黑灰产站点打击的类型及方法
菠菜包网
菠菜包网根据技术团队实力,介入度,团队存活时间不同分为以下几种形式
-
源码级团队
-
服务器级团队
-
保姆级团队
-
自运营赌博包网
源码级团队:
仅提供软件服务,即提供站点源码,web服务搭建,数据库搭建,网站非正常运行恢复等服务。服务器、域名服务、cdn服务往往会以合作推荐或绑定的方式将境外小型云服务厂商或idc机房提供给客户。活动站与主站使用同一套源码或相同开发语言cms的可能性较大。客服软件一般由客户选择,或为国内常见客服软件,客服软件公司与菠菜源码提供团队关联性较小。
该类网站源码提供团队日常运维介入感较低,网站漏洞被明显利用时(水坑,sql注入跑数据)被发现几率较小,或有明显滞后性。网站后台往往暴露在公网。针对外部威胁情报反应较慢(eg.360安全客:黑吃黑-flash水坑攻击分析文章)。运营人员及客服安全意识较低,安全知识普及来自网站买家(管理员),与管理员的关联往往为等社会关系较近的家人、同学、同乡等关系。涉案金额几十万到几百万不等,国内代理层级较为简单或无代理层级,seo相关信息较少。
针对该类网站的渗透,往往在信息收集阶段可找到对应idc机房或云服务提供商的站点信息,根据web指纹手机可看到相同源码站ip分布情况往往为同一c段或几个相邻b段。该类站点渗透可私聊源码提供团队客服,在获取信任后索要测试站点
进行渗透。在有警方兜底的情况下,可通过对idc机房或云服务厂商进行渗透来最终拿到主机权限,也可针对c段其他机器进行批量渗透扫描,以获取源码为目的进行打点。
服务器级包网团队
提供服务器与网站源码,并为客户进行收费的更新迭代、日常运维维护以及提供活动站(抽奖轮盘等相关站点)、第四方支付接口、第三方客服软件等周边站点的上线维护,存在专业技术人员为客户答疑、远程调试,包网团队常以公司形式进行签约服务,所在地通常为菲律宾马尼拉的索莱尔大厦等地。团队运营时间通常为5-10数年不等,目前接触运营最长时间团队为26年(自1995年起)。在当地属合法企业,并为员工配备有健身房、食堂、下午茶等服务,客服为两班倒或三班倒形式,值班期间不允许玩手机,充值往往使用第四方支付或通过微信等在线团队私聊方式从上级处收到最近一段时间的四件套的银行卡号、二维码。涉案网站往往组织架构较大,在国内存在多级代理团队,幕后管理员往往和包网团队一样在境外,通常聚集在缅北、菲律宾,少数在越南、马来西亚等地,生存时间较长。团队增大后人员往往技术人员通过国内招聘平台高薪诱导,客服运营通常为村镇级外来务工人员的老乡间互相介绍。
网站后台若开在公网往往以长随机字符子域名,或另一域名的长随机字符子域名形式存在,后台往往存在多因素认证(ip白名单、谷歌验证码、https证书+随机密钥等形式)。若网站后台开设在内网(通常开设在内网),则客户往往通过teamview、向日葵等工具连接至境外跳板机进行访问或通过vpn产品进行连接访问。涉案网站与该团队运营的其他客户网站往往存在域名、ip段、源码、活动站等相同特征(客服软件通常使用国内美恰、百度等客服软件,常由客户自行选择),往往使用相同cdn产品或干脆为包网团队直接提供cdn服务。在搜索引擎上可搜到大量seo推广信息。部分老牌服务团队可根据搜索引擎结果看到1.0-n.0产品迭代。
其中老牌团队业务方向往往不限于棋牌类等在线赌场业务,还包括钓鱼、体彩、棋牌、电子竞技(lol、dota2、cs go等)等形式,其旗下单个客户站流水每月几亿到十几亿不等。由于在当地为合法企业故外网站点会采购包括深信服在内等厂商的安全设备(waf、ac、vpn等)。
目前外挂、破解游戏团队极少使用破解分销一体的手段进行牟利,大多数游戏破解团队使用层层分销的形式对外挂进行售卖,所以外挂游戏侧的线下打击也要分两步走,首先对售卖平台的卖家团伙进行打击。其次,需要从落网的卖家侧关联外挂制作团队人员信息,并进一步进行摸排贴靠打击。
保姆级包网团队
