后会有期

这应该是我最后一次

发表这篇情报文章了吧。

有一个公众号，之前未经许可

直接复制粘贴这篇情报文章

然后发表到自己公众号

发现后和对方交流，让其删除

但沟通无果。

更可笑的，我成了不是原创了hh

又是一次，让人无语的操作。

因为事情已经过去一段时间了

而且文章也已经被人复制发表了

所以也没什么影响了。

我的初衷只是为了分享

也是为了促进圈子交流。

未来如果还有机会分享情报类的实战笔记

一定会先脱敏处理。

其实，更重要的只是思路。

后台私信很多

有不少师傅，让我建立一个封闭式社区

但，考虑到工作性质

没办法建立群聊和大家沟通。

现在，我唯一能做的

就是每隔一段时间的沉淀

将自身学到  亦或 实战遇到的技巧

分享给大家

只愿，对师傅们有用。

接下来要沉淀一段时间

什么时候回来

或许下下周，或许下个月

我们，后会有期。

以下是原文

---------------------------

为了不浪费有些大师傅的时间，先提前报备一下。

本篇不是技术文章

没有结局

也没有成功

因为最终没有拿到对方的隐私信息。

如果没有时间，可以直接翻到最后。

这篇文章的目的

主要是希望国内企业，特别是医疗单位，重视网络安全。

同时，因为很少看到针对国外黑客组织的社工类文章

所以就记录一下。

**0x01 背景介绍
**

时间线

2020年4月28日早

在黑白之道看到这篇文章。

原文链接

下午

接到上级单位的任务，寻找一些蛛丝马迹。

信息分析

1. 观察公开的图片中，只有@THE0[.]TIME的水印

2.Google/Baidu/twitter/darkweb爬虫接口/简单搜索了一下THE0[.]TIM关键字后，发现除了公开的新闻外，都没什么有价值信息。

3. 后在Telegram搜索，发现了一个名为“00:00”的电报频道。

该频道的标签#DataBounty（数据赏金）

4. 实锤取证

THE0[.]TIME符合00:00，zero time的含义。

（ps:不想被搜索引擎的关键字轻易匹配到，所以加入[.]符号进行规避）

进入后检索历史消息

果然发现了从国内窃取的数据文件，实锤。

从历史消息来看，该黑客组织在4月15日就已经拿到数据并开始贩卖。

并声称，拿到的数据信息分为四部分：

①用户数据

②技术数据

③研究成果

④COVID-19疫情相关资料

频道中还公布了一个视频和若干图片样本。

并且图片均带有汇医慧影的水印。

因为部分视频图片的敏感性，所以就不全部放出了。

仔细观察第一张截图

看到一处

For buy:

@Unfrein[.]ded

点开后，此人电报昵称为0x1。

后来与他交流，确定此人即为，窃取国内数据的zero time黑客组织核心成员。

5. 攻击者公开信息整理

把该组织公开的信息，进行了一下整理。

①联系方式：
Telegram账户：@Unfre[.]inded
Jabber账户:    z3r0t1m3@[.]xmpp.jp
②电报频道：https://t.me/The0\[.\]Time

③zero time核心成员0x1

④两个区块链钱包地址:
a. BTC
1Mb131pc1igShCz2pD6UuzRB4BdK6AmYJ5
 
b. USDT
1GyeoHwWpkmHbeuMqwvp7MZSwgXsK3Y

⑤区块链货币交易查询

截止2月28日下午，暂未出现交易情况

但USDT的查询地址无效

0x02 心理战

为了寻找更多的蛛丝马迹，

九号索性使用土味式英语，与ZeroTime组织核心成员0x1，进行了一次无果的社工交流。

———————————————————————

伪造身份：德国人，以假装购买数据的需求，与对方进行了交流。

目的：尽可能的调查清楚对方窃取到手的数据内容和对手情况。

———————————————————————

正文开始

halo式问候完，开门见山。

不管国内外

陌生人之间，最大的障碍无非是信任二字

人性的弱点。

①欲情故纵，首先质疑对方data的真实性。

他就为了解释证明，巴拉巴拉的说一堆。

②顺其自然，抛出愿意“相信”对方，trust you。

对方又甩了两张窃取的资料图片，证实真实性。

③“赞赏”对方，说了句酷cool。

（内心想法是，酷他个锤子，恨不得扒了你的皮）

纯粹是为了让他感觉交流舒畅，温水煮青蛙。

⑤开始试探

没购买之前，自然不会直接给我们放出数据的详细内容，但我们可以打探他窃取的内容“轮廓”。得到如下结果：

a. 1700行，1000名左右的用户信息。

b. 分别来自湖北、Youan(地域不明，猜测是云南？)、shanxi(陕西或山西)、河南地区的医疗单位账号

c. 数据格式（图片打码区域）：账号密码、权限、用户名以及注册单位等（不幸中的万幸，不包含医护人员的身份证详细地址什么的）

⑥一探到底

我想让他发一些更多未公开的信息，他后来拍了一张照片

内容是汇医慧影的AI辅助系统控制文档。

接着，他说如果我不想买，就直说。

担心问太多了，引起怀疑。

⑦假装“砍价”

