華文網

冒充最高檢網路電信詐騙之追溯

詐騙,跟生物的歷史一樣長,而且永遠都會存在。每當人類拓展出一片新的生存環境,詐騙也立即隨之而來生根發芽。如今,有了網路,由於不受地域和時間的限制,詐騙更能玩得花樣百出,

讓人歎為觀止,挑戰的只有人的想像力,360天眼實驗室的前一篇文章分析的巧妙操縱受害者的電信補卡攻擊即為一例。但是,不管方法手段如何,利用的始終都是人性的弱點:恐懼和貪婪。

貪婪會讓你相信香港富商的漂亮妻子竟能出來借腹生子,所以也就有了成語利令智昏。而恐懼的威力則更為強大,特別是來自我國最高檢查院的可能直接威脅人身和財產安全的問罪,

沒錯,今天給大家揭露的就是當前最火的冒充最高檢的財務詐騙。

問題有多嚴重

讓我們看看就在前兩天剛發出來的一個新聞:

注意,這些詐騙所得幾乎是純利,對比一下:國內整個安全市場也就百億的規模,純利可能都到不了那個數,

這就能理解黑產為什麼會有那麼強的動機和能力,為什麼大陸警方會不遠萬里跑到非洲的肯亞去抓人。

看看大陸與臺灣近期在人員管轄權上的過招,電信詐騙影響已經不僅局限於經濟領域,甚至開始對兩岸的關係造成影響。

詐騙犯怎麼做的呢,下面的新聞內容說了個大概:

下面,360天眼實驗室依靠威脅情報中心的資料向大家展示更多的細節。

基本套路

電信詐騙有很多套路,

下面的這個流程只是其中之一,實際的過程往往比下面這些簡單的描述要狗血得多。

1、詐騙犯一般會從不法分子手中買入一些個人資訊,對資訊進行篩選,這可以理解為一個單方向的面試過程,當然,面試通過的話你就要倒楣了。

2、對篩選出來的目標通過如下這樣的網路傳真平臺發詐騙短信,或者直接通過VOIP撥打詐騙電話。

3、通常的話術,詐騙犯一般會說你有一個快遞沒有收取或者其他的藉口和你搭話,會告訴你身份證可能被人盜用,讓你去撥打公安局的電話。他會誘導你撥打114查公安局的電話,然後掛斷電話說待會公安局的警官會和你聯繫。之後,他們會用改號軟體改成114能查到的當地公安電話號碼來電,

此時如果你用114查過號碼的話就會以為真的來自公安局。

4、好了,通過上面這步,基本的信任有了。對方會讓你去一個安靜的地方接聽電話,不能告訴任何人,然後會通知你一個案件編號,引導你去他們提供的假冒最高檢網站上去查詢你的案件資訊。當然,你的所謂涉案法律文書早就為你準備好了,你一查詢就能看到。

5、到這兒,考驗智商和社會經驗的時候到了,你如果信以為真任由恐懼操縱,等著你的就會是個大坑。對方會指示你配合他們進行資產清查,就是讓你把銀行卡裡的錢轉到所謂的安全帳戶。為了得到你的認證資訊,對方會讓你去假冒的最高檢網站去填一個表格,當然會包括開戶行、銀行卡號、身份證號、銀行卡密碼和U盾密碼等。光認證資訊還不夠,對方還會讓你下載一個什麼安全控制項(也就是定制過加了料的Teamviewer遠控服務端)運行。木馬運行以後會把登錄ID和密碼發送給對方,Teamviewer的程式打的有正常軟體公司的數位簽章,所以能很輕鬆的繞過殺毒軟體。

6、好了,對方這時既知道了你的銀行卡資訊又能操縱你的電腦。接下來就得真的開始弄錢了,對方會讓你插上U盾,去用你之前填的銀行卡的資訊去查看餘額幫你轉帳,當然會編個理由讓你不要看電腦螢幕。如果需要按U盾進行一次確認的話,對方會讓你按下U盾或者一直按著U盾的確認鍵來完成轉帳操作,這個過程中電話是一直不會掛掉且你會著了魔一樣全程配合,多麼奇妙的世界。

7、當所有的錢都轉帳成功後,他們會把電話掛掉,因為這個號碼是通過VOIP電話打的,所以你回撥過去也打不通,也找不到人。受害者就這麼苦逼的被騙得身無分文,有的受害者知道真相後,往往接受不了會輕生,這又真的是個殘酷的世界。

套路圖示如下:

詐騙團夥一般會有如下分工:

2、實施電話詐騙的人。

3、負責轉帳的人,他們需要在大陸買身份證和銀行卡,把現金迅速從一張卡轉到無數張卡中。

4、負責去取款機取錢的人。

5、提供詐騙工具的人,比如定制Teamviewer木馬、使用改號軟體和偽造檢察院的網站系統。

6、做免殺的人,一般是通過簽發正常的數位憑證來逃避殺軟的檢測。

7、註冊功能變數名稱和虛擬主機的人,因為功能變數名稱很容易被殺毒軟體攔截,所以需要定期的更換功能變數名稱和服務區,這些都是網站後臺維護人員做的工作。

追溯

釣魚與恐嚇

查詢360威脅情報中心的黑URL 庫很容易就能在各種釣魚網站中發現我們關注的目標:中華人民共和國最高人民檢察院冒充網站。

下面的網址是眾多中的一個:http://392.5784939.com/。打開網站會要求讓輸入一個案件編號:

進入之後,顯示一個和檢察院一模一樣的網站介面,不注意功能變數名稱的話完全以假亂真。如圖:

詐騙犯會提示從這個網站上下載一個檢察院徽章圖示的所謂安全監控軟體,這個軟體其實是一個定制版本的Teamviewer服務端,其中預置了口令,受害者執行後,詐騙犯會找受害者要ID,受害者把ID告訴詐騙犯後,詐騙犯會去用Teamviewer輸入該ID和預製的口令連接到受害者的機器,受害者的機器就直接落入詐騙犯之手。軟體介面:

可以在Teamviewer的官網定制:

還有被木馬作者修改後的這種工具,被修改後的工具我們在後面詳細分析,讓我們再回到那個釣魚網站上來,運氣不錯,我們拿掃描器找到了後臺管理介面:

http://392.5784939.com/****/admin/default.asp

這還不夠,我們還猜到了用戶名口令,其實不複雜:admin/admin888 。進去以後發現一個意外的小禮物,管理頁面被掛了利用CVE-2014-6332漏洞的馬,函數名童叟無欺:runmumaa,如圖。

很明顯,會從 http://google.giveyoucolortoseesee(.)com/Windows.KB59826158.exe 下載看起來像Windows補丁的程式執行,連接 test.ko3c.com 做C&C通信,完成各種木馬功能。功能變數名稱註冊資訊如下:

功能變數名稱和木馬我們就不分析了,有興趣的同學自己可以挖挖看。猜猜掛馬的目的是什麼?黑吃黑?搞非授權訪問的人?

再回過頭來看從後臺我們能看到些什麼,看起來釣到了不少身份證號、銀行卡帳號和密碼:

這些資料是受害者從“網上清查”這個連結進入到一個頁面後填進去的:

除了釣魚得到的這些資訊,更重要的是那些已經內置的資料,詐騙犯事先添加好的目標案件,包括案件名稱、編號、身份證號:

還有用身份證的頭像照片製作的假冒檢察院公文:

可能會有人好奇身份證頭像照片怎麼會在這個通輯令上?因為詐騙犯在拿到姓名、身份證號後,可以通過某些介面下載獲取不打網格的身份證頭像。在假冒最高檢網頁找到的受害者查詢自己是否“涉嫌犯罪”的入口地址為:http://392.5784939.com/main/ajcs/ajgl.asp ,介面如圖:

輸入詐騙犯告之受害者的的案件編號和受害者身份證號,可以查詢是否真的被通緝

挺唬人的是不是?一般沒見識的真有可能嚇尿,更相信詐騙犯的話術,從而對他們進一步的指令言聽計從,因為裡面的涉及照片和名字還有身份證號,都是準確無誤的。

遠控木馬

我們檢查了從釣魚網站下回來的那個Teamviewer遠控,在360威脅情報中心的資料庫中通過檔案名和圖示做關聯樣本分析,發現了一堆同源樣本:

其中一些帶了一個數位簽章:

如之前所說,這是一個被木馬作者修改和重新封包後的Teamviewer安裝包:

安裝成功後,安裝目錄下的所有的檔,其中包括Teamviewer的正常檔和木馬作者寫的執行後門功能的檔:

桌面的快捷方式指向StartTm.exe :

該樣本會把同目錄下的StartTmSrv.exe帶參數(/install /silent)靜默運行起來,如圖:

而StartTmSrv.exe會運行起來同目錄下的Procuratorate.exe,會定時從http://server-teamviewer.com/update/StartTm/ 下載更新檔,如圖為所提取的字串,server-teamviewer.com功能變數名稱為假冒的正常網站:

同目錄下的Procuratorate.exe運行起來後會載入同目錄下的LoadResource.dll,同時運行起來真正的teamviewer的服務進程tv_w32.exe和隱藏teamviewer視窗的進程hdnWnd.exe,然後該進程會去讀取同目錄下的設定檔main.ini中的serverip鍵值,把獲取到的teamviewer的ID、密碼和網卡的MAC發送到伺服器,下圖為設定檔指定的IP,和發送資料包到該IP的資料包截圖:

