本文將揭露地下黑產中最常見的掃號產業鏈, 包括從帳號收集、代理抓取、掃號、洗號、變現的完整過程。 本次主要講述針對YY直播的掃號產業鏈
近日在蜜罐中發現了一個特別的騰訊雲的ip, 這個ip通過我們蜜罐的匿名代理埠對幾個特定的ip頻繁發包, 但是資料包內容看著並無異常, 就是些常規tcp連結。
在這這個ip的80埠部著一個hfs, 奇怪的是它這個hfs中存的不是木馬遠控樣本, 也不是挖礦樣本, 而是一堆ip和埠組合
這些勾起了我們的好奇心。 正好他的hfs是有漏洞的版本, 於是就有了下面漫長的文章
1、控制駭客機器
利用hfs的代碼執行直接打下駭客的vps, 直接去到管理員的桌面, 第一眼看著機器似乎一切正常
打開前面名字為“保存資料xxx”的資料夾,
根據分類名, 猜測這些應該都是YY直播的帳號密碼。
於是為了驗證這些帳戶的真實性, 我們嘗試登陸了幾個帳號。 成功率幾乎百分之百。
如下圖:
這些分類檔裡面的帳號,都是能登陸的,而且有些帳號裡面的還剩餘有Y幣或者鑽等。粗略的計算了下,就在這一個資料夾中的賬密就有15000多條。然後在機器上發現了好幾款YY直播的掃號器。
用mimikatz抓取了管理員密碼,切換到他的桌面,掃號的程式正在瘋狂工作
嘗試運行其中的一款掃號工具,導入他vps已經掃出來的帳號,發現全部等能登錄, 這個掃號工具效率還是極其高的。
有意思的是,從資料包來看,這些掃號軟體並不是直接通過web的介面來進行掃號的,從他們的檔命名來看他們的掃號都是通過YY直播用戶端的通信協議來完成的,猜測這樣做的目的是增加掃號的速度,因為初步來看給予YY直播協議的登陸是直接通過tcp協議完成的。不用再走一層http。
在同目錄發現了config設定檔,這個檔配置的就是前面駭客的hfs位址,這就解開了之前的疑問,其實他hfs裡面的ip列表都是他收集的一些免費的匿名代理ip,用來批量導入掃號軟體中軟體開始掃號。
2、意外收穫
在這位駭客的vps上面發現了“百度雲盤的軟體”,打開他的百度雲軟體,他居然記住了密碼,我們也就順著這條路深挖了一下。
他的百度運帳號裡面存放著大量的外掛、帳號資料、以及一些掃號的源碼。
在一個資料夾為400萬的資料夾中發現了存放著380多萬的YY帳號和密碼的檔
初步懷疑這些帳號密碼是之前YY洩露過的一部分
這些賬密都是十分整齊的排列,隨機挑選其中的帳號也是有能夠登陸的,這些應該就是掃號的的基礎資料來源了。後來也證實了這的確是是之前yy洩漏的老資料(這部分後面會寫)
到此已經找到這個駭客的掃號的資料來源、掃號工具、掃號方式。但是,我們依然對他這380萬的帳號來源和他後續這些帳號怎麼變現非常感興趣,於是就有了後續一系列的操縱。
0x02 溯源+社工1、輕鬆的溯源
為了瞭解他們整個產業鏈我決定加他的qq。加他之前對他進行了深入瞭解,前面說這個駭客確實大意了,在他的vps百度雲是記住密碼的,於是乎我們的溯源就容易多了。
看到炫酷的OPPO r7s 這個明顯是他的手機傳上來的,
這就是小駭客的樣子,還是個萌萌噠的小鮮肉,他是在山東濰坊某學校上學
最後在他的自己的定點陣圖發現了他讀的學校,某某科技學院
這個駭客可真大意,繼續翻他的相冊
發現了他的兩個qq號,分別是281********、3338*******
然後通過他的從百度雲帳號,我們能夠輔助的判斷他最常用的qq大號,就是這個2開頭的qq號
這位駭客自己還成立一個叫“涼心科技的”公司(然而經過查詢並沒有註冊在案),還在做免流的生意
順帶在他的qq空間暴露了他的年齡,還是個多愁善感的小夥。
在他使用校園上網軟體中麼也發現了他的姓名,
通過和他的vps的3389密碼對比,發現他vps的密碼的開頭就是姓名的縮寫
