共计 10516 个字符,预计需要花费 27 分钟才能阅读完成。
T00ls 管理团队注:本文于 2016 年 10 月 31 日下午 15 点多投稿至 T00ls 管理邮箱,对于文章内容我们持部分肯定部分质疑态度,某些黑产团队的不择手段我们是了解部分的,但是是不是如文中所写的所谓中国最大,我们表示观望。另外声明下:不排除这些团队有部分人潜伏在 T00ls 偷学技术,但是 T00ls 官方与这些毫无联系。希望有关部门能彻底查一查,这些黑产团队才是网络安全技术发展的最大敌人。
×一. 起因 对这件事情的起因是某天我日了一个大战(耗时很久的),第二天进 webshell 时就发现,当前目录出现了新的后门,仔细一查,发现是 BC 团伙干的,网站被全局劫持黑帽程序如下代码
https://www.so.com/s?q=%E5%A8%B1 … newhome&adv_t=d
看上去是针对 360 的,通过 360 去搜索 site 网站赌博相关的关键字出现的结果我惊呆了!!!!居然非常多的站被劫持,而且其中包括我渗透测试的不少站,看上去就像 360 自己控制的排名一样,其实是非法份子利用了 360 的算法漏洞。通过收录时间发现在 2014 年开始出现的,也就是说这个问题已经存在了多年之久,至今才暴露出来。
接下来我就开展了所有疑问的调查,因为这些东西被利用对社会影响实在太大,不仅仅我是唯一的受害者,而是这个安全圈子的所有人。×二. 调查 找到幕后团伙查大马问题分析团伙的后门特征
1. 我对我手里的 shell 进行了一遍梳理,首先是对后门进行新的地址修改,原来的后门地址放上了 js 代码,其中记录的是相关指纹信息,以及各大网站的 json 获取。此时就是静静的等待。2. 我对大马又进行了一遍分析,所有代码读烂了也没任何问题,同时对马进行了抓包分析,没有任何外部请求,因为一直没发现问题,我特意进行了长达一周的数据包监控,还是没有任何结果。这时候就非常纳闷,既然马没有问题,为什么人家可以获取到我的所有后门,电脑被入侵?我的网络环境除了 http 不能做任何协议请求,而我的后门都在这台 linux 里保存,这点也可以排除。只好再想想是不是哪里疏忽了。3. 被团队劫持过的站,我都检查了一遍,每个站的所有文件创建时间都会被他们更新到入侵时间,这刚好符合了特征,也就是刚被他们入侵过的站
如图特征,几乎每个站被入侵后所有创建时间都会更新一次之后对他们自己的后门进行了采集样本,新的进展出现了,一共发现 2 波不同的团伙,但使用的大马均为一类。看附件 1 我对他的马进行了解密审计后发现了他们自己记录大马后门的箱子地址 api.fwqadmin.com,暂时收集着,此时…因为有了新的线索,所以后面再对这个进行渗透。×三. 进展 经过两天的等待,终于得到了团伙的指纹信息以及 QQ 号,然后我就开启大神模式,进行了一顿乱射后,可以确认此人真实信息了(圈内叫老袁),之后我申请了一个小 QQ,匿名的加了一些 bc 导航网站上的 qq, 问了好几个人,可能因为他们是同行,我一问大多数都认识,后来我以我也是做 BC 的名义和他们进行深度沟通,沟通中透露这团伙的 shell 都是收购来的,一个月收入水平在几百万人名币,是否真实就不得而知了。目前基本可以确认我的判断没有错误,老袁就是现在要查的目标唯一的线索。我对被团伙做劫持的所有站进行了采集,还有跳转到他们导航的域名。首先对那些不是我的站进行了渗透入侵采集后门样本,看到里面有个和我类似的大马,但是核心变量结构不一样,我下载回来进行审计抓包同样没问题,后来对比特征,发现大马请求的 POST 参数都是一样的 gopwd= 密码 &godir=
这样的特征相同,马都没异常,这时候初步判断是上层网络出现问题,通过流量提取大马特征的地址,如果真是这样就太可怕了。我联系到老袁了,和他进行了一些盘问的沟通,感觉到他很害怕,他说别搞他,他以前做诈骗的。