“神起”僵尸网络的诱捕与反击(下)

2017-08-08 19:43:39 苏醒 水滴安全实验室

开篇语            


上篇文章(“神起”僵尸网络的诱捕与反击(上)中提到,粗心的黑客在微云登录界面留下了一个QQ(76*****99)号码,能否利用这个QQ号码追踪到幕后操纵者的真实身份呢?




本篇文章围绕黑产溯源展开,所有内容都来自互联网公开信息,旨在揭开神起僵尸网络背后的幕后黑手欢迎各路持有不同观点的大神拍砖交流!


信息收集            


借助搜索引擎,查询QQ号码76*****99(下文简称QQ1共搜到914条记录




搜索结果一:

发现2016-12-26 01:17通过百度贴吧在“合肥工厂吧”发布了求助帖,并留下了QQ1账号:



在此帖中发现了百度账号“带头大哥XXX(打码),原以为可以借助此账号挖掘出一些有用的信息,但发现此账号仅仅关注了“合肥蜀山区吧”、“安徽吧”,下图为该账号于2015年12月到2016年12月之间的发帖记录以及我们的一些推测。



推测一:带头大哥xxx贴吧号为目标小号

推测二:目标接触“安全技术”较早;

特侧三:目标在不断学习进步,此账号信息少,改变侧重点继续收集;


搜索结果二:

目标既然具有黑客性质,那么我们在排查时,就将排查点侧重在“黑客论坛”等性质的网站,分析得知QQ1从2012年到2015年活跃在“真牛论坛”、“易游社区”、“猴岛论坛”等,关注或发起的话题主要围绕交换黑客工具、刷钻、倒卖QQ号等,热衷“求资源”、“卖账号”。推测这一时期目标尚处于学习初期阶段,已表现出一定的获利欲望,符合黑产从业者的群体特点。

从2016年到2017年,QQ1将活跃重心转移到“独特论坛”、“猴岛论坛”, 关注或发起的话题主要围绕“扫描工具分享”、“短信轰炸”、“ddos工具”分享。这段时期目标已经收集了一定的黑客工具并了解了使用方法。




目标在独特论坛中参与帖子272个,对目标独特论坛活跃帖子进行分析,发现目标在一年半的时间内,经历了从获取黑客工具资源分享工具的“成长过程”。

具体的排查思经历了几个坑,就不再赘述,一个“黑客成长日记”作为总结



信息验证            


对收集的信息关联分析,目标在猴岛游戏论坛注册过两个账号(2012年注册一个,2015年左右注册一个)、在易游论坛以及在QQ诈骗过程中使用“4716xxx38(下文简称QQ2)”这个QQ,并发现目标常用ID为huang9222、微信号为“hskjxxx”(打码)。




根据社会工程目标创建账号中频繁使用huang1992字样,我们推测1992为目标的出生年份,huang为姓氏。借助社会工程学字典,生成目标的社工字典”,以huang9222 xx22xx密码成功登陆目标某个论坛后台:



经过前期的信息收集,可以获得以下信息:


姓名


年龄

25


微信

hskjxxx


曾居

北京


论坛

    独特       

猴岛

论坛ID

huang9222

76xxxx999

QQ

76xxxx999

471xxxx38

密码

huang9222

xx22xx


最终溯源            


每个人的隐私或多或少都会暴露互联网上,以上搜集到的信息,通过搜索引擎关联分析得到的,我们现在来验证一下,看这些信息是否真实:

借助支付宝转账,可以看到:



尝试加上目标QQ1,作为一个普通小白和他进行聊天:





通过QQ沟通发现目标长期做出租肉鸡等黑产行为,通过交谈,目标透露微信号为hskjxxx,和前期掌握的资料一致,现在已经确认前期收集的为准确资料加上目标微信,进行深度交谈:



    

文章篇幅问题,只部分聊天截图,通过沟通得知目标曾居北京年龄25岁1992年,生活QQ4716xxx38,经目标的在线沟通了解到目标拥有上千台以上肉鸡(截止时间2017年5月18日,主要从事肉鸡出租、ddos攻击等黑产服务。


为了不打草惊蛇,在追踪没有目标的生活QQ账号,但是对目标生活QQ进行分析,发现一张疑似目标的生活照:



为2017年5月18号获取,目标在前时间已删除了所有的照片,并在好友验证时添加了问题:



一张图作为总结



后续            


读到这,本篇文章已接近尾声,以往经验,事件溯源一般很难定位到具体的人,这次主要因为目标还是处于初级阶段,大量的个人信息暴露在互联网上让我们顺利溯源成功。文中若有纰漏,欢迎大神拍砖指教。




水滴安全实验室致力于僵尸网络的发现与监测,以及黑产溯源。我们会持续跟踪僵尸网络的后续进展。