側面也印證這個叫張某濤的人就是那個掃號駭客
匯總後,資訊總結如下:
姓名:張*濤
年齡:18
常用QQ:281*******、333*******
學校:****科技學院
主要產業:掃號、免流、遊戲外掛
2、強行社工
掌握了這些資訊後,我覺得足以嚇唬到他了,於是以合作的名義加他。
我直接表明了我就是之前黑掉他伺服器的人,想找他合作搞YY直播帳號。
開始他還很有防備半信半疑,我然後抖了關於他的很多的個人資訊。
他立馬態度大變,還要拜師學習駭客技術,於是就在他面前強行吹了波逼,加強了他對我的信任。(他始終都沒反應過來他的人資訊我是從他百度雲扒下來的 :) )
0x02 基礎資料的來源
得到他的信任之後,我就和他交流了一些問題,首先,就是他那380萬的帳號的來源,果然就是之前洩露過的那一批之中的
0x03 洗號變現
從他這裡也瞭解到YY直播怎麼洗號變現的,他其實不是整個鏈條的最後一環節,他只是其中一環,他只把掃出來的帳號,賣給下家,自己就不管了。行情大概是100元1萬個普通的yy帳號
有YY幣的帳號另算。大概是按10:4賣給下家,下家就直接給主播刷禮物,然後主播從YY的官方把禮物按比列體現成錢,到此yy幣就變百花花銀子了。
而那些沒有錢的YY帳號,這些人就會用批量掛號軟體,批量進入主播瀕道,為主播增加觀看人數從而達到刷人氣的目的。(有些主播可能是洗號的人自己開的,也可能是和一些主播合作然後分成)
通過這位駭客介紹,找到了洗號的下家,有序是熟人介紹,這個人對我很是信任,從他那裡也證實了這位駭客之前說的,我說我有大量的YY帳號找他合作。
他直接仍給我一個批量刷禮物的軟體,說是測試版本,證明他的實力。
從這個軟體資料包來看,當要查詢幣數量和批量送禮物的時候就需要走http協定了。
至此整個產業鏈,也就完整的呈現出來了
1、人在做天在看,幹壞事總會留下痕跡的,當然這肯定只是掃號產業中很小的一部分。
2、掃號這種產業一直都是伴隨著整個互聯網的,針對這些掃號的駭客,甲方的風控壓力確實不小,要和這些黑產對抗,甲方的要走的路還很長
3、順帶說一句現在各大的雲計算平臺真的是成了各種駭客的保護地,上面什麼樣的黑產都有,也許要打擊這些黑產,這些雲平臺也許應該負點責任了
*本文作者:路人甲@360雲影實驗室
這些分類檔裡面的帳號,都是能登陸的,而且有些帳號裡面的還剩餘有Y幣或者鑽等。粗略的計算了下,就在這一個資料夾中的賬密就有15000多條。然後在機器上發現了好幾款YY直播的掃號器。
用mimikatz抓取了管理員密碼,切換到他的桌面,掃號的程式正在瘋狂工作
嘗試運行其中的一款掃號工具,導入他vps已經掃出來的帳號,發現全部等能登錄, 這個掃號工具效率還是極其高的。
有意思的是,從資料包來看,這些掃號軟體並不是直接通過web的介面來進行掃號的,從他們的檔命名來看他們的掃號都是通過YY直播用戶端的通信協議來完成的,猜測這樣做的目的是增加掃號的速度,因為初步來看給予YY直播協議的登陸是直接通過tcp協議完成的。不用再走一層http。
在同目錄發現了config設定檔,這個檔配置的就是前面駭客的hfs位址,這就解開了之前的疑問,其實他hfs裡面的ip列表都是他收集的一些免費的匿名代理ip,用來批量導入掃號軟體中軟體開始掃號。
2、意外收穫
在這位駭客的vps上面發現了“百度雲盤的軟體”,打開他的百度雲軟體,他居然記住了密碼,我們也就順著這條路深挖了一下。
他的百度運帳號裡面存放著大量的外掛、帳號資料、以及一些掃號的源碼。
在一個資料夾為400萬的資料夾中發現了存放著380多萬的YY帳號和密碼的檔
初步懷疑這些帳號密碼是之前YY洩露過的一部分
