针对工行诈骗黑产团伙的调查回忆录

1）背景

我是Evi1m0，来自知道创宇，就在13年10月19日我们收到朋友工商银行被诈骗钓鱼的消息，从而展开了一场调查风波。因为离案件到目前为止已有两个多月之久，难免会有疏忽遗忘之处，此文作为调查回忆录献给大家“品尝”，提醒大家网络安全将是永远不可疏忽的。

2）开始调查

受害人给我们提供了唯一线索就是一个IP地址，当然这个时候放出来IP已经无伤大雅了。

喏，就是这个：{IP:174.139.126.243}

访问进入后我们发现页面为伪造的中华人民共和国最高人民检察院。

左侧标有网上测查金融犯罪浮动广告，经询问受害网民，黑产诈骗团伙通过电话诱导用户点击并开始整个钓鱼流程。

黑产诈骗团伙通过及其相似的网页引诱用户下载恶意工行U盾劫持EXE软件进行U盾证书劫持。事后让其进入测查页面，窃取网民银行卡号、密码、U盾密码等信息，完成财产转账。

我们针对受害人提供的IP：174.139.126.243地址开始着手进行调查，发现此IP所绑定域名为：http://hndq.com，访问后便可看到钓鱼页面。

调查期间我们观察到一个细节，当从IP：174.139.126.243点击进入测查页面时，IP这时跳转到了：174.139.126.244反查244域名，于是我们发现了第二个域名:http://jlsajd.com

IP：174.139.126.244为另外一个名为北京监察网的诈骗网站。

最终我们获取了两个重要信息:

IP：174.139.126.243 域名:http://hndq.com

IP：174.139.126.244 域名:http://jlsajd.com

下图是域名反查的注册信息,注册域名均为诈骗网站:

3）潜入黑产团伙服务器

admin MD5 密码：1987faed14603f92 解密后为:1231210

qazqaz123 MD5 密码：4b66ec411fd0591b 解密后为:19891016

从黑产团伙管理员密码中可大概了解钓鱼团伙某成员的出生年月日为：1989年10月16日

于是我们开始进入诈骗团伙网站后台：

我们看到了被黑产钓鱼团伙诈骗网民的银行卡、密码、U盾密码等信息安静的躺在后台里面。

Nmap 扫描端口后发现已开通 3306,链接 Mysql：

mysql> show databases;
+--------------------+
| Database
+--------------------+
| information_schema |
| mysql
| qiche4s0922
+--------------------+

查看相应 ROOT 权限账户密码：

qiche4s1| *EB3F79F50B794025E3C17D0EFFBA6EB5A9844A90

解密后密码为：qiche4s，之后使用 UDF 进行提权,获取远程链接端口为:51233

4）分析取证，黑客别想逃！

当我们链接到黑产团伙的一台服务器上时，我们发现了一个有趣的东西,在服务器里有一个 Default.rdp远程链接，于是我们理所当然的知道了另外一台3389服务器：

IP为98.126.96.10，端口也是51233，用户名默认为:123

调查到这里我们知道了原来黑产团伙还有多台服务器，事情这样才有趣：）

之后我们抓取了174.139.126.243管理员Hash,看看他们的密码?

123 的密码为：6tfcvgy7

我们链接第二台服务器：98.126.96.10:51233

之后我们成功进入了174.139.126.243、98.126.96.10、98.126.96.11、98.126.96.12等五六台服务器，开始着手相关文件、日志、IP记录的取证：

1、服务器日志的取证

2、wwwroot的取证

3、恶意U盾劫持EXE的取证

故事远远还没有结束，好戏在后面:D

相应取证完成，我们又在钓鱼后台嵌入了JS追踪代码：

于是我们在短短一天内收到了上十封对方Cookie等信息的邮件：

5）尾声概述

1.电话诈骗用户登录网站

2.引导用户下载恶意程序(远控,U 盾证书劫持病毒)安装

3.诱骗用户输入银行卡号以及 U 盾密码等信息

4.劫持用户财产

以上就是黑产团伙的手法，下面就是这些黑客们的IP：

115.58.103.83 -- 河南省商丘市 联通

113.57.115.20 -- 湖北省武汉市 联通

14.222.67.68 -- 广东省东莞市 电信

125.89.62.155 -- 广东省珠海市 电信

183.63.126.67 -- 广东省广州市 电信

剩下的事情我们就转交给了警察叔叔去做了：）

对于优秀的黑客来说：“也许没有能与不能，只有想与不想”

整个钓鱼诈骗事件,尽管黑产团伙精心布局也终会遭到法律的制裁，切记天网恢恢疏而不漏。

本文由知道创宇安全研究团队-Evi1m0撰写。

[原文地址]

