一篇【鱼叉网络钓鱼诈骗】技术分析文

搞法律,更要懂技术。今天读一篇技术分析文章。

原文《利用QQ ClientKey实施鱼叉网络钓鱼诈骗的技术分析》公开发表于《刑事技术》,作者单位为杭州市公安局西湖区分局、杭州市公安局。

文章以一起典型的鱼叉网络钓鱼诈骗案件为例,分析该类案件的诈骗过程和技术特点,总结涉及的木马程序和回传服务器的检验方法,为打击和防范提供参考。

1. 案情与勘查过程

– 案件详情:2023年6月,受害人在QQ群内按“老板”要求转账后发现被骗。该QQ群为受害人被莫名拉入,且发现时已解散。

– 勘查发现:在受害人计算机取证发现下载木马压缩包记录,在QQ邮箱云取证发现高度模仿发票邮件的钓鱼邮件,点击邮件中链接实际下载的为木马压缩包文件。固定并下载该木马附件,解压后得到运行程序,经校验比对发现与受害人电脑回收站恢复的压缩包文件一致。

– 木马分析与回传服务器发现:对木马文件进行动态分析,得到疑似回传地址2个,经侦查发现同源服务器8台,多数在境外。调取具备调证条件的服务器,获得服务器注册信息和镜像。

– 回传服务器镜像解析:采用仿真方式分析回传服务器镜像,发现其功能为存储QQ登录信息和用户管理。

– QQ ClientKey免密登录技术:腾讯为方便用户推出快速登录方式,利用QQ ClientKey等参数完成用户鉴权,盗号者可通过ClientKey获得目标QQ的多种操作权限,本案例中木马程序通过两种方式获取QQ ClientKey。

– 灰产技术环节:整个灰产技术架构分为上游QQ木马制作和回传服务器源码制作,中游部署服务器源码批量获取QQ号并出售附带QQ ClientKey的账号,下游购买QQ号直接实施加群诈骗。

2. 木马程序与回传服务器检验方法

-木马的检验方法:

– 检验对象:样本B(011002200311.exe)。

– 软硬件环境与工具:包含DHCP服务器的局域网、Vmware 16加载Windows 10操作系统环境、QQ(V9.7)、Hash(V1.04)、StudyPE +(V1.11)、Wireshark(V4.2.0)、OD调试器(V1.10)。

– 静态分析:使用StudyPE +对样本文件分析,发现存在VMP壳,确认木马编译时间为2023 – 04 – 23 04:50:30。

– 动态分析:在Windows环境下开展仿真实验,运行木马程序后出现提示框“文件已损坏!”,同时Wireshark有请求域名地址D的流量包产生,进程管理器中有新程序在后台运行,使用OD调试器查看木马程序运行中的字符串信息,发现含有地址D字符串,结合网络抓包情况,确认木马程序与该地址进行交互。

– 线索点归纳:线索提取主要方向为拓展回传地址,根据回传链接可对木马程序框架和版本做出粗略判断,木马程序静态特征有助于区分下游作案人员团伙。

– 回传服务器镜像检验方法:

– 检验对象:样本C(文件名:1000260.vhdx)、样本D(文件名:1000260 – 2.vhdx)。

– 软硬件环境与工具:包含DHCP服务器的局域网、平航计算机仿真软件VS6300(V3.0.030)、Accsessdata Ftk imager(V4.2.1.4)、Chrome浏览器(V120.0.6099.131)、Navicat Premium(V16.0.4)、Hash(V1.04)。

– 检验过程:启动镜像内置操作系统,发现内置Windows系统,安装宝塔面板,通过检验发现注册手机号。启动宝塔面板,发现关联域名,从中找到与木马程序关联的域名地址D。通过浏览器访问该域名,发现源码伪装设置,根据相关条件在站点访问日志中筛选,使用Navicat for sqlite解析数据库,获取管理员账号和密码,登录后发现收集的QQ帐号和QQ ClientKey条数有1.8万余条。

– 动态联调功能检验:

– 环境设置:将网络环境改为放行互联网流量环境,修改木马所在检验计算机的本地域名映射,将域名地址D指向到本地IP地址,登录测试QQ并运行样本B,登录网站后台发现测试QQ的信息。

– 功能检验:点击回传服务器“邮箱”“空间”“群管理”功能按键,分别可以免密访问测试QQ的邮箱、空间,查看QQ加入的群相关信息,包括群账号、昵称、群成员账号、昵称等,可通过一键加群功能直接添加好友进群。

3. 结论

利用木马获取QQ ClientKey后能够免密获得邮箱、空间、用户群的操作权限,不法分子利用此方法非法获取QQ登录权限实施诈骗。通过对木马进行技术分析获取回传服务器地址,并对服务器数据进行调取分析,能为案件侦办提供重要线索和证据支撑。

Loading

头像

TECHER

拥抱科技的法律人

您可能还喜欢...