后来发了一些 shell 地址给我来买好我,如下列表:下面是 星际团队的http://www.copperhome.net/file/avatar/31/cb/index.php?1=1&f=kHyhbokskjGrsjhjM8hsL_hgshgKhttp://www.212200.com/mocuz/down … e.php?1=2&Z=OpmHys7sa5wrKKO00GSBtashras28asNNmsn18http://www.dailiba.com/about/index.php?v=1Tmbdcuu123uualltophttp://www.chinaunix.net/mysql/tmp/hoem.php?1=1&f=kHyhbokskjGrsjhjM8hsL_hgshgKhttp://domarketing.org/phpsso_se … ons/index.php?v=2ssytsadAskLs27ssJsjdasd2sShttp://www.baby-edu.com/member/a … /box/index.php?v=qwytsadAskLs27ssJsjdasd2sShttp://www.hongze365.com/data/avatar/1/f/1.g if?1=2&GSW=CurryTTrsfsdh748jsusyKKOystw889sbcthttp://www.xiashanet.com/Head_Fo … ?1=2&BAT=HEHEDE77iasyw00aUUSImmsb64682301jMM!!!Qkohttp://www.hbmykjxy.cn/2015/0106/4589.php?1=2&GSW=CurryTTrsfsdh748jsusyKKOystw889sbcthttp://www.copperhome.net/file/avatar/31/cb/index.php?1=1&f=kHyhbokskjGrsjhjM8hsL_hgshgKhttp://www.dailiba.com/about/index.php?v=1Tmbdcuu123uualltophttp://www.hubeifc.com/phpcms/mo … mentl_api.class.phpUTF8http://domarketing.org/phpsso_se … ons/index.php?v=2ssytsadAskLs27ssJsjdasd2sShttp://www.huse.edu.cn/phpsso_se … condif.inc.php?v=sdytsadAskLs27ssJsjdasd2sShttp://www.xiashanet.com/Head_Fo … ?1=2&BAT=HEHEDE77iasyw00aUUSImmsb64682301jMM!!!Qkohttp://www.hbmykjxy.cn/2015/0106/4589.php?1=2&GSW=CurryTTrsfsdh748jsusyKKOystw889sbcthttp://www.hongze365.com/data/avatar/1/f/1.g if?1=2&GSW=CurryTTrsfsdh748jsusyKKOystw889sbcthttp://bbs.fish3000.com/mobcent/ … .php?1=2&TD=SASUUys78tasdRhasd00iasdyTGGgahshttp://bbs.dqdaily.com/uc_server … hp?1=2&sha=shan7yJJN730%1&uqYYqwhkkasII17vcxQ1mzaPQhn8!Phttp://www.aquasmart.cn/member/f … end.php?1=1&f=kHyhbokskjGrsjhjM8hsL_hgshgKhttp://www.yangji.com/member/edi … ?1=2&BAT=HEHEDE77iasyw00aUUSImmsb64682301jMM!!!Qkohttp://www.shenma66.com/nvzhubo/ … hiboshipin/inde.php7yhaw1woAksmjh892jsasd1sajghttp://www.shenma66.com/nvzhubo/ … hiboshipin/inde.php7yhaw1woAksmjh892jsasd1sajghttp://bbs.taisha.org/pms/data/t … pl.php?baidu=Googleerk12hj3nfher71h3j4k132bnnebr3hg4134http://www.168w.cc/api/map/baidu/baidu.php?1=1&f=kHyhbokskjGrsjhjM8hsL_hgshgKhttp://www.dibaichina.com/goldca … ?1=1&baidu=.comTmbdcuu123uualltophttp://www.ijcz.cn/module/brandj … p?1=2&BK=ManUtdYIasdwj78954qwtyVVJsarwhahuyrwvsllps2http://www.xiashanet.com/Head_Fo … ?1=2&BAT=HEHEDE77iasyw00aUUSImmsb64682301jMM!!!Qkoshttp://www.hotpoll.com.cn/i/index.php?v=111heiheideheihei 星际团队是什么鬼?难不成又是做 bc 的?我深入问了他之后,才发现,这些 shell 都是另一个做 bc 的,说是 bc 圈子最大的团伙,这时候感觉水越来越深,又有了新方向,对这件事越来越有兴趣了,看看又是些什么人。不过现在我的目标还在老袁身上,我得找到卖他 shell 的人,后来恐吓之后告诉了我,我也叫他提供了交易证据。我会放到后面取证部分。虽说有了 shell 卖家的联系方式,可是迟迟没添加上。这时候我又采取了另一种思路,钓鱼取证,老套路,还是在大马地址上 js
json,上面贴了几段字《add me email:xxx@xxx.com I will give you all
webshell》让老袁发给让他主动联系我,后来果真访问了几个 webshell 的地址,同时也抓取到了真实 pc 指纹以及代理的指纹,他的 qq 名为:一切安好,之后他主动联系到我通过沟通他说我是星际团队的吧,收到你发的邮件了,这时候我就很好奇了,莫非星际团队也找到他了?然后来恐吓我,说要抓你们,已经调查了一年了,这时候我心一想,水真深,查来查去的到底是谁在查谁呢。不过他肯定是瞒不过我的,因为我也有了他卖 shell 的证据,不过意想不到的是他说他背后都是省厅的人,你以为这些 shell 都是怎么来的?都是国家机器提取的,我勒个去,国家会干这种事吗?国家提取网站记录我是信,isp 保留日志也是 1 年,至于批量提取全国网站访问特征拿出来卖这我不信了,要么就是黑客入侵到了运营商有权限去提取。经过了一些沟通后,他居然一直说我是星际团队,就把我拉黑了,后来我就主动加他,说你是河北的吧我已经有你犯罪证据了,他就怕了主动加我认怂,还发了打包好的 webshell 给我,这时候我又惊呆了,这简直是逆天的节奏,居然有上万个 webshell 和国内所有 cms 的后台登录密码,其中包括 dedecms
discuz wordpress emlog ecshop empire jieqi phpmyadmin uchome ucenter
php168 等几乎是全国所有 cms 都存在,而且每种的数量去重复都在上万条,我会上传一部分在附件。他说他背后的人的有几十万的 discuz 后台登录账户密码,我测试了他发我的一些后台,均可以登录,其中信息包括登录的 fromhash
uid 用户名 密码 安全问题 安全答案,而且都是前一天的。。。到底是什么东西能记录如此多东西还没有一点异常。我看了其中也有我使用过大马的很多站,里面还有上万条 webshell,其中有大量我的站,还有大量各种类型的大马,和不同密码,看样子并非我一个人受害,我进行特征匹配出来,大概有不少于上百人的大马不同特征。而且他发我的只是很小一部分,叫我给他钱才给我更多。这样一想他手里的资源都有几十万条了吧。他说他后面的人是技术团队,还有各种 0day,是给国家干的,手里有全国的 webshell,如果真是他说的这样资源为什么出现在他这里了还拿出来卖,很明显是撒谎怕我查他。接下来的调查还在继续。经过几天的分析,这波数据和以前 wooyun 曝光的出来的九宫格(大家可以回溯一下 2013 年的http://www.dedebox.com/core/centerxxxxx.php)是一样的,我对当时的数据也进行打包分析了发现这波 shell 里面还存在部分的重复数据,而当前这个大马和当时九宫格的登录参数特征也一至基本都是 Spider
PHP