使用最新版的Teamviewer去連接木馬發送出去的ID和密碼,發現不但能連接過去控制電腦,而且和正常的Teamviewer不一樣的是在右下角沒有任何提示的視窗,而且找不到任何使被害者結束被詐騙犯控制的按鈕,如圖:

木馬大致的執行流程圖如下:

最後的話

本文只是對冒充最高檢的詐騙案件中部分技術層面的東西做了剖析,遠沒有涉及這套詐騙的全流程細節,對黑產學習瞭解永無止境。

每當分析這類詐騙案例時,特別是回顧整個過程中的狗血交互時,我們總會驚詫于受害者的愚蠢和輕信,然而在基數夠大的情況下總能找到足夠多的物件。因此,除了盡可能地向潛在的受害物件傳播詐騙團夥的套路以外,對詐騙團夥的強力打擊也必須跟上。這個,遠不是技術層面上可以解決的問題。

儘管對手用了很多花招對抗偵察,其實只要統籌多方面的資料分析定位詐騙團夥技術上並沒有想像的那麼困難。可是,技術手段有它的邊界,當我們定位到了犯罪分子,而對其採取現實中的行動卻會發現往往超出了辦案方的管轄能力。唯有擱置眼前利益之爭的合作連接才有可能緩解問題,這也是今年RSA的主題。

* 作者:360天眼實驗室(企業帳號),轉載請注明來自FreeBuf駭客與極客(FreeBuf.COM)

等著你的就會是個大坑。對方會指示你配合他們進行資產清查,就是讓你把銀行卡裡的錢轉到所謂的安全帳戶。為了得到你的認證資訊,對方會讓你去假冒的最高檢網站去填一個表格,當然會包括開戶行、銀行卡號、身份證號、銀行卡密碼和U盾密碼等。光認證資訊還不夠,對方還會讓你下載一個什麼安全控制項(也就是定制過加了料的Teamviewer遠控服務端)運行。木馬運行以後會把登錄ID和密碼發送給對方,Teamviewer的程式打的有正常軟體公司的數位簽章,所以能很輕鬆的繞過殺毒軟體。

6、好了,對方這時既知道了你的銀行卡資訊又能操縱你的電腦。接下來就得真的開始弄錢了,對方會讓你插上U盾,去用你之前填的銀行卡的資訊去查看餘額幫你轉帳,當然會編個理由讓你不要看電腦螢幕。如果需要按U盾進行一次確認的話,對方會讓你按下U盾或者一直按著U盾的確認鍵來完成轉帳操作,這個過程中電話是一直不會掛掉且你會著了魔一樣全程配合,多麼奇妙的世界。

7、當所有的錢都轉帳成功後,他們會把電話掛掉,因為這個號碼是通過VOIP電話打的,所以你回撥過去也打不通,也找不到人。受害者就這麼苦逼的被騙得身無分文,有的受害者知道真相後,往往接受不了會輕生,這又真的是個殘酷的世界。

套路圖示如下:

詐騙團夥一般會有如下分工:

2、實施電話詐騙的人。

3、負責轉帳的人,他們需要在大陸買身份證和銀行卡,把現金迅速從一張卡轉到無數張卡中。

4、負責去取款機取錢的人。

5、提供詐騙工具的人,比如定制Teamviewer木馬、使用改號軟體和偽造檢察院的網站系統。

6、做免殺的人,一般是通過簽發正常的數位憑證來逃避殺軟的檢測。

7、註冊功能變數名稱和虛擬主機的人,因為功能變數名稱很容易被殺毒軟體攔截,所以需要定期的更換功能變數名稱和服務區,這些都是網站後臺維護人員做的工作。

追溯

釣魚與恐嚇

查詢360威脅情報中心的黑URL 庫很容易就能在各種釣魚網站中發現我們關注的目標:中華人民共和國最高人民檢察院冒充網站。

下面的網址是眾多中的一個:http://392.5784939.com/。打開網站會要求讓輸入一個案件編號:

進入之後,顯示一個和檢察院一模一樣的網站介面,不注意功能變數名稱的話完全以假亂真。如圖:

詐騙犯會提示從這個網站上下載一個檢察院徽章圖示的所謂安全監控軟體,這個軟體其實是一個定制版本的Teamviewer服務端,其中預置了口令,受害者執行後,詐騙犯會找受害者要ID,受害者把ID告訴詐騙犯後,詐騙犯會去用Teamviewer輸入該ID和預製的口令連接到受害者的機器,受害者的機器就直接落入詐騙犯之手。軟體介面:

可以在Teamviewer的官網定制:

還有被木馬作者修改後的這種工具,被修改後的工具我們在後面詳細分析,讓我們再回到那個釣魚網站上來,運氣不錯,我們拿掃描器找到了後臺管理介面:

http://392.5784939.com/****/admin/default.asp

這還不夠,我們還猜到了用戶名口令,其實不複雜:admin/admin888 。進去以後發現一個意外的小禮物,管理頁面被掛了利用CVE-2014-6332漏洞的馬,函數名童叟無欺:runmumaa,如圖。

很明顯,會從 http://google.giveyoucolortoseesee(.)com/Windows.KB59826158.exe 下載看起來像Windows補丁的程式執行,連接 test.ko3c.com 做C&C通信,完成各種木馬功能。功能變數名稱註冊資訊如下:

功能變數名稱和木馬我們就不分析了,有興趣的同學自己可以挖挖看。猜猜掛馬的目的是什麼?黑吃黑?搞非授權訪問的人?

再回過頭來看從後臺我們能看到些什麼,看起來釣到了不少身份證號、銀行卡帳號和密碼:

這些資料是受害者從“網上清查”這個連結進入到一個頁面後填進去的:

除了釣魚得到的這些資訊,更重要的是那些已經內置的資料,詐騙犯事先添加好的目標案件,包括案件名稱、編號、身份證號:

還有用身份證的頭像照片製作的假冒檢察院公文:

可能會有人好奇身份證頭像照片怎麼會在這個通輯令上?因為詐騙犯在拿到姓名、身份證號後,可以通過某些介面下載獲取不打網格的身份證頭像。在假冒最高檢網頁找到的受害者查詢自己是否“涉嫌犯罪”的入口地址為:http://392.5784939.com/main/ajcs/ajgl.asp ,介面如圖:

輸入詐騙犯告之受害者的的案件編號和受害者身份證號,可以查詢是否真的被通緝

挺唬人的是不是?一般沒見識的真有可能嚇尿,更相信詐騙犯的話術,從而對他們進一步的指令言聽計從,因為裡面的涉及照片和名字還有身份證號,都是準確無誤的。

遠控木馬

我們檢查了從釣魚網站下回來的那個Teamviewer遠控,在360威脅情報中心的資料庫中通過檔案名和圖示做關聯樣本分析,發現了一堆同源樣本:

其中一些帶了一個數位簽章:

如之前所說,這是一個被木馬作者修改和重新封包後的Teamviewer安裝包:

安裝成功後,安裝目錄下的所有的檔,其中包括Teamviewer的正常檔和木馬作者寫的執行後門功能的檔:

桌面的快捷方式指向StartTm.exe :

該樣本會把同目錄下的StartTmSrv.exe帶參數(/install /silent)靜默運行起來,如圖:

而StartTmSrv.exe會運行起來同目錄下的Procuratorate.exe,會定時從http://server-teamviewer.com/update/StartTm/ 下載更新檔,如圖為所提取的字串,server-teamviewer.com功能變數名稱為假冒的正常網站:

同目錄下的Procuratorate.exe運行起來後會載入同目錄下的LoadResource.dll,同時運行起來真正的teamviewer的服務進程tv_w32.exe和隱藏teamviewer視窗的進程hdnWnd.exe,然後該進程會去讀取同目錄下的設定檔main.ini中的serverip鍵值,把獲取到的teamviewer的ID、密碼和網卡的MAC發送到伺服器,下圖為設定檔指定的IP,和發送資料包到該IP的資料包截圖:

使用最新版的Teamviewer去連接木馬發送出去的ID和密碼,發現不但能連接過去控制電腦,而且和正常的Teamviewer不一樣的是在右下角沒有任何提示的視窗,而且找不到任何使被害者結束被詐騙犯控制的按鈕,如圖:

木馬大致的執行流程圖如下:

最後的話

本文只是對冒充最高檢的詐騙案件中部分技術層面的東西做了剖析,遠沒有涉及這套詐騙的全流程細節,對黑產學習瞭解永無止境。

每當分析這類詐騙案例時,特別是回顧整個過程中的狗血交互時,我們總會驚詫于受害者的愚蠢和輕信,然而在基數夠大的情況下總能找到足夠多的物件。因此,除了盡可能地向潛在的受害物件傳播詐騙團夥的套路以外,對詐騙團夥的強力打擊也必須跟上。這個,遠不是技術層面上可以解決的問題。

儘管對手用了很多花招對抗偵察,其實只要統籌多方面的資料分析定位詐騙團夥技術上並沒有想像的那麼困難。可是,技術手段有它的邊界,當我們定位到了犯罪分子,而對其採取現實中的行動卻會發現往往超出了辦案方的管轄能力。唯有擱置眼前利益之爭的合作連接才有可能緩解問題,這也是今年RSA的主題。

* 作者:360天眼實驗室(企業帳號),轉載請注明來自FreeBuf駭客與極客(FreeBuf.COM)