freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

记一次裸照勒索溯源行动,修手机当心被植入木马
2019-04-17 14:39:56

*本文所述为真实求助改编而成,为避免信息泄露,文中所有涉及的人名、住址均为虚构,如有雷同,纯属巧合

我见过很多奇奇怪怪的人,特别是做黑色产业的,但他们仅仅专注一件事,而这次遇到的这人,副业很多——帮小偷解锁脏机,勒索要挟,给女生修手机还装木马监控,搞黄色网站。

这事有很多牵连,我不想给别人联想到我,所以这件事我会修改隐去某些细节,以及事件时间是我编的。

案件起因:裸照勒索案

调查时间:2019年4月3号

结束时间:2019年4月10号

2019年4月3号,我的金主大熊给我打了一电话,他说有件事想找我帮忙调查,让我出来见面聊。

大熊是开侦探所的,他搞不定的案件会甩手给我做,也是教我实地调查的一位师傅。

我想了想,和他约定好时间地点后,打车到老地方附近的街上瞎逛了一会,然后找了家店随便吃了点东西,看了眼时间快八点了,我起身往约定的低点走去。

在我俩常去的地后,我见到了坐在靠窗位置的大熊,他站起来冲我招了招手,快一个月没见,还是人如其名,等我走近的时候才发现,坐大熊对面还有个穿白裙子的女生,我有点疑惑——没听他说过带朋友来

大熊等我坐下后,开始跟我介绍坐对面的女孩。

大熊带来的姑娘是他表妹,叫李梦,她有件事想找我调查,不知道接不接。

我让他先说事,这样才能知道在不在能力范围内。

大熊说这事是这样的——4月2号,李梦收到一条短信,短信里有张李梦裸体自拍的照片,那人跟李梦要10万块,4月10号当面交易,不然就把这些照片传到网上。

这事大熊他也查过,给李梦发勒索短信的手机号是一张黑卡,查了大半天,实在不知道从哪下手,就想到了我。

我让李梦把短信给我看一下,李梦把手机递过来后,我看了眼手机号,果然是黑卡——170的手机号属于虚拟运营商,因为实名制监管不严,很多搞黑产的人特爱用别人信息实名。

15554790082850.jpg!small

李梦收到的勒索短信

我想了想和李梦说:“这事你得报警,找我没用。”

李梦说她不敢:“那人有我的真实信息,我报警他肯定会传到网上,我就没脸活了。”

我低着头用手指敲着桌,大家沉默了好一会后,我才抬起头问李梦:“照片泄漏的源头知道吗”

李梦说不确定:“我的照片存在另一台苹果手机里,那台手机早几天被偷了,可手机设置了密码,别人也拿不到呀。”

我摇摇头说不一定:“有人专门给小偷解锁手机密码的,这都成了一条产业链了。”

我想了想,继续问李梦手机被偷后有没有收到一条短信,说你的手机定位到了,让你点开短信里的链接登录查看位置。

李梦点了点头,翻出短信递给我看

我仔细看了眼短信里的链接,和李梦说:“这是条钓鱼短信,你仔细看短信里面的链接,是模仿苹果官网的,你当时在这钓鱼网站登录的密码,小偷都一清二楚。”

15554790158036.jpg!small

钓鱼短信,别在里面的链接登录帐号

“所以勒索你的人,应该是小偷或者这个钓鱼网站的搭建人。”我靠在椅子上吸了一口气对李梦说

说到这,李梦像看到希望一样,大熊立马开口问我:“这事接吗”

我问李梦,她能出多少钱,大熊替她回答:“2万块,她刚毕业没几年,不够的话我补给你。”

我跟他比了一个OK的手势:“一周后给你答复。”

和李梦互换了微信,我就找个理由开溜了,大熊把我送到门口,我转过头笑嘻嘻的问他:“难得见你肯帮别人付钱啊”

大熊笑了笑,没应我,反而从公文包里拿出一个档案袋,和我说里面有三千块定金,等这事解决了再给尾款,还提醒我要尽快——李梦爱面子,要真发到网上估计她没法活了。

15554790207828.jpg!small

搞的跟香港电影里不见得光交易一样

我让他少看点香港电影,别搞得像非法交易一样,大熊拍了拍我肩膀,又提醒我一次:“尽快办妥啊,很急。”