Shell(SPS-)这款代码的基础上修改的,也就是说除了后门本身这伙人是通过其他渠道来提取的大量 webshell,之后通过 webshell 去运行了记录后台数据的代码写入内存中僵死代码,保持着只要不换服务器就常年不死的状态,这也还是猜想,因为后台数据里面有些站的确是九宫格重复的,如果是九宫格后门的话我就有新方向可查了,以上是我进行的大致分析和调查过程。下面我就不描述过程,过程太复杂,耗时也几个月,涉及到的人员都有可顺藤摸瓜的信息,就直接提供数据记录以及取证结果,和交给警方的完成了。×四. 取证 在中国现在怎么可能还有如此猖狂的黑产呢(除了电信诈骗),都必须绳之以法。这几个是团伙一(老袁)跳转到的域名
116305.net559160.net618309.net786077.net551809.comwww.919808.netwww.226830.com
均为同一团伙的,只是域名不同,其中劫持代码里面的 ip 都是一样 107.182.228.74,只是每个站跳转到不同的域名分散风险罢了,看得出来很老练 这几个是模拟蜘蛛抓取劫持内容的 bc logo 图片地址的 ip
210.126.27.70pic.root1111.com58.96.179.132104.202.66.226
此团伙工作环境 ip,都在马来西亚(时间在 10 月 9 - 号到 10 月 26 号以内的)
2016-10-26 13:00:01 (IP 14.192.210.34) 马来西亚 Windows NT 10.0, MSIE 49.0,Firefox 49.0, 1536×8642016-10-26 13:20:09 (IP 103.6.245.143) 马来西亚 Windows NT 10.0, MSIE 49.0,Firefox 49.0, 1536×8642016-10-26 13:00:25 (IP 175.141.34.101) 马来西亚 Windows NT 6.3, Chrome 50.0.2661,QQBrowser 9.5.9244, 1920×10802016-10-24 13:59:17 (IP 175.136.41.251) 马来西亚 Windows 7 & 2008 r2, MSIE 49.0,Firefox 49.0, 1536×8642016-10-25 14:28:11 (IP 175.143.101.241) 马来西亚 Windows NT 10.0, Chrome 47.0.2526, 1920×10802016-10-26 13:20:09 (IP 103.6.245.143) 马来西亚 Windows NT 10.0, MSIE 49.0,Firefox 49.0, 1536×86414.192.211.116 马来西亚 14.192.211.223 马来西亚 175.138.234.137 马来西亚
工作 PC 指纹(分析此团伙有 5 个人):
Windows NT 6.3, MSIE 11.0,QQBrowser 9.5.9244, 1920×1080, 224 色 Windows 7 & 2008 r2, MSIE 49.0,Firefox 49.0, 1536×864Windows NT 10.0, Chrome 47.0.2526, 1920×1080Windows XP, MSIE 6.0, 1126×800Windows Server 2003, Chrome 49.0.2623, 1920×1080Windows NT 10.0, MSIE 49.0,Firefox 49.0, 1536×864
此团伙首领信息 QQ 474304849 641075512 真实姓名:袁立 重庆人手机号:15998984721 手机 MAC:18:9E:FC:11:2C:70 马来西亚手机号:060136958999 他的网站:www.badongedu.comwww.7cq.tv(他建立的地方论坛)api.fwqadmin.com(这个是他自己正在使用的大马自己留的后门收信地址) 附件会有大马样本有兴趣的可以看看 Email:root@7cq.tvpianziso@163.com在国内的历史 IP:
222.178.225.146(重庆市 电信)222.178.201.12(重庆市 电信)27.11.4.19(重庆市 联通)27.10.36.56(重庆市 联通)113.204.194.202(重庆市 联通)119.84.66.14(重庆市 电信)61.161.125.77(重庆市巴南区 时代 e 行线网迷俱乐部李家沱店 A / B 馆)