该类包网团队除提供网站、服务器、cdn、域名注册等服务,为防止客户被伪造团队人员身份的hacker钓鱼攻击,还为客户提供24小时客服交流群,除群组外完全不进行私聊,并为客户提供网络安全意识培训,使用户除商业行为外完全不需要考虑网站开发运维等技术问题。还为客户提供活动页面设计等服务。内网存在堡垒机、防火墙、流量监控等设备,公司组织架构明确包括开发、运维、销售、运营等团队,在github等网站公开进行社会招聘,往往为台湾或马来西亚公司,流水规模同样为几亿到十几亿不等,但服务费收费更高。
自运营赌博包网
自运营大型包网,往往指技术力量充足,自行运营的包网团队,组织成员在境内以合法的开发公司形式存在,由员工在境内开发棋牌类游戏等网站,在境外为主导运营团队,负责网站运营、与国内代理进行直接接触。
国际包网团队的发展形势和规模大小可根据每年亚博会展厅位置及场馆占地大小进行初步判断,往往实力越强,占地面积越大、位置越靠核心
https://bbs.boniu123.cc/forum-2-1.html
电信诈骗
电信诈骗因为诈骗话术、诈骗形式的不同分为以下几种类型
-
裸聊诈骗
-
公检法诈骗
-
外汇诈骗
-
股票投资诈骗
-
杀猪盘诈骗
-
贷款诈骗
-
刷单诈骗
目前仅以常见诈骗形式进行举例,实际电诈形式根据一线干警总结应为59种,但总体形势较为相同:网站架构往往为单个服务器单个站点,易复制好搭建,在建站、源码平台易发现源码,搭站成本极低。但生存周期较短,诈骗人员诈一单就走,关站或弃站、删库速度极快,往往稍微慢一点(各种原因:包括报警慢、立案慢、到手慢、给账号慢等原因),涉案网站或app就丧失了打击的价值
裸聊诈骗
裸聊诈骗app往往无实际功能,诈骗人员诱使受骗人员露脸裸聊后安装后打开会申请短信、联系人等权限并上传到服务器(往往与管理后台为同一服务器)。
app功能简单,通常无加壳等各种处理,可直接逆向找链接对涉案服务器进行进一步渗透。之前市面常见且被多次分析的裸聊诈骗app除小后台外,存在大后台进行批量管理,可在地理位置处绕过过滤插入xss后通过嫌疑人机器找到相关信息。
公检法诈骗
直接访问相关站点往往为验证码或案件号登录框,输入诈骗人员提供的假案件编号后才会跳转到诈骗网站处,网站相关新闻、搜索框结果均为正常访问司法网站时跳转的链接,但存在假司法软件与假app,假app在安装后往往会获取银行短信验证码,而假司法软件为修改链接后的远控软件(teamview、向日葵等)方便诈骗人员为老年或幼年受害者操作转账业务。
该类诈骗在app上传短信验证码的服务器往往容易成为案件突破口。但网站存活时间较短,受害人单次被骗金额较大,骗一单就走,直接放弃站点或关站。
外汇诈骗
外汇诈骗团队往往为跨国多境外办事处形式存在,在境内为引流分公司,在境外多国多地存在办事处且拥有合法牌照,包括但不限于日本、迪拜及欧盟各国。诈骗方式为以高杠杆形式(200-1000倍)使受害人投资,然后使用假断网方式使受害人爆仓,但整个交易期间受害人充值金钱并未实际进行交易。该类案件由于办事处和组织首脑均存在于境外,打击抓捕落地较为困难,且在国内对相关人员打击后几乎不影响境外组织继续运营。
涉案软件往往为外汇交易软件mt4,软件本身涉案可能性不大,尽量以涉案站点的渗透为第一目标。网站存活时间较长,往往不会因为国内组织被打击而关闭站点
股票投资诈骗
该类诈骗往往以我认识了一位投资老师为开始,以投钱进入该股票投资软件而非正常股票交易软件为受骗过程,而以微信群解散为受害人发现被诈骗的原因。骗一单就走,微信群即刻解散,诈骗人员只主动添加受害人,不接受陌生人添加或搜索微信号,影响对嫌疑人的贴靠效果。
该类案件的股票投资网站以php、java居多,通常为单个云服务器组成,网站与数据库往往架设在同一服务器上,可以通过获取网站shell后读取配置文件来脱裤。建议尽量快速提供受害人账号密码或邀请码,因为网站为防止攻击在注册时会采用邀请码验证,成功后才可注册账号进行后续功能测试。网站存活时间相对较长。
杀猪盘诈骗
该类诈骗形式及网站不统一,往往是以感情和发财为诱导使受害者将金钱投入到各类投资平台、刷单平台甚至赌博平台(部分受害人因参赌涉赌导致被骗资金追回存在定性上的困难)。
该类站点同样因整个受骗周期较长、涉案金额较大,导致存在被骗一次就回本弃站的结果。待渗透的app通常为投资或刷单站点,少数为引流聊天软件
贷款诈骗
诈骗形式为通过上传个人信息后系统显示贷款申请成功但资金冻结,以需要缴纳保证金去进行解冻,网站title常以市面流行互联网金融产品title为名,直接搜索相关title无法立即定位诈骗站点,需要受害人提供网站链接。
该类站点此前以php和asp居多,且往往一个云服务器存在多个相同站进行诈骗,后台在子目录下,网站重复利用率高,弃站时间相对较长,某些曾大量使用的.net网站后台子目录下某接口存在未授权任意管理员注册。某使用php cms的贷款诈骗团伙喜欢用docker镜像搭建站点,拿到shell后可查看宝塔相关配置及后台路径,方便日后碰到重复利用
刷单诈骗
刷单诈骗为诱骗受害人缴纳一定金额下订单获取返佣并在缴纳高额金额后停止返佣消失,是常见的引流推广诈骗形式,常见方式为引流至微信拉群喊单,少数大型团伙掺杂部分传销行为。
以php站点为主,较少数为java站点,网站功能简单,旁站较少,同样多数存在单个云服务器跑多个网站,可以批量找同ip站以拿到shell为目标一起搞。
闲谈
诈骗网站在一定时间段内往往采用相同cms和源码网站常见源码快速搭建(之间有少量版本差异),再快速弃站,需要根据特征快速发现网站源码和相同相似站点,累积形成诈骗网站漏洞库源码库,方便日后快速搞站,而app大多无实际功能,几乎等同于浏览器,但可逆向查看涉案网站url、api、请求参数、加密方式和云服务器secret票据等信息。
数字货币传销
较大规模的数字货币传销的站点涉及组织复杂,分布形式多为跨国多地、跨省多地。网站防护较高,团伙资金充沛且愿意为网络安全产品全家桶买单。子功能站点较多,包括首页新闻站、白皮书站、活动站(赌博站)、区块链浏览器、钱包站、交易所站点(交易所分为自己开发或交易量排名top20的加密货币交易所(按交易量排名的Top加密货币交易所 | CoinMarketCap),若组织存活时间较长则可能存在发布多个币种的可能性并存在两币之间交易互换专用站点。
数字货币团伙在境内外多以“合法”公司形式存在,技术架构新,目前赌博集团常用的的多因素后台验证方式都是学自数字货币团队。需要在信息收集方面占用较大侧重,尽量寻找其开发、测试、预上线、备份站点,找软柿子下手。因服务器多为云上内网,打点进入内网后可能需完全不使用扫描工具或扫描脚本。
电商传销
电商传销实质为原本的线下卖货传销转为线上邮寄的方式,公司往往带有虚假的政府背景或虚假的政府部门背书,技术服务通常为采购国内合法的建站公司的全家桶式业务,并籍由合法公司背景采购国内安全厂商设备或安全服务。
网站往往存在官网、商城站、活动站、各级代理后台等多个站点,可根据架构特点从安全产品入手渗透查看相关安全产品日志获取服务器信息,由于其伪造的合法背景,渗透风险较大,需要有关部门授权。由于网站和服务器实质控制权在建站公司手中,可对该建站公司进行渗透打点。
游戏破解分发团伙
游戏破解团队的团伙分为两种:有独立交易分发平台的团伙和淘宝等电商交易平台两种
淘宝等电商平台侧的商家可通过警方调取店家实名制姓名、联系方式、发货记录、交易流水等信息初步锁定团伙人员,之后通过得来的信息在我司账号体系侧进行信息收集,包括但不限于绑定账号、登录IP、抖店购买记录、wifi等信息进一步锁定嫌疑人并关联其团伙其他成员
对于使用独立分发平台,通过玩家社区、百度论坛、官方游戏群、邮件等方式引流的团伙,则使用各类手段对嫌疑人进行贴靠,包括但不限于以拿到管理员信息为目的的渗透、社工等方式。
目前外挂、破解游戏团队极少使用破解分销一体的手段进行牟利,大多数游戏破解团队使用层层分销的形式对外挂进行售卖,所以外挂游戏侧的线下打击也要分两步走,首先对售卖平台的卖家团伙进行打击。其次,需要从落网的卖家侧关联外挂制作团队人员信息,并进一步进行摸排贴靠打击。
