Author: 360天眼實驗室
人在做,天在看。
與網絡的黑暗面斗爭中,我們看到太多的年輕人陷入黑產的陷井,少數人暴發橫財及時收手還能全身而退,多數人身處產業鏈的底端所得不多卻受牢獄之災。年輕人是國家的未來,他們敢想敢干而又無知魯莽,希望他們不要為一時的無知付出太大的代價,今天的這個文章可以算作一個警醒,千金不換回頭路。
網絡從來就是一把雙刃劍,越來越便捷的知識傳播讓廣大的網絡黑產工作者們只需簡單修改別人的代碼就可以制作出所謂的原創木馬病毒,并進一步出售進行獲利。近期,360天眼實驗室攔截到一類盜取用戶支付寶余額的木馬,追根溯源揪出了木馬制造者及一批木馬放馬者,而背后的造馬者竟是一個高三學生,我們想說考不考得上大學還在其次,這位同學現在最應該讀一下網絡犯罪相關法條立即收手以免終身受此所累。
為了對抗查殺,使用易語言做木馬開發極其常見,我們所看到的這個樣本即是如此,相關的信息如下,供大家參考。
木馬文件MD5: 1976f6cbbc32fcbd7eaa75318642a182
盡管分析起來有點麻煩,但搞清楚木馬行為只是時間問題,主要包括:
部分花指令如下:
過期時間是2016年1月14日,如圖:
訪問http://t.qq.com/q912xxx937微博地址,匹配出木馬所需的信息,微博內容為:
解密出微博地址:
訪問騰訊微博地址,得到微博內容:
從微博頁面中匹配“支付寶讀取頭部”和“支付寶讀取尾部”,匹配出木馬預留信息:
獲取到頁面數據后,通過作者預先寫好的開始標記和結束標記讀取到用到的數據:
從微博讀取到的支付寶所需數據格式為"13267932191|1100|80|1100",其中的13267932191表示支付寶賬號,1100表示快捷金額,80表示觸發金額,1100 是最大限額。當然,如果騰訊微博格式發布信息格式不正確,木馬還會彈窗報錯,提示發布正確格式的微博內容。
對于木馬轉賬的支付寶賬號:13267932191,推測應該是一個手機號,從搜索引擎搜索結果得知,手機歸屬地是廣州惠州的,如圖:
木馬程序打開后起線程不停查找瀏覽器的窗口,直到瀏覽器的地址欄包含alipay字符后,木馬開始對支付過程進行劫持:
調用易語言的類庫,獲取當前的URL地址,用于判斷用戶是否正在進行支付操作。
如果用戶正在進行支付操作,就查找https://personalweb.alipay.com/portal/newhome.htm網址中的<span class="integer"標簽和<input type="hidden" id="J-mfund-balance" value=標簽分別得到用戶的賬戶余額和余額寶的余額。
在后臺進行封包劫持:
木馬通過注入瀏覽器,后臺Post提交參數的方式,用戶從瀏覽器中看不出有任何的異常,而只有在支付之后的交易記錄中,才有可能發現收款人已被替換。而一切都以為時晚矣。
通過搜索引擎搜索“支付寶讀取頭部”關鍵字,我們找到了一批有問題的騰訊微博賬號,這些賬號大多都是直接從木馬作者手中購買木馬的“放馬者”:
然后,我們就從這批放馬者的賬號中發現一個亮瞎眼的賬號內容
http://t.qq.com/hy617xxx31
至于亮瞎眼的原因見下圖,由此,我們定位到了可疑造馬者,QQ號為:5500xxx39和617xxx31 :
下面我就將按照”造馬者”與“放馬者”兩條線索分別展開。
通過對造馬者的發微博時的實時位置,定位到造馬者經常在四川省南充市活動,如圖:
另外,通過對上面兩個QQ號公開的信息比較,也確定這兩個QQ號都是造馬者的QQ號,其中5500xxx39的QQ號為造馬者的小號。