国内的历史 PC 信息:
mac:90-2b-34-93-ad-73 操作系统:Microsoft Windows XP 显卡:NVIDIA GeForce GT 610CPU:AMD Athlon(tm) II X4 640 Processor 3325HZ
团伙成员信息就没去调查了,找到他就可以了。WebShell 卖家(一切安好)信息VPN 代理:
110.10.176.127 韩国 2016-10-24 22:26:37 (IP 211.110.17.189) 韩国(自己比特币购买的主机搭建)访问时间 10 月 9 号
真实:
2016-10-26 16:23:27 (IP 121.18.238.18) 河北省保定市 上海网宿科技股份有限公司联通 CDN 节点 Windows NT 10.0, Chrome 47.0.2526, 1920×108027.186.126.196 河北省保定市 电信 真实 ip 可能性更大
浏览器指纹信息,一共 3 个不同的,但应该都是同一个人,可能电脑比较多,因为他有 2 个 QQ
Windows NT 6.3, Chrome 45.0.2454, 1366×768 真实指纹 Windows NT 10.0, Chrome 47.0.2526, 1920×1080Windows NT 6.3, Chrome 45.0.2454, 1366×768, 224 色, 未装 Alexa 工具 Windows NT 10.0, Chrome 53.0.2785, 1600×900, 224 色,
QQ2436449670 3496357182Telegram:@haorenge888 此人现在开的奥迪 A8,真是土豪啊,看来赚了不少钱还能逍遥法外, 是河北口音即河北人如要查到 webshell 来源只有查他的幕后渠道他与老袁的交易信息:
星际团伙信息 使用过的域名:
wokeda.cnwww.98589.comwww.356388.comchuan2828.comcnzzz.pwweb-159.comdiyi1111.comdiyi2222.comdiyi3333.comdiyi4444.comxinyu55.comhongyihai.com80268.com5130898.commaimai789.comzhenyi58.comxwgy999.com
htt p://www.woyaotupianhehe.com/img/20151106/lq.rand(2,20).”.jpg2-20 都是他们的 logo,百度收录后就会展示出来,非常多 80268.com 这样的图片 统计代码
可以通过他们网站的统计代码分析登录的记录马来西亚的 ip 就是真实 ip 搜索各大搜索引擎爬取跳转到他们的站,和快照特征,竟然有超过 1000 个被他们劫持过的网站,其中包括了不少全国最大的新闻网站如 ifeng.com china.com.cn,如果警方需要我可以提供列表星际劫持团伙在马来西亚,成员大概 6 个人左右,团伙渗透的手段包括但不限于鱼叉,社工,爆破,xday,漏洞均会爬虫批量去入侵,每次入侵后喜欢留大量的后门,防止权限掉了。成员分工:
二名核心技术渗透人员(其中一名主要负责攻击,入侵大型新闻类型站点。一名主要负责代码审计,以及内部一系列 php 的开发,包括劫持程序,外兼入侵一些中型权重站点)一名普通技术渗透(对扫描出漏洞的垃圾站点进行入侵)二名负责挂劫持代码,如果站掉了就会去恢复一名负责 bc 网站上的市场兼财务,收账出帐以及收站
核心成员在 2015 年 12 月份从马来西亚回中国至 2016 年 2 月左右返回马来西亚以上是我通过圈内人员采取一些手段了解到的信息,因为这个团伙安全意识比较高,没得到太多真实信息,但是有一位给他们做过外包的黑客可以顺藤摸瓜星际使用过的 QQ:3151094164 最早的时候
著名的美女黑客:YingCrackerQQ:253778984 1132440325 984754551 手机: 13665012347 or 13665012374 姓名: 江春建支付宝:1132440325@qq.com地址: 上度路 - 牡丹园 -505 所在省份: 福建所在城市: 福州所在地区: 台江
