一篇【鱼叉网络钓鱼诈骗】技术分析文

由 TECHER · 发布日期 2024年7月13日 · 已更新 2024年7月30日

搞法律，更要懂技术。今天读一篇技术分析文章。

原文《利用QQ ClientKey实施鱼叉网络钓鱼诈骗的技术分析》公开发表于《刑事技术》，作者单位为杭州市公安局西湖区分局、杭州市公安局。

文章以一起典型的鱼叉网络钓鱼诈骗案件为例，分析该类案件的诈骗过程和技术特点，总结涉及的木马程序和回传服务器的检验方法，为打击和防范提供参考。

1. 案情与勘查过程

– 案件详情：2023年6月，受害人在QQ群内按“老板”要求转账后发现被骗。该QQ群为受害人被莫名拉入，且发现时已解散。

– 勘查发现：在受害人计算机取证发现下载木马压缩包记录，在QQ邮箱云取证发现高度模仿发票邮件的钓鱼邮件，点击邮件中链接实际下载的为木马压缩包文件。固定并下载该木马附件，解压后得到运行程序，经校验比对发现与受害人电脑回收站恢复的压缩包文件一致。

– 木马分析与回传服务器发现：对木马文件进行动态分析，得到疑似回传地址2个，经侦查发现同源服务器8台，多数在境外。调取具备调证条件的服务器，获得服务器注册信息和镜像。

– 回传服务器镜像解析：采用仿真方式分析回传服务器镜像，发现其功能为存储QQ登录信息和用户管理。

– QQ ClientKey免密登录技术：腾讯为方便用户推出快速登录方式，利用QQ ClientKey等参数完成用户鉴权，盗号者可通过ClientKey获得目标QQ的多种操作权限，本案例中木马程序通过两种方式获取QQ ClientKey。

– 灰产技术环节：整个灰产技术架构分为上游QQ木马制作和回传服务器源码制作，中游部署服务器源码批量获取QQ号并出售附带QQ ClientKey的账号，下游购买QQ号直接实施加群诈骗。

2. 木马程序与回传服务器检验方法

-木马的检验方法：

– 检验对象：样本B（011002200311.exe）。

– 软硬件环境与工具：包含DHCP服务器的局域网、Vmware 16加载Windows 10操作系统环境、QQ（V9.7）、Hash（V1.04）、StudyPE +（V1.11）、Wireshark（V4.2.0）、OD调试器（V1.10）。

– 静态分析：使用StudyPE +对样本文件分析，发现存在VMP壳，确认木马编译时间为2023 – 04 – 23 04：50：30。

– 动态分析：在Windows环境下开展仿真实验，运行木马程序后出现提示框“文件已损坏！”，同时Wireshark有请求域名地址D的流量包产生，进程管理器中有新程序在后台运行，使用OD调试器查看木马程序运行中的字符串信息，发现含有地址D字符串，结合网络抓包情况，确认木马程序与该地址进行交互。

– 线索点归纳：线索提取主要方向为拓展回传地址，根据回传链接可对木马程序框架和版本做出粗略判断，木马程序静态特征有助于区分下游作案人员团伙。

– 回传服务器镜像检验方法：

– 检验对象：样本C（文件名：1000260.vhdx）、样本D（文件名：1000260 – 2.vhdx）。

– 软硬件环境与工具：包含DHCP服务器的局域网、平航计算机仿真软件VS6300（V3.0.030）、Accsessdata Ftk imager（V4.2.1.4）、Chrome浏览器（V120.0.6099.131）、Navicat Premium（V16.0.4）、Hash（V1.04）。

– 检验过程：启动镜像内置操作系统，发现内置Windows系统，安装宝塔面板，通过检验发现注册手机号。启动宝塔面板，发现关联域名，从中找到与木马程序关联的域名地址D。通过浏览器访问该域名，发现源码伪装设置，根据相关条件在站点访问日志中筛选，使用Navicat for sqlite解析数据库，获取管理员账号和密码，登录后发现收集的QQ帐号和QQ ClientKey条数有1.8万余条。

– 动态联调功能检验：

– 环境设置：将网络环境改为放行互联网流量环境，修改木马所在检验计算机的本地域名映射，将域名地址D指向到本地IP地址，登录测试QQ并运行样本B，登录网站后台发现测试QQ的信息。

– 功能检验：点击回传服务器“邮箱”“空间”“群管理”功能按键，分别可以免密访问测试QQ的邮箱、空间，查看QQ加入的群相关信息，包括群账号、昵称、群成员账号、昵称等，可通过一键加群功能直接添加好友进群。