帮助西北政法大学进行的反钓鱼网站实录

admin   ·   发表于 10个月前   ·   案情讨论

一、介绍


上一篇关于钓鱼网站的文章是典型的QQ钓鱼,而本篇文章是关于邮箱钓鱼的(根本还是钓QQ)。本次这种钓鱼方式和那种感情牌不太一样,本次的钓鱼方式是冒充学校教务处发送通知,实则发送了钓鱼网站。




据西北政法大学的公众号公示可知,已经确认这个链接为钓鱼网站。但当我打开网站时,并没有直接跳转到钓鱼页面。所以我就用蜘蛛爬来了它的跳转信息,并且下载下来了源码。


<script type="text/javascript">(function() {
var $ = function(id) { return document.getElementById(id) };
var on = function(el, event, callback) { el.addEventListener(event, callback, false) };
var getCookie = function(name) {
var r = new RegExp("(?:^|;+|\\s+)\s*" + name + "=([^;]*)"), m = document.cookie.match(r);
return ! m ? "": decodeURIComponent(m[1]);
}
var setCookie = function(name, value, domain, path, hour) {
if (hour) {
var expire = new Date;
expire.setTime(expire.getTime() + 36E5 * hour)
}
document.cookie = name + "=" + value + "; " + (hour ? "expires=" + expire.toGMTString() + "; ": "") + (path ? "path=" + path + "; ": "path=/; ") + (domain ? "domain=" + domain + ";": "domain=" + domainPrefix + ";");
return true
}
var pv = function(domain, path) {
var refer = document.referrer.match(/http:\/\/([^/] + )\ / ([ ^ \ ? #] + ) / );
var param = [
'dm+=' + escape(domain),
'url+=' + escape(path),
'rdm+=' + escape(refer ? refer[1] : ''),
'rurl+=' + escape(refer ? refer[2] : ''),
'pgv_pvid+=' + getId(),
'sds+=' + Math.random()
];
img = new Image();
img.src = "http://pingfore.qq.com/pingd?cc=-&ct=-&java=1&lang=-&pf=-&scl=-&scr=-&tt=-&tz=-8&vs=3.3&flash=&" + param.join("&")
}
var getId = function() {
var t, d, h, f;
t = document.cookie.match(/(?:^|;+|\s+)pgv_pvid=([^;]*)/i);
if (t && t.length && t.length > 1) {
d = t[1];
} else {
d = (Math.round(Math.random() * 2147483647) * (new Date().getUTCMilliseconds())) % 10000000000;
document.cookie = "pgv_pvid=" + d + "; path=/; domain=qq.com; expires=Sun,18 Jan 2038 00:00:00 GMT;";
}
h = document.cookie.match(/(?:^|;+|\s+)pgv_info=([^;]*)/i);
if (!h) {
f = (Math.round(Math.random() * 2147483647) * (new Date().getUTCMilliseconds())) % 10000000000;
document.cookie = "pgv_info=ssid=s" + f + "; path=/; domain=qq.com;";
}
return d;
}
/*layer switch*/
var hasShown = getCookie('guide2');
var refer = document.referrer || '';
var url = location.href;
/*弹出逻辑:手动输入网址:refer空或等于http://m.qzone.com*/
// if(refer && refer != 'http://m.qzone.com/' && refer != 'http://m.qzone.com'){ // hasShown = true; // } //活动页干掉 if (refer && refer.indexOf('qzs.qq.com') > 0) {
hasShown = true;
}
//微信,qq干掉 if (url.indexOf('5758') > 0 || url.indexOf('5757') > 0) {
hasShown = true;
} else if (url.indexOf('6456') > 0 || url.indexOf('17636') > 0 || url.indexOf('17615') > 0 || url.indexOf('22578') > 0 || url.indexOf('22174') > 0) {
hasShown = true;
}
//MSIE也不展示 var ua = navigator.userAgent;
if (ua.match(/MSIE/)) {
hasShown = true;
}
if (ua.indexOf('MicroMessenger') > 0) {
hasShown = true;
}
if (!hasShown) {
$('guide').style.display = '';
if (navigator.connection && navigator.connection.type == '2') {
$('guideBG').setAttribute('class', 'wifi');
}
var close = function() {
setCookie('guide2', '1', ".ui.ptlogin2.qq.com", "/", 7 * 24);
$('guide').style.display = 'none';
}
on($('guideSkip'), 'click', function() {
close();
pv('m.qzone.com', '/guide_toWeb');
});
on($('guideJump'), 'click', function() {
});
pv('m.qzone.com', '/guide_show');
}
})();</script><script>location.href = '../dymn';</script>