找到这位美女黑客去了解下此团伙的情况应该会有进展 他们的后门样本:
部分我直接复制到文件夹里面了
收信地址嫌疑人信息 这次事件的特征和九宫格类似,因此我对 2013 年的事件进行了梳理并且对这个人进行了深入调查,可以确认两个人,一定是其中一个人干的。如果不是大马的问题那么也可以从这两个人中来了解到本次后门事件的内情,唯一的不确定性就是箱子的大马看不出任何问题。因为和他们之前后门数据实在太像了,几乎概括了所有的 cms,记录的后台有些也是几年前被入侵过的九宫格箱子里面的,至今还在记录着新的内容嫌疑人一:原来的吐司成员 spider,也就是 spider 大马的创始人,当时他也留过后门,追溯起来都是 2011 年的事情,经过调查,那时候他所公开出去的 shell 大马就存在后门,而且也被他本人大量利用做游戏劫持收录挂马,传闻在 2012 年就赚到了几百万身价,后来就一直低调出了大众的视线,在圈子销声匿迹了。不过现在调查有新的发现,他一直在活跃着,在今年其中登录过历史邮箱,续费过后门的收信域名,因为他没办法换域名,换了就收不了 shell。Id: iamspider iamsunchao 真实姓名:孙超年龄:29 岁(不确定)就读过:自贡荣县富西初级中学户籍:成都 西昌人 QQ:80937430(真实 QQ) 862262949(小号)历史 IP(可能已经过时了)222.215.38.109(四川省内江市 电信)61.157.123.56(四川省凉山州西昌市 电信)222.215.39.131(四川省内江市 (隆昌县)电信)222.209.198.201(四川省成都市新都区 四川音乐学院附近蓝天云网吧)嫌疑人二:圈内的大神:toby57,曾经和他还打过交道,说是在给国家做事了,有点不太像是这件事的主谋,但是这个 dedebox.com 域名所有人就是他,而且他的能力足够干这样的事情邮箱:toby57@163.com也是他最常用的 im历史 ip
171.212.206.46(四川省成都市 电信)220.166.52.45(四川省绵阳市 电信)222.209.139.66(四川省成都市 电信)220.166.52.45(四川省绵阳市 电信)125.66.99.211(四川省南充市 电信)61.157.97.82(四川省绵阳市 西南科技大学)112.192.70.251(四川省南充市 联通)125.65.97.134(四川省绵阳市 电信)61.157.97.85 (四川省绵阳市 西南科技大学)182.139.60.17(四川省成都市 电信)
手机号:15208341433 姓名:杨月明身份证号:511621198905062575(四川省岳池县)所在城市:乐山就读过:四川省绵阳市西南科技大学因为 dedebox.com 的收信程序特征与嫌疑人一的类似,所以并不能断定到底是其中某一个人干的,因此两个都是需要深挖的人。×五. 结论 目前其实也没什么结论,从何泄漏的全国的所有大马以及各大 cms 后台和 webshell 后门还是个谜,因为能力太菜了。。。但是我相信这个谜警方可以解开,你们赋有足够的权利和使命去完成打击。否则对网民的危害太大了,那些 webshell 被拿去做博彩做诈骗危害就很大了,几乎一个菠菜行业一个诈骗行业的黑帽 seo 源头都来于此,如果不及时阻止危害还会无限扩大。另外要去看被入侵的站点请到 360 搜索,娱乐场看最新一天收录 https://www.so.com/s?q=%E5%A8%B1 … newhome&adv_t=d 温馨提示:使用过任何大马的帽子注意检查下自己的 shell,看看里面的文件时间是否统一为最近的创建时间 ps:因为浏览器没装 flash,无法上传附件以及图片,还请各位看官下载附件文档来查阅完整的图片和附件里面的 webshell 列表内容。传送门:https://1drv.ms/u/s!AhMf1bUbIk7UanjRbtWlwOyebhU部分受害域名列表(这个基数是去重复 1W 多条,未去重复大概 20 万条,其中的信息量与附件类似,一个站会记录所有的管理员登录账户密码,包括 webshell 的存在)传送门:https://1drv.ms/t/s!AhMf1bUbIk7Ua72FwZXZuVMX3fw大家在拿到受害列表可以搜索下手里的 webshell 域名,如果存在那么就注意及时把大马处理掉,以免被不法分子给你造成危害。