這些賬密都是十分整齊的排列,隨機挑選其中的帳號也是有能夠登陸的,這些應該就是掃號的的基礎資料來源了。後來也證實了這的確是是之前yy洩漏的老資料(這部分後面會寫)
到此已經找到這個駭客的掃號的資料來源、掃號工具、掃號方式。但是,我們依然對他這380萬的帳號來源和他後續這些帳號怎麼變現非常感興趣,於是就有了後續一系列的操縱。
0x02 溯源+社工1、輕鬆的溯源
為了瞭解他們整個產業鏈我決定加他的qq。加他之前對他進行了深入瞭解,前面說這個駭客確實大意了,在他的vps百度雲是記住密碼的,於是乎我們的溯源就容易多了。
看到炫酷的OPPO r7s 這個明顯是他的手機傳上來的,
這就是小駭客的樣子,還是個萌萌噠的小鮮肉,他是在山東濰坊某學校上學
最後在他的自己的定點陣圖發現了他讀的學校,某某科技學院
這個駭客可真大意,繼續翻他的相冊
發現了他的兩個qq號,分別是281********、3338*******
然後通過他的從百度雲帳號,我們能夠輔助的判斷他最常用的qq大號,就是這個2開頭的qq號
這位駭客自己還成立一個叫“涼心科技的”公司(然而經過查詢並沒有註冊在案),還在做免流的生意
順帶在他的qq空間暴露了他的年齡,還是個多愁善感的小夥。
在他使用校園上網軟體中麼也發現了他的姓名,
通過和他的vps的3389密碼對比,發現他vps的密碼的開頭就是姓名的縮寫
側面也印證這個叫張某濤的人就是那個掃號駭客
匯總後,資訊總結如下:
姓名:張*濤
年齡:18
常用QQ:281*******、333*******
學校:****科技學院
主要產業:掃號、免流、遊戲外掛
2、強行社工
掌握了這些資訊後,我覺得足以嚇唬到他了,於是以合作的名義加他。
我直接表明了我就是之前黑掉他伺服器的人,想找他合作搞YY直播帳號。
開始他還很有防備半信半疑,我然後抖了關於他的很多的個人資訊。
他立馬態度大變,還要拜師學習駭客技術,於是就在他面前強行吹了波逼,加強了他對我的信任。(他始終都沒反應過來他的人資訊我是從他百度雲扒下來的 :) )
0x02 基礎資料的來源
得到他的信任之後,我就和他交流了一些問題,首先,就是他那380萬的帳號的來源,果然就是之前洩露過的那一批之中的
0x03 洗號變現
從他這裡也瞭解到YY直播怎麼洗號變現的,他其實不是整個鏈條的最後一環節,他只是其中一環,他只把掃出來的帳號,賣給下家,自己就不管了。行情大概是100元1萬個普通的yy帳號
有YY幣的帳號另算。大概是按10:4賣給下家,下家就直接給主播刷禮物,然後主播從YY的官方把禮物按比列體現成錢,到此yy幣就變百花花銀子了。
而那些沒有錢的YY帳號,這些人就會用批量掛號軟體,批量進入主播瀕道,為主播增加觀看人數從而達到刷人氣的目的。(有些主播可能是洗號的人自己開的,也可能是和一些主播合作然後分成)
通過這位駭客介紹,找到了洗號的下家,有序是熟人介紹,這個人對我很是信任,從他那裡也證實了這位駭客之前說的,我說我有大量的YY帳號找他合作。
他直接仍給我一個批量刷禮物的軟體,說是測試版本,證明他的實力。
從這個軟體資料包來看,當要查詢幣數量和批量送禮物的時候就需要走http協定了。
至此整個產業鏈,也就完整的呈現出來了
1、人在做天在看,幹壞事總會留下痕跡的,當然這肯定只是掃號產業中很小的一部分。
2、掃號這種產業一直都是伴隨著整個互聯網的,針對這些掃號的駭客,甲方的風控壓力確實不小,要和這些黑產對抗,甲方的要走的路還很長
3、順帶說一句現在各大的雲計算平臺真的是成了各種駭客的保護地,上面什麼樣的黑產都有,也許要打擊這些黑產,這些雲平臺也許應該負點責任了
*本文作者:路人甲@360雲影實驗室