回到家后,我发了条微信给李梦,让她把勒索短信的手机号和钓鱼短信发过来。

4.jpg

给李梦发勒索短信的手机号应该属于黑卡,但宁可杀错不放过,我还是查了查机主的信息。

我用常用的手段都查了一遍该号码,发现这张卡并没有在网络上遗留过痕迹,百度了一下该手机号,得知该卡是一个叫“远特通信”的运营商。

5.png

我搜索了一下这个运营商的官网,通过社工客服拿到了该手机号的机主姓名,以及开卡的时间。

15554790336826.jpg!small

通过开卡的时间可以判断出,这人是专门为了勒索而开的卡,至于开卡人的姓名,肯定是假的,再往下查就没有必要了,无奈下只能把调查方向转移到钓鱼网站上

我打开李梦发来的钓鱼链接,发现做的跟苹果ID登录官网一模一样,但仔细去看还是能发现破绽——除了登录的按钮能点,其他的都不能,并且网址和苹果ID的官网也是有着差别的。

15554790427332.jpg!small

钓鱼网站

先通过Whois查询该钓鱼网站注册人的信息,得知网址注册商是西维数码,注册人叫吴财,看起来很缺财,注册邮箱:90******@qq.com

15554790484941.png!small

Whois查询

再通过邮箱反查注册了哪些域名,结果让我大吃一惊——该邮箱注册了35个域名,而这些域名的格式都是仿造苹果官网的,看来对方是专门干这行的。

9.jpg

他还注册了很多个钓鱼网站

利用该QQ号作为关键词,检索在网上遗留的信息没有任何的发现,似乎这是一个小号,专门用来做钓鱼网站的,我搜索了这个QQ号码,发现不像是小号——Q龄和等级呈现一个正常的状态。

10.jpg

紧接着我去了QQ安全中心选择忘记密码,查看绑定该QQ的手机号,发现同样是170开头的号码,目前的情况来看,基本上可以确认钓鱼网站开发者和勒索李梦的人应该是同一人所为。

15554790596195.png!small

绑定的手机号也是170开头的号码

综合以上情况分析,勒索者非常谨慎——QQ号应该是买来的,绑定的手机号和发送勒索短信用的手机号同样为黑卡,这些都无从查起,只能另找出路。

我上了趟厕所,顺便抽了根烟,出来之后我决定利用社会工程学对域名商发起攻击。

15554790662786.jpg!small

在以前遇到的苹果手机盗窃案中,我尝试过社工客服,但每次都以失败告终,这一次我把攻击目标转移到域名经纪人代购上——专门给人代购已经被注册的域名

1555479072561.png!small

4月4号,我联系上了域名经纪人后,开始诉说我的要求。直到当天中午11点,域名经纪人说试试看看能不能联系上,晚上10点她答复我:“联系不上域名拥有人”

15554790782150.jpg!small

为了让她相信我,我开始编造故事去欺骗她,最终域名经纪人给我发来了一个QQ:“这是域名拥有人的帐号,您去联系他吧。”

我开始反查这个QQ,但勒索人太过于谨慎——该QQ同样为小号,QQ安全中心选择忘记密码发现绑定的手机号同样为170的黑卡。

我想了很久,目前出现的所有信息都仅仅是表面信息,而这表面信息还被处理过了,现在只剩下最后一条路——入侵钓鱼网站后台。

讲真,我已经很多年没入侵过网站了,关于渗透的思路已经跟不上时代,我开始去各大论坛参考其他大佬的思路,酝酿了一个下午后,再次整理通过初步刺探获取到的信息,计划下一步的入侵。

15554790861906.jpg!small

我先检测了一遍钓鱼网站的链接,可以判断出属于PHP类型的网站,而我以前收集了很多国内CMS的后台排列规则路径,大概花了半个小时,我成功的找到了钓鱼网站的后台。

15554790929757.jpg!small

钓鱼网站的后台登录页面

看到这后台我一下子就乐了,正愁着破解密码的事,没想到这网站后台登录居然没有验证码防御机制——没有防御机制就可以选择暴力破解。

15554790982304.jpg!small

其他社交的验证码防御机制

而这网站没有这些防护机制,我可以使用暴力破解方式以达到入侵网站的目的,我再次使用了字典生成工具。

这会我用了市面上好几个密码生成工具,填写了目前已知勒索者的所有信息后,工具给我列举了大概几百个密码,再利用脚本一键登录逐一尝试这些密码哪个是对的。

1555479105525.png!small

密码分析工具生成的密码字典

4月7号上午9点多,我回到电脑前查看结果,而数据反馈的结果让我哭笑不得——后台登录帐号是系统默认的“admin”

而密码却是“admin337******”后面的数字正是社工域名经纪人得来的QQ号。

不确定后台登录是否会记录下我的IP地址,谨慎起见还是挂了代理登录了后台,在功能栏里有个“登录日记”我一下子就笑了,这不是暴漏自己的行为嘛!

我查看了最近登录后台的日记,发现除了我的代理的IP,还有一个IP地址在4月6号登录过后台的,应该是勒索者无疑了!

