螳螂捕蝉黄雀在后,记一次复现洗钱过程

2015-12-18 12,689

前言:

如果说钓鱼犯罪团伙是螳螂,那么被钓鱼的受害者就是蝉,而我则是那只黄雀!
通过《记一次钓鱼伪基站的渗透及木马分析》《再谈伪基站钓鱼,如此不堪一击?》
这两篇文章相信大家已经非常了解XSS对于钓鱼站是有多么的致命了。
随着文章的影响力也让这款网站程序的作者意识到他是有多么的“业余”,于是这些钓鱼站在短短的一夜之间同时换了程序。
如下图: bank1

 

重头来过:

11-07日,SSS安全团队中的一位核心成员吐槽道:重新逆向了这款安卓木马,总算研究出了邮箱怎么登录了,但是现在这些网站却已经不能再搞了。这算是我们自毁长城吗?
简单介绍木马主要功能:

1.获取目标通讯录,通过目标手机再次向通讯录内所有亲朋好友发送“钓鱼”短信

bank2

2.拦截手机通信内容,如下图:

bank3

上图在黑产界成为拦截马,通俗点说就是监听手机的所有短信。

如何登陆邮箱

之前在木马中我们找到作者的邮箱以及密码。但是多次尝试却无法登录
原来是协议和端口的问题。

bank4
默认为POP协议,端口是110
修改IMAP协议,端口改一下就登陆上来了。

登录上来以后发现一些东西,如下图:
bank5

bank6
通过上图可以看到日期,有的人会疑惑日期吧?我会告诉你这并不是一个人的金额转出信息吗?
这是网易邮箱客户端里面收到的邮件,并且严重无规律。无法通过python写出爬虫,更不能精确的统计出在这些时间里有多少人被转出了多少钱。(至少我是不能做到,希望指导)

强迫症迎来的转机

2015/12/15日,随着一位SSS安全团队的核心来到公司,我在这件事情上向他请教,对于这种严重不规律的“东东”,应该怎么做到尽量小话工作量并尽量保证正确率。

bank7

上图就是我被狠狠的嘲笑了之后,得到的方法。
在正则表达式中,.代表任意字符,*则是贪婪模式。(好吧,我也不是很了解,会用就行了)

但是难题又出现了。
bank8
因为我只想统计前面被转出的,并不要后面的余额,于是加个逗号。如上图↑
地址链接:http://tool.oschina.net/regex

通过写的一个小程序得到的部分统计结果,也许并不标准,但我相信被洗走的钱不比下图这个数字少

bank9

开始复现洗钱:

bank10

新拿的钓鱼站,用第一条来复现!
遗憾的是中国银行不知道怎么用卡号登录。。。。并且我注意到这个卡号的开头并不像中国银行的!详情见“百度文库”各***号开头!(用来登录的卡号等资料有点敏感,打码处理了)
bank11
换来换去,用手机登录上一个
200元,有点少,得了,反正也是演示,就这样吧!
于是登录一个非实名制的支付宝(为了人身安全)

充值——绑定该***——然后冲150(给别人留50冲话费报警,哦…报警不要话费)
bank12
这就是拦截马反馈来的信息!

本文只做演示,钱已经退回去了。只作交流用途,请勿走上犯罪的道路。反正别他妈说是我教的…..

 

【本文来自95zz投稿  文中部分观点仅代表作者想法 作为安全脉搏反钓鱼反黑产一个素材  转载请注明来源安全脉搏

本文作者:95zz

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/42015.html

Tags:
评论  (3)
快来写下你的想法吧!
  • SP小编 个人认证 2015-12-18 12:56:30

    “无法通过python写出爬虫,更不能精确的统计出在这些时间里有多少人被转出了多少钱。” 后面正则表达式能做的 Python都能做:模拟登录 抓取含有金钱信息邮件 自动正则匹配 没有任何问题

  • 呵呵 2015-12-21 22:25:08

    这篇文章真的是。。。。。 sss团队。。。。 核心。。。。

95zz

文章数:6 积分: 15

以前我是看别人背影成长的,直到有一天我也成了别人眼中的背影

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号