而617xxx31為造馬者聯系木馬業務的常用號碼:
從搜索引擎也得知,造馬者曾被人舉報,稱造馬者盜源碼寫軟件:
造馬者為了銷售木馬,還專門成立了一個QQ群,推測群里應該有好多放馬者,當然根據群位置信息,也可以進一步確定造馬者所在的地理位置正是南充,與前面關于造馬者地理的推斷一致。
過對造馬者QQ持續的關注,基本可以斷定造馬者是高中生。
2015年12月份,造馬者QQ的修改簽名為“秒余額,快捷,余額寶免殺馬代秒魚。回5。需要的私聊大量收家庭肉雞,有的窗口。”,如下圖
而2016年2月29日,QQ個性簽名更改為“3月份停工,高考后復出,學習新技能”,可以推斷出造馬者是高中生:
與此同時,我們還在造馬者的騰訊微博中看到造馬者對木馬書寫的“產品說明書”(支持Windows所有版本)、“廣告語”(高度人性化,可操作性強,穩定性強)、價格(支付寶收款700/月,銀行卡收款1000/月)等,見下圖:
查詢QQ群關系數據庫,得到造馬人的另外一個常用的QQ號碼:963xxxx39:
通過網上搜索QQ963xxxx39,發現造馬者經常關注一些網絡上的黑客教程,并且曾經從易語言論壇下載過支付寶支付賬單源代碼,如圖:
把易語言論壇上的這份“支付寶支付賬單的源代碼”下載后得知,代碼的作用是查詢支付寶交易記錄,造馬者在造馬的過程中參考過這份源碼。如圖:
索引擎查詢造馬者QQ號關鍵字找到了這個人的優酷賬號,其上傳的視頻中表明造馬者的另一個身份:dnf玩家。
同時搜索引擎告訴我們的還包括造馬者的淘寶賬號:a963xxxx39
在此,我們推測這人的郵箱地址可能為:[email protected]
通過163找回密碼,發現賬號綁定的手機號碼的后三位與淘寶賬號中的手機的后三位是相同的,這就斷定[email protected]郵箱是屬于造馬者的,如圖:
通過嘗試,找到了造馬者的163郵箱密碼:96xxxxx39
在郵箱中的已發送郵件中,大量的cf木馬發送的郵件,郵件內容里面都是木馬盜取的cf賬號和密碼等游戲信息。
此外,觀察到郵箱中有作者的MAC地址:00-50-56-c0-00-01,應該是造馬者在測試程序時發送的,如圖:
總結:
造馬者經常活動于南充,可能的身份為:在校高中學生。機器mac地址可能為: 00-50-56-c0-00-01,作者不僅編寫支付寶木馬,還曾經盜取過cf游戲賬號,常用郵箱為:[email protected],常用密碼為:a96xxxxx39,常用的三個QQ號為617xxx31,5500xxx39,和963xxxx39,其中617xxx31號多用來賣支付寶木馬;963xxxx39號多用來盜取游戲賬號;5500xxx39為小號,不常使用。淘寶賬號為:a963xxxxx39,手機號為:136xxxx5205
購買木馬的人數眾多,根據360威脅情報中心的數據,木馬買家超過40人。我們隨意抽取一個購買木馬的用戶進行探討。
以下都是通過搜索引擎得到的放馬者的微博地址:
對于其中一個放馬者,[email protected],騰訊微博中有其上傳的生活照,如下:
最后,用這位放馬者的QQ群關系來結束這次的追蹤之旅:
我們看到的木馬本身的技術并不復雜,傳播手段也不見得高明,低技術門檻使網絡犯罪的參與者呈現年輕化的分布。本次的攻擊者溯源完全依賴公開可搜索的數據,甚至無需運用社工技巧,木馬開發與使用者的無知無畏實在讓人心驚。從造馬者自發暴露的大量信息來看,他似乎并不覺得自己在違法犯罪,我們的中學教育在法律學習方面應該加入網絡犯罪的內容。