黑产科普—最近大规模的QQ空间钓鱼攻击

2013-03-22 356005人围观 ,发现 28 个不明物体 WEB安全新手科普


小八卦下黑产

这几天收到一些朋友的留言说希望能科普下这个黑产:

“弦哥,能科普下黑产现在发展到什么阶段了吗?普通用户的哪些信息被卖给谁了?”
“你好,可以科普些黑客们做黑产的事吗?他们怎么盈利?刷网游?盗购物单?卖网民隐私?还是做什么赚钱的呢?谢谢科普”

这话题太大了,太大了……

黑产做的都是一些法律不允许或走法律擦边球的一些事,通常都能够暴利,在网络上的黑产分很多种:挂马、暗链、垃圾邮件、钓鱼、中奖欺诈、垃圾站、恶意软件、吸费软件、盗版(电影)、色情、博彩等等,10几种大类,几十种小类,这些欺骗网民感情的网站(除了某些真色情、真盗版电影的网站)都是我们应该警惕的,即使你不中招,你爸妈,亲朋好友也可能中招,大家可以到安全联盟的官网看看每天被网民举报的网址有多少:http://www.anquan.org/seccenter/accusation/,并可以到首页上查下自己访问的一些网站的信誉,如果信誉低劣,就得谨慎了。

黑产种类这么多,我也没办法在一篇文章里科普完,只能每次来个经典案例,通过案例本身来看黑产吧。

一次经典的QQ空间钓鱼案例

这次的案例非常经典,是安全联盟伙伴电脑管家捕获到的。近日电脑管家捕获到了一起大规模的QQ空间钓鱼攻击,我们进行了快速响应,追根溯源,直捣黄龙,不仅分析了传播手法,还搞下了目标利用程序与背后的一些活动信息,目前还不方便公开所有细节,我将大体过程八卦下(以下取证来自我们的某位安全研究员帅哥):

管家发了我一批钓鱼列表,其中几个:

http://www.websbook.com/code/plus/download.php?open=1&link=aHR0cDovL2NvZGUxLndlYnNib29rLmNvbS91cGltZy9qcy9zbGlkZS1zaG93NS5yYXI=

http://anquan.com.cn/pop/119/to/l.php?i=/I/m.aspx?/379/130


http://waimaoquan.alibaba.com/wm/plus/download.php?open=1&link=aHR0cDovL3VybDcubWUvT2FOcQ==

http://waimaoquan.alibaba.com/wm/plus/download.php?open=1&link=aHR0cDovL3VybDcubWUvVGlOcQ==

阿里巴巴居然也被利用了,我分析发现plus/download.php这个特征似乎眼熟,问了下我们安全研究团队的牛哥,他说是DedeCMS,link参数的值base64编码了,解码后是目标钓鱼地址的短网址形式,这个大规模的钓鱼链接传播利用了DedeCMS的跳转漏洞。

这样隐藏的好处很明显,大家第一眼是看不出这个URL有什么问题的,以大网站为载体进行传播是目前钓鱼网站传播的最流行手段,所以在这个产业链环节中有一个重要的交易就是:买卖跳转链。

钓鱼还需要一套钓鱼程序,比如说QQ空间的钓鱼程序,公开报价300、500一套。得看程序质量了,下面有个钓鱼程序后台的一个截图:

这个钓鱼程序虽然简陋,不过服务态度太好了,而且还声明了:请勿做任何违反法律的事……

后台简陋,不过前台(传播的钓鱼页面)就很炫了,我们简单调查了一圈,上当的人还是有一定可观比例的,前台页面就是本文开篇的那张图了,诱惑么?一旦你输入QQ账号与密码登录,就中招啦!