得到最终跳转页为/dymn 可是访问之后,直接跳转到了s.yam.com的注册界面。索性回源代码分析,在源代码中我们可以看到有很多的//,这是编写此代码的人留下的注释,或许我们可以搜索这个代码,找到这个源码的发布者,从而找到下载者。


经过百度和谷歌两大搜索引擎的搜索,并没有找到有关这个代码的发布消息,不过找到了一篇来自某乎的文章。《记一次失败的反钓鱼》




发现这篇文章中涉及到的钓鱼网站使用的短链接也是s.yam.com旗下的,基本可以确定是同一个犯罪团伙或者是同一个人。这篇文章的作者尝试whois钓鱼网站的域名信息,但是最终以失败告终。于是我联系到了这位作者,争取一起“破案”


通过聊天得知这个犯罪分子使用的邮箱和代号几乎为假,但是域名还在,我们去微步碰碰运气。




得到信息Wen Xian Lin和域名注册商,商务中国(这个代理商,我有0day,可是已经修复了,就很难受)。




经过查询,这个钓鱼网站的域名也是通过代理商购买的,于是我们商量了一下对策。






OK,一顿忽悠之后得到了登录账号shashu12e,(其实继续忽悠,应该密码也可以弄来)。






确定这个用户名已被注册,然后利用密码找回功能,确定一下注册信息。




得到域名注册者的手机号前三位和后两位,137为移动旗下号段。经过搜索,查到了一个同样用户名为shashu12e的注册信息。




得知所在地为南宁,继续查找移动旗下的南宁137号段。 一共78个,也就是说需要确认的手机号信息一共有7800个,伤不起真的伤不起……




首先,我们已经知道了犯罪嫌疑人的百度账号:shashu12e,以及残缺的手机信息。所以我们又重新对“shashu12e”进行了广义社工。




在微信的搜索框中,搜到了如上数据,虽然没有很大的用处,但反馈的信息确实与“shashu”有关。于是我们大胆猜测,shashu,一定是一个惯用的代号。所以就利用此代号和关键字“钓鱼网站”进行搜索。




果然有所收获,但经过查询,这是一个小号。通过此QQ号进一步搜索。




找到了另外好多个QQ号,只可惜,全部都是小号。无奈之下,利用社工库碰碰运气吧。




得到的也是无用的信息,经过查询,得知此人在百某某吧发过贴。






注册邮箱38*****0@qq.com,估计也是小号一枚。




再次进行搜索,发现这个人注册的技术型论坛还挺多,而且都还可以直接登录(如下图)。




然后我们在所有信息里找了一个相对来说注册时间比较久远的QQ,查看了空间和资料,由于之前已经确定他是南宁人,所以这次更加确定了。




然后又神不知鬼不觉的刨出了他的微信(目前仍在使用)。




将新数据整理如下:


姓名:关居恩

出生年月:1985年

地址:广西-南宁-宾阳县(现在杭州企业做项目维护)

sina博客账号:shashu,752032160,王海888

QQ小号:1547439098,534786636,2385629371,1029919655

百度账号:dengli01985

微信:guanjuen,另外一个不确定


最后做一个简单的总结:


攻防无绝对,技术无黑白。有的人在利益与名利之间铤而走险,也有的人在正义与情义之间顾影自怜。无论自己选择了哪一条路,懂得迷途知返,就还是个好宝宝。本次钓鱼站的分析长达“数月”,如果没有查到“shashu12”这个ID,也就不会有今天破获大案,再次感谢某乎ID:昭小月月月 的帮助。


原文在社长的微信公众号里,公众号名称:久哥叨叨。


0 Reply   |  Until 10个月前 | 364 View
LoginCan Publish Content