15554791134870.png!small

钓鱼网站后台记录了登录IP

通过第三方的IP查询接口,查询该IP地址,最终把勒索者的位置锁定在深圳福田区华强北。

15554791184524.jpg!small

深圳华强北

我继续翻找钓鱼网站后台,没想到发现了一个更大的惊喜——在后台里可以设置收信的邮件,当受害者在该网站上填写自己的苹果ID密码后,这些密码会自动发送到以下的邮件里。

15554791248266.png!small

收信和发信邮件

而发信邮箱密码一栏中的密码经过了加密,我查看了网页源代码笑的更开心了,居然在源代码里能看到密码是通过明文显示出来的。

此刻的我犹如沙漠里发现水源一样,我赶紧登录了他的163邮箱,在里面看到了多达500多封的邮件。

22.jpg

接收苹果ID密码的邮箱是绑定了手机号,但不以明文展示出来,而是加密过的,并且在账户管理也没能发现显示全部的数字,但起码不再是170的手机卡了,目前已经可以确认这个163邮箱为勒索人常用的邮箱。

15554791337937.png!small

我在翻查邮箱的时候,无意发现最后一页有封圆通快递的邮件,并且显示了单号。

15554791432012.png!small

紧跟着,我在圆通官网查询了该邮箱,一共获得两个信息,签收人叫吴磊,派件地点是福田区——华强北正是位于福田区。

15554791501741.png!small

我再次整理目前的信息,剔除了一部分的假信息,并且开始调查钓鱼网站后台的另一个邮箱——用来发信的QQ邮箱。

检索该QQ号码,我在一个深圳电子论坛发现他的踪迹——二手苹果6,无锁国行,发布时间正是今年的3月份,我想这会是一个很好的突破口。

26.jpg

查到他在今年3月份发的帖子

我添加了他在论坛上留下的QQ,以买手机为由接近他。

4月8日上午,他同意了我的好友请求,我和他聊了聊,约好在下午当面交易,并且他很谨慎——只告诉我,到了华强北后给他打电话,具体位置不说。

27.jpg

我和他的聊天记录

我通过他留下的手机号,搜索支付宝帐号,发现实名信息和快递的信息对得上——他叫吴磊。

28.png

目前种种线索都指向叫“吴磊”的男人,我整理了目前的信息,决定在现实中接近他。

下午三点,我来到了深圳华强北,在华强北附近逛了逛,打算熟悉周围环境,突然有个老头在旁边拉住了我,我给吓了跳,问他干嘛,他拿出一张广告纸,问我要不要偷拍器——可能看到我在左顾右望,以为我来旅游的想坑我。

15554791605846.jpg!small

这种大部分都是宰游客的

我连忙摆摆手,说不用,然后就去了附近的一家肯德基里——给大熊打个电话,把现在调查到的情况跟他讲了一遍,让大熊来这见面聊。

这事关乎到他表妹,大熊异常的上心,没等半小时就风风火火的赶了过来,等他坐下后,我把目前查到的信息都告诉他:“勒索你表妹的人叫吴磊,就在华强北这,待会我跟他见完面后,你就在后边跟着他。”

大熊点了点头,说行,让我现在就联系吴磊,约他出来。

我嗯了一声,随后给吴磊打电话,问他人在哪,说我到华强北了。

吴磊在电话里问我在哪个地方,穿什么衣服,身上有没有明显特征,我把这些信息都告诉他后,没过多久就有个穿一身黑衣服挎着单肩包的中年男人向我走来。

15554791705625.jpg!small

这是吴磊

我客气的和他打了个招呼后,吴磊从单肩包里拿出好几台手机,让我挑。

我问他这些手机质量不会有问题吧,吴磊让我放心:“老板,这些机器都是没有质量问题的。”

我说成,从吴磊手里随便选了一台,开机看了下,发现手机确实没什么问题,把钱给了吴磊后,我假装往回走,转过头的时候冲不远处站着的大熊打个暗号——把手放肩膀上,让他跟上去,这是他教给我的。

在等大熊给我回信息的时候,我通过CTIA的网站,查询刚从买来的手机IMEI信息,发现网站返回的结果是True——这个数据反馈的意思是,该手机曾经开启过“iPhone丢失查询”。

31.jpg

查询网站

所以吴磊手上卖的手机,很有可能是脏机。

正准备把这件事告诉大熊的时候,他也给我发了微信,说跟踪吴磊到了一家手机维修店,店主就是吴磊。

15554791797487.jpg!small

类似这样的店铺,图片来自网络

我和大熊汇合后,把刚刚手机的事跟他讲了一下:“目前所有证据都指向了吴磊,咱们待会还得跟着他,找到确切证据。”

下午五点半,吴磊从他的店里走了出来,大熊立马跟了上去,我犹豫了一会没跟上去,怕他认出我,直到6点多,大熊给我打了电话,说吴磊住在华强花园,让我打车过来。

15554791899724.jpg!small

华强花园

在华强花园门口看到大熊后,我准备往里走的时候,大熊问我干嘛去,我说:“既然他是钓鱼网站的开发者,家里肯定是有电脑的,所有的秘密估计就藏他家里,我上去找机会,劫持他家WIFI拿更多信息。”

大熊摇摇头,说别:“你要看他电脑对吗?”

