买家(还是这些网民,比如低价买装备等虚拟财产)…… 一个轮回后,最终的利益损失方就是网民了。 这个产业链过程和我们之前分析的挂马产业链、淘宝钓鱼产业链等大体一样,分工明确、一流的职业操守、耐心、厚脸皮、精明、贪婪等是这个产业的特点。不过我们还发现一些黑吃黑的现象。
1. 比如:我安排一个黑客把你的钓鱼程序后台黑了,把里面的账号密码私吞……
2. 再比如:我DDOS你的钓鱼网站,让你什么钱都赚不到…… 这里面的团队是利益驱动的,所以大家行动很快,职业素养也很高,但内心往往比较畸形,如果利益受损,很可能就会做出一些疯狂的事,这里有篇前段时间的新闻(95后少年建特价机票钓鱼网站两月卷走百万),大家可以看看: http://hlj.sina.com.cn/news/s/2013-03-13/140642070.html结语:
1. 后面我们还会逐渐八卦一些黑产背后的事,从我们的角度去写,往往会更有亮点,慢慢来,不急。
2. 我要说下,安全联盟(anquan.org)集各家之力打击这些危害网民的网站,如果大家发现这类网站,请到我们的举报平台进行举报:http://www.anquan.org/seccenter/accusation/。
3. 本文所说的DedeCMS跳转漏洞,如果有站长朋友使用这个程序欢迎到我们的网站体检中心(www.scanv.com)去进行一次安全体检,DedeCMS是我们团队见过史上漏洞最多的流行CMS应用。 更多朋友留言的问题,下篇再解答了,有些同学问的问题太泛,实在不好解答,谢谢支持。 ———-分割线———- 我们会持续性的进行安全科普,大家有什么问题可以在微信里给我们留言,我们会认真对待每份留言,并在下次发文时进行必要的解答。如果大家有什么安全八卦也欢迎投稿给我们,我们的微信:网站安全中心/wangzhan_anquan。 科普改变世界,我们一起努力让这个互联网更好更安全吧!
赞赏
他的文章
- 双机串口调试的问题 2795
- [转帖]白帽大胜入侵者——一场经典的DDoS攻防战 2103
- [转帖]短信炸弹—用Python模拟ajax请求 3023
- [转帖]也谈谈网络战 1136
- [转帖]黑产科普—最近大规模的QQ空间钓鱼攻击 2739
看原图
赞赏
雪币:
留言: