一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防

分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友 微信微信
查看查看117 回复回复1 收藏收藏 分享淘帖 转播转播 分享分享 微信
查看: 117|回复: 1
收起左侧

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防

[复制链接]
i0n1c 发表于 2016-7-17 01:59:14 | 显示全部楼层 |阅读模式
快来登录
获取最新的苹果动态资讯
收藏热门的iOS等技术干货
拷贝下载Swift Demo源代码

      

0、引子

与网络的黑暗面斗争中,我们看到太多的年轻人陷入黑产的陷井,少数人暴发横财及时收手还能全身而退,多数人身处产业链的底端所得不多却受牢狱之灾。年轻人是国家的未来,他们敢想敢干而又无知鲁莽,希望他们不要为一时的无知付出太大的代价,今天的这个文章可以算作一个警醒,千金不换回头路。

网络从来就是一把双刃剑,越来越便捷的知识传播让广大的网络黑产工作者们只需简单修改别人的代码就可以制作出所谓的原创木马病毒,并进一步出售进行获利。近期,360天眼实验室拦截到一类盗取用户支付宝余额的木马,追根溯源揪出了木马制造者及一批木马放马者,而背后的造马者竟是一个高三学生,我们想说考不考得上大学还在其次,这位同学现在最应该读一下网络犯罪相关法条立即收手以免终身受此所累。

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 1

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 - 敏捷大拇指 - 一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 1





1、样本分析

为了对抗查杀,使用易语言做木马开发极其常见,我们所看到的这个样本即是如此,相关的信息如下,供大家参考。

木马文件MD5: 1976f6cbbc32fcbd7eaa75318642a182

尽管分析起来有点麻烦,但搞清楚木马行为只是时间问题,主要包括:

代码加入花指令,对抗分析调试

过期自动失效(失效后想再次使用木马就要向木马作者缴费再次购买)

访问腾讯微博、新浪微博链接地址获取支付宝交易的钱数、次数、频率

开线程监控用户的支付宝转账操作,同时将转账地址替换成放马者指定的支付宝账户



1.1、加入花指令,对抗分析调试

部分花指令如下:

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 2

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 - 敏捷大拇指 - 一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 2




1.2、判断木马是否过期

过期时间是2016年1月14日,如图:

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 3

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 - 敏捷大拇指 - 一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 3




1.3、访问微博链接获取交易欺诈参数

访问http://t.qq.com/q912***937微博地址,匹配出木马所需的信息,微博内容为:

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 4

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 - 敏捷大拇指 - 一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 4


解密出微博地址:

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 5

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 - 敏捷大拇指 - 一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 5


访问腾讯微博地址,得到微博内容:

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 6

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 - 敏捷大拇指 - 一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 6


从微博页面中匹配“支付宝读取头部”和“支付宝读取尾部”,匹配出木马预留信息:

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 7

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 - 敏捷大拇指 - 一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 7


获取到页面数据后,通过作者预先写好的开始标记和结束标记读取到用到的数据:

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 8

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 - 敏捷大拇指 - 一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 8


从微博读取到的支付宝所需数据格式为”13267932191|1100|80|1100″,其中的13267932191表示支付宝账号,1100表示快捷金额,80表示触发金额,1100 是最大限额。当然,如果腾讯微博格式发布信息格式不正确,木马还会弹窗报错,提示发布正确格式的微博内容。

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 9

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 - 敏捷大拇指 - 一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 9


对于木马转账的支付宝账号:13267932191,推测应该是一个手机号,从搜索引擎搜索结果得知,手机归属地是广州惠州的,如图:

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 10

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 - 敏捷大拇指 - 一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 10


一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 11

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 - 敏捷大拇指 - 一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 11




1.4、账号替换

木马程序打开后起线程不停查找浏览器的窗口,直到浏览器的地址栏包含alipay字符后,木马开始对支付过程进行劫持:

调用易语言的类库,获取当前的URL地址,用于判断用户是否正在进行支付操作。

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 12

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 - 敏捷大拇指 - 一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 12


如果用户正在进行支付操作,就查找https://personalweb.alipay.com/portal/newhome.htm网址中的  

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 13

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 - 敏捷大拇指 - 一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 13

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 14

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 - 敏捷大拇指 - 一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 14


在后台进行封包劫持:

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 15

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 - 敏捷大拇指 - 一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 15


一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 16

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 - 敏捷大拇指 - 一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 16


木马通过注入浏览器,后台Post提交参数的方式,用户从浏览器中看不出有任何的异常,而只有在支付之后的交易记录中,才有可能发现收款人已被替换。而一切都以为时晚矣。




2、推手追索

通过搜索引擎搜索“支付宝读取头部”关键字,我们找到了一批有问题的腾讯微博账号,这些账号大多都是直接从木马作者手中购买木马的“放马者”:

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 17

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 - 敏捷大拇指 - 一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 17


然后,我们就从这批放马者的账号中发现一个亮瞎眼的账号内容

http://t.qq.com/hy617***31

至于亮瞎眼的原因见下图,由此,我们定位到了可疑造马者,QQ号为:5500***39和617***31 :

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 18

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 - 敏捷大拇指 - 一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 18


下面我就将按照“造马者”与“放马者”两条线索分别展开。



2.1、造马者追踪

通过对造马者的发微博时的实时位置,定位到造马者经常在四川省南充市活动,如图:

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 19

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 - 敏捷大拇指 - 一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 19


一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 20

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 - 敏捷大拇指 - 一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 20


另外,通过对上面两个QQ号公开的信息比较,也确定这两个QQ号都是造马者的QQ号,其中5500***39的QQ号为造马者的小号。

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 21

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 - 敏捷大拇指 - 一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 21


而617***31为造马者联系木马业务的常用号码:

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 22

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 - 敏捷大拇指 - 一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 22


从搜索引擎也得知,造马者曾被人举报,称造马者盗源码写软件:

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 23

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 - 敏捷大拇指 - 一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 23


造马者为了销售木马,还专门成立了一个QQ群,推测群里应该有好多放马者,当然根据群位置信息,也可以进一步确定造马者所在的地理位置正是南充,与前面关于造马者地理的推断一致。

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 24

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 - 敏捷大拇指 - 一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 24


通过对造马者QQ持续的关注,基本可以断定造马者是高中生。

2015年12月份,造马者QQ的修改签名为“秒余额,快捷,余额宝免杀马代秒鱼。回5。需要的私聊大量收家庭肉鸡,有的窗口。”,如下图:

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 25

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 - 敏捷大拇指 - 一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 25


而2016年2月29日,QQ个性签名更改为“3月份停工,高考后复出,学习新技能”,可以推断出造马者是高中生:

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 26

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 - 敏捷大拇指 - 一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 26


与此同时,我们还在造马者的腾讯微博中看到造马者对木马书写的“产品说明书”(支持Windows所有版本)、“广告语”(高度人性化,可操作性强,稳定性强)、价格(支付宝收款700/月,银行卡收款1000/月)等,见下图:

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 27

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 - 敏捷大拇指 - 一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 27


查询QQ群关系数据库,得到造马人的另外一个常用的QQ号码:963****39:

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 28

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 - 敏捷大拇指 - 一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 28


一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 29

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 - 敏捷大拇指 - 一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 29


通过网上搜索QQ963****39,发现造马者经常关注一些网络上的黑客教程,并且曾经从易语言论坛下载过支付宝支付账单源代码,如图:

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 30

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 - 敏捷大拇指 - 一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 30


一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 31

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 - 敏捷大拇指 - 一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 31


一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 32

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 - 敏捷大拇指 - 一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 32


把易语言论坛上的这份“支付宝支付账单的源代码”下载后得知,代码的作用是查询支付宝交易记录,造马者在造马的过程中参考过这份源码。如图:

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 33

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 - 敏捷大拇指 - 一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 33


通过搜索引擎查询造马者QQ号关键字找到了这个人的优酷账号,其上传的视频中表明造马者的另一个身份:dnf玩家。

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 34

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 - 敏捷大拇指 - 一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 34


同时搜索引擎告诉我们的还包括造马者的淘宝账号:a963****39

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 35

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 - 敏捷大拇指 - 一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 35


在此,我们推测这人的邮箱地址可能为:a96*****39@163.com

通过163找回密码,发现账号绑定的手机号码的后三位与淘宝账号中的手机的后三位是相同的,这就断定a96*****39@163.com邮箱是属于造马者的,如图:

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 36

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 - 敏捷大拇指 - 一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 36


通过尝试,找到了造马者的163邮箱密码:96*****39

在邮箱中的已发送邮件中,大量的cf木马发送的邮件,邮件内容里面都是木马盗取的cf账号和密码等游戏信息。

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 37

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 - 敏捷大拇指 - 一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 37


一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 38

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 - 敏捷大拇指 - 一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 38


此外,观察到邮箱中有作者的MAC地址:00-50-56-c0-00-01,应该是造马者在测试程序时发送的,如图:

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 39

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 - 敏捷大拇指 - 一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 39


总结:造马者经常活动于南充,可能的身份为:在校高中学生。机器mac地址可能为: 00-50-56-c0-00-01,作者不仅编写支付宝木马,还曾经盗取过cf游戏账号,常用邮箱为:a96*****39@163.com,常用密码为:a96*****39,常用的三个QQ号为617***31,5500***39,和963****39,其中617***31号多用来卖支付宝木马;963****39号多用来盗取游戏账号;5500***39为小号,不常使用。淘宝账号为:a963*****39,手机号为:136****5205




2.2 放马者分析

购买木马的人数众多,根据360威胁情报中心的数据,木马买家超过40人。我们随意抽取一个购买木马的用户进行探讨。

以下都是通过搜索引擎得到的放马者的微博地址:

http://t.qq.com/g29q200w4231975

http://t.qq.com/r12tb9753197

http://t.qq.com/oclt519753

http://t.qq.com/k93y642086

http://t.qq.com/chenjiaxi88

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 40

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 - 敏捷大拇指 - 一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 40


一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 41

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 - 敏捷大拇指 - 一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 41


对于其中一个放马者,通过微博发现@chenjiaxi88的用户的名字为陈佳西,腾讯微博中有其上传的生活照,如下:

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 42

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 - 敏捷大拇指 - 一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 42


最后,用这位放马者的QQ群关系来结束这次的追踪之旅:

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 43

一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 - 敏捷大拇指 - 一次对支付宝木马的分析溯源之旅,顺带教你人肉技术攻防 43





3、总结

我们看到的木马本身的技术并不复杂,传播手段也不见得高明,低技术门槛使网络犯罪的参与者呈现年轻化的分布。本次的攻击者溯源完全依赖公开可搜索的数据,甚至无需运用社工技巧,木马开发与使用者的无知无畏实在让人心惊。从造马者自发暴露的大量信息来看,他似乎并不觉得自己在违法犯罪,我们的中学教育在法律学习方面应该加入网络犯罪的内容。

都看到这里了,就把这篇资料推荐给您的好朋友吧,让他们也感受一下。

回帖是一种美德,也是对楼主发帖的尊重和支持。

*声明:敏捷大拇指是全球最大的Swift开发者社区、苹果粉丝家园、智能移动门户,所载内容仅限于传递更多最新信息,并不意味赞同其观点或证实其描述;内容仅供参考,并非绝对正确的建议。本站不对上述信息的真实性、合法性、完整性做出保证;转载请注明来源并加上本站链接,敏捷大拇指将保留所有法律权益。如有疑问或建议,邮件至marketing@swifthumb.com

*联系:微信公众平台:“swifthumb” / 腾讯微博:@swifthumb / 新浪微博:@swifthumb / 官方QQ一群:343549891(满) / 官方QQ二群:245285613 ,需要报上用户名才会被同意进群,请先注册敏捷大拇指

嗯,不错!期待更多好内容,支持一把:
支持敏捷大拇指,用支付宝支付10.24元 支持敏捷大拇指,用微信支付10.24元

评分

参与人数 1金钱 +10 收起 理由
Anewczs + 10 多谢贡献内容,内容太详实啦!.

查看全部评分

历史的天空 发表于 2016-7-18 15:10:40 | 显示全部楼层
高三的学生就会编程,说明家庭条件还是不错的,缺这点钱么?
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

做任务,领红包。
我要发帖

分享扩散

都看到这里了,就把这资料推荐给您的好朋友吧,让他们也感受一下。
您的每一位朋友访问此永久链接后,您都将获得相应的金钱积分奖励
热门推荐

合作伙伴

Swift小苹果

  • 北京治世天下科技有限公司
  • ©2014-2016 敏捷大拇指
  • 京ICP备14029482号
  • Powered by Discuz! X3.1 Licensed
  • swifthumb Wechat Code
  •   
快速回复 返回顶部 返回列表