我嗯了一声:“他干违法事的证据肯定在电脑里。”

大熊一脸神秘,让我明天早上十点还来这等他,我点点头,没多问。

4月9号,上午快10点,我在附近随便吃了顿早饭后,就赶去和大熊回合,正纳闷大熊怎么还没来,他就给我发微信,让我去4号楼1单元找他。

我俩站在吴磊家的门外,大熊拿出隔墙听在门口听了一会,确认屋里没人后才放下来。

15554791986948.jpg!small

台湾F-99B隔墙听,我的最爱

转头从背包拿出一套开锁工具,折腾好一会,就把门给开了,让我多学多看:“这才是高效率办事方法。”

15554792057045.jpg!small

大熊用的开锁工具跟这个差不多

我站门外呆立了好一会,给他做了个666的手势:“牛逼啊,大哥。”

大熊踢了我一脚,让我小点声,进到吴磊家里后,我在他的卧室找到一台电脑,我迅速翻查了一遍电脑里的文件,找到一个以ABC命名的文件夹,点开之后我吓了一跳——里面存了很多姑娘的裸体照片,从拍摄角度来看,肯定是自拍的。

36.jpg

李梦的照片信息也在里面

不仅如此,还有他跟踪拍摄女生的照片,除此以外每个文件夹里都有个文本信息,里面标注了每个姑娘的真实信息,姓名,联系方式,住址。

37.jpg

吴磊跟拍的姑娘

我把这些照片都转存到U盘后,刚准备离开的时候,桌面的右下角弹出一条信息——你的用户以下线。

我好奇的点开看了眼,没想到这是一个用来控制别人手机的木马工具,里面有三台手机在线的,我分别都查看了三台被控制的手机摄像头——都是女生

15554792239235.jpg!small

吴磊电脑里装的木马工具,这图是事后找了软件拍的

大熊也在边上看到了,张嘴就是一句操他妈:“这孙子是个变态?监控别人干嘛。”

我摇摇头说不确定,把吴磊控制的这些女生手机信息保存后,大熊问我:“我表妹的照片不删吗?”

我说这样会被发现的,然后往吴磊的电脑里装上我的隐藏木马:“暂时不用,我怕他发现电脑被人动过,而且我在他电脑里装了个木马,如果这事超出控制范围了,我就把他电脑的数据全部清空。”

而且光是他干的这些事,我觉得也够他喝一壶了。

我俩离开吴磊家后,在一家茶饮店里坐着,大熊问我接下来怎么做。

我和大熊说:“先确定吴磊电脑里这些女孩的信息是怎么来的。”

于是我逐一联系这些受害者,最终得知以下情况——木马软件里的女生,她们都在吴磊店里修过手机,而那个命名ABC文件里的女孩,她们都是和李梦一样,曾经被勒索过,而勒索金额则是吴磊根据苹果ID里的照片,去判断对方家庭经济去选择的。

当天下午六点多,我的木马提示吴磊的电脑已经上线了,我通过远程屏幕发现他在登录一个色情网站后台,管理员密码是admin,密码经过了加密,我没敢开键盘记录,容易暴漏。

悄悄记下吴磊登录的色情网站域名,通过Whois查询发现,吴磊就是该色情网站的站长——注册色情网站域名的邮箱与最开始查到的邮箱是同一个。

那天晚上,我让那些被吴磊控制手机的女孩集体去报警,而我通过匿名方式向警察提供了部分线索。

三天后,大熊告诉我:“吴磊因为传播淫秽视频与非法控制计算机罪,还有勒索罪被抓了。”

而在这些女孩报警之后,我就通过远程控制删掉了和李梦有关的所有信息,并且清除入侵痕迹。

在吴磊被抓的前两天,大熊请我吃了顿饭,他和我说:“这事你最好别写在公众号上,会被人惦记上的。”

我摇摇头说没事,改改细节和时间,没人会想到我的。

我们或许不喜欢自己所看到的,但这不是我们背过脸去的理由。

# 黑产 # 勒索 # 华强北
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者