我们跟踪了几个钓鱼程序的后台,看到了一些中招的记录,如下:

后台记录的这些数据应该是每天就会清洗一次(洗号),给背后的BOSS去洗钱了(QQ系列产品里很多虚拟财产)。把这些钓来的QQ账号卖出去也是一个过程,如下:

名词解释下:

1、广告信:用于广告营销的帐号;
2、忽悠信:用于恶意诈骗的帐号;
3、隔夜信:顾名思义,指前一天没有卖出去的帐号;

恩,这些坏蛋的交易场所基本都是通过QQ或QQ群,腾讯在这方面可以关注下。还有一个很有趣的,交易的时候那些银行账号暴露了岂不是会有麻烦?没关系还有专门的团伙出售黑银行卡:


总结下钓鱼过程的各路角色:

从上面的一个过程可以看出这个钓鱼过程的各路角色了:

被钓者(网民)、跳转链接研发者,跳转链接出售者、钓鱼程序研发者、钓鱼程序出售者、实施钓鱼的团伙(买进跳转链接、钓鱼程序、空间、域名等)、散播钓鱼链接(渠道很多种,可能有的散播渠道也需要进行买卖)、黑银行卡出售者、洗钱团队、买家(还是这些网民,比如低价买装备等虚拟财产)……

一个轮回后,最终的利益损失方就是网民了。

这个产业链过程和我们之前分析的挂马产业链、淘宝钓鱼产业链等大体一样,分工明确、一流的职业操守、耐心、厚脸皮、精明、贪婪等是这个产业的特点。不过我们还发现一些黑吃黑的现象。

1. 比如:我安排一个黑客把你的钓鱼程序后台黑了,把里面的账号密码私吞……
2. 再比如:我DDOS你的钓鱼网站,让你什么钱都赚不到……

这里面的团队是利益驱动的,所以大家行动很快,职业素养也很高,但内心往往比较畸形,如果利益受损,很可能就会做出一些疯狂的事,这里有篇前段时间的新闻(95后少年建特价机票钓鱼网站两月卷走百万),大家可以看看:

http://hlj.sina.com.cn/news/s/2013-03-13/140642070.html

结语:

1. 后面我们还会逐渐八卦一些黑产背后的事,从我们的角度去写,往往会更有亮点,慢慢来,不急。
2. 我要说下,安全联盟(anquan.org)集各家之力打击这些危害网民的网站,如果大家发现这类网站,请到我们的举报平台进行举报:http://www.anquan.org/seccenter/accusation/。
3. 本文所说的DedeCMS跳转漏洞,如果有站长朋友使用这个程序欢迎到我们的网站体检中心(www.scanv.com)去进行一次安全体检,DedeCMS是我们团队见过史上漏洞最多的流行CMS应用。

更多朋友留言的问题,下篇再解答了,有些同学问的问题太泛,实在不好解答,谢谢支持。

———-分割线———-

我们会持续性的进行安全科普,大家有什么问题可以在微信里给我们留言,我们会认真对待每份留言,并在下次发文时进行必要的解答。如果大家有什么安全八卦也欢迎投稿给我们,我们的微信:网站安全中心/wangzhan_anquan

科普改变世界,我们一起努力让这个互联网更好更安全吧!

这些评论亮了

  • 黑产老板 回复
    你在爆,我就DDOS你,要不DIR溢出你。哈哈
    )55( 亮了
  • 广西天龙工作室 回复
    广西天龙工作室发来贺电,接下来几个月我们将对knowsec进行持续的ddos攻击,请各位知晓,谢谢。
    )18( 亮了
  • 深圳龙拽狂黑客工作室 回复
    喝喝。曝光我们这行的内幕。
    从明天开始。26小时不间断DOS攻击。
    )13( 亮了
  • 黑产经纪人 回复
    再爆,我就砸你场子。
    )7( 亮了
  • 瑞星网络安全工程师 回复
    知道ooxx的大牛们,做完黑产后,赚钱了,开始搞后期新秀呢,你们能靠谱点么,别尼玛,整天装B。次奥!别鸡巴拿你们的产品忽悠。。
    )7( 亮了
发表评论

已有 28 条评论

取消
Loading...
css.php