相关内容：

针对工行诈骗黑产团伙的调查回忆录

开房数据泄露案告破 警方发现嫌犯曾参与多起网络犯罪

再论黑卡，黑吃黑，银行黑卡，超级网银签约直接转账

您的工商银行电子密码器将于次日失效？伪基站垃圾短信，网银钓鱼诈骗！

朋友点开一个文件给骗30万，一种“高级”QQ诈骗骗术，远控电脑诈骗

【防骗】又见网银诈骗，骗子冒充朋友，借口卡丢了先借你卡转账用用，揭秘！

京东 淘宝 天猫订单信息泄露诈骗, 接到“京东”的客服电话之后遭遇团伙诈骗

【讨论】今天偶遇淘宝另类“骗钱”技巧

淘宝一星期【骗】20万的可行性过程分析

【略狗血】一种结合本地程序的更加猥琐的钓鱼方式（中招率+100%）

一个反制钓鱼邮件的思路

讨论下快捷支付存在的风险

娱乐贴：打击网络诈骗 - 骗子骗钱反被骗 - 发个骗子的手法，其实还是时时彩

QQ鱼饵病毒：巧妙突破QQ客户端对钓鱼网站拦截

现在傻逼太多，骗人太好骗，淘宝搜剑灵激活码，好多10几块钱的骗子

“伪基站”任意冒用手机号短信诈骗

别对我撒谎

一个诈骗类的技术性问题,朋友的!

女士回电信诈骗电话 几秒钟时间100元话费没了

发两个qq钓鱼站点 求测试 - 乌云白帽子 XSS 实例

微信聊天都是你好友吗?“诈骗”之“微信社工学”

【姊妹花】淘宝一敬业诈骗【50和我谈了一个小时】

雇黑客攻陷招生网站改成绩 3骗子做发财梦进看守所

淘宝钓鱼诈骗，如今淘宝各个分支产业对网民不利的分支缺陷

公布一个非常高端的淘宝店铺骗局方法

【传奇】看职业骗子如何揭发谷歌广告服务的不法活动，谷歌5亿美元和解费

钓鱼之XSIO漏洞，一个非常猥琐的“漏洞”

百度搜索页面劫持脚本，百度搜索来路页面跳转劫持，骗点击

揭秘诈骗千万人民币的团伙及具体位置分析

淘宝又见好东西，低价格钓鱼几个倒霉蛋骗到手大额的款项，跑路、关店

公安部督办QQ红钻诈骗案破获 腾讯损失3000余万

接着核总的《打击钓鱼，人人有责》之后的故事...

打击钓鱼，人人有责……

XSS挖出一个黑产团体

《XSS挖出一个黑产团体》

山寨广告非法医疗搜索引擎路在何方，医疗 = 巨型诈骗军团！

401钓鱼新玩法，反向401钓鱼

骗子卖家利用淘宝交易漏洞骗流量

中斯警方联合行动抓获百名电信诈骗案嫌疑人

电话诈骗手段升级 听按键音破译银行密码

微博“兼职”被骗3000 上网“报警”又被骗1300

“钓鱼”网站横行：运营商与搜索引擎成帮凶

十一黄金周 钓鱼网站常以优惠做诈骗噱头

如何从按键音中听出360总裁周鸿祎的手机号码 + 详细剖析

男子淘宝购物10秒后接“卖家”电话 被骗7000元

非法获取百度推广账号 实施网络诈骗 篡改百度推广 市民被骗财

6000万网民一年被骗300多亿元

著名编剧宁财神被遭遇钓鱼淘宝 被骗近万元

虚假客服电话充斥互联网行骗 专家：竞价排名是祸首

电信诈骗韩国人案抓235人 涉案金额1亿多

网购158元的货物之后被网站“钓”走2万

我国警方成功摧毁特大跨国跨两岸电信诈骗犯罪集团

病毒集团盯上网络购物 在淘宝上被诈骗5.46万元

浙江绍兴一犯罪团伙用网银漏洞诈骗三百余万获刑

碰到一个冒充QQ好友进行诈骗的骗子……

QQ邮箱漏洞被骗子利用 小企鹅一闪1000块被骗走

电信诈骗，电话营销，一响挂电话，推销平安、人寿保险，冒充朋友

广东台湾两地警方联手破获电信诈骗大案

小米官网“闹鬼” 消费者买手机三千元被骗

黑客曝联通“10010短信”漏洞 被指易遭诈骗利用

惊爆！电影白蛇传说官网被挂“QQ中奖诈骗广告”！

解密电信诈骗：改号平台盗用110 日拨上万电话

67名跨国电信诈骗嫌犯从菲律宾押解回到福州

【分析】腾讯独立域名QQ空间被钓鱼，腾讯官网被黑，被植入钓鱼页面！

北京警方破获新型网络合同诈骗案

黑客盯上外贸公司业务员邮箱 入侵员工电脑 跨国诈骗案

台两15岁少年开淫窟 骗12名少女为“爱”卖身 月进300万元

【公告】警惕名为:Nuclear'Atk. QQ:424244818 冒充本人的骗子黑客

【公告】公布一个特大诈骗案件的网络“黑客”

留言评论（旧系统）：