为了让他相信，媒体曝光说是4btc。

我直接就砍价到1比特币，对面问号三连

1btc买它所有东西，显然不现实。

所以我说，一半。买它一半的东西，source code和data。

对方说2.5比特币，把所有的给我。

我说2比特币，有来有回地“砍”他。

砍价只是个幌子，其目的还是在于打探更多的信息。

所以，我插了一句，问他是哪个国家的

结果，对方来了句，他们是一个地下组织...

很明显，警惕性。

还说，“请叫我们zero time或者00:00”。（真是一群夜半三更出门干坏事的鬼）

把握机会，再次 “赞赏”他，让他开心，加火，继续温水煮青蛙。

而后，对方又回到正题说，如果我准备好了，就开始交易。（交易他个锤子）

我假装自己比特币钱包余额不够2.2btc，跟他说，我要跟老大商量一下。

趁势又“谄媚”了一句，说你们有如此高的技术，想后期跟你们团队“合作”。（是想获得对方更多信息）

但果不其然，对方警惕。

他说，他们zero time会评估核验每一个合作或者加入的人。（没戏）

同时，又发了一张国内的病史化验报告。

说实话，到此处心情有点难受，看见几份中文大字的报告图，被一个黑产老外拿捏在手。

4月28日，交流结束。

⑧****让小朋友一脸问号的一幕

4月29日，我想获取他ip试试

构思了一个方法，钓鱼URL重定向。

虽然明知这种方法，失败率很高，

就算我构造了一个URL发过去

他也不一定点开

就算他点开了

他也八九成不是真实ip

但还是想试试。

首先，因为了解对方手里窃取到的用户数据，是用于登录汇医慧影网站的。

所以，这里用一个跟踪器，构造一个重定向的URL：https://catsnthing.com/CWEDAI

用于重定向到http://en.huiyihuiying.com 汇医慧影的网站。

其目的是，对方访问后，记录他的IP地址。

有点虚哈哈

然后，找个借口。发给对方

等到下午，他回复我了，立即打开后台，查看是否有对方的IP记录。

红色框出来的，即为抓到的ip：244.242.105.51，其余均为我挂了代理测试的ip记录。

然后，我去搜索该IP的归属地时

让人大跌眼镜的一幕发生了

这是一个E类的IP地址，而且是保留地址...

此时的心情

我考虑过对方不会点击我的URL，

考虑过会挂VPN代理，

但始终没想过会出现保留地址的情况。

最开始的推测是，对方在数据包中伪造了XFF等系列头

但自己本地测试后，发现这种伪造的做法并不会干扰影响对我的URL跟踪器结果。

所以，进行到这，思路暂时断了。

目前掌握的信息只有以下内容

①记录的保留地址IP

②搜集到的公开信息

最后，在电报频道，还发现他们在售卖了国内另一个系统的数据（crmeb.com）

可信度无法判断，仅以此做个提醒

与此同时，其它国家的数据也能在其中找到。

这是一个真实的案例，也是失败的案例。

至此，只能先告一段落。

————————————————————

**0x03 落幕
**

IP分析

4月30日

对昨天拿到的ip：244.242.108.51

在各大威胁情报引擎检索，并无收获。

只在一个地方发现该IP曾在2019年被发送过大量垃圾邮件

思考了很久...

为什么会是抓到的IP是保留地址

把这件事跟实验室的顾师傅分享了

我们不断篡改HTTP数据头，

反复对IP记录器的钓鱼URL进行碰撞。

也办法复现保留地址的IP场景

世界观感觉要崩塌了。

柳暗花明

然后我们又回到了IP Logger的记录后台

顾师傅多年的爬虫经验

对HTTP数据包的头部有着敏感的嗅觉

发现，User-Agent像极了Tor浏览器的头部信息。

立即动手实验，

我们使用Tor浏览器访问百度，对比我们IP Logger抓到的头部信息

果不其然，丝毫未差，一模一样。

可是这跟我们的保留地址IP有什么关系呢？

在查阅了一些关于Tor浏览器的资料后

意外发现了一篇国外的文章

文章介绍了，他在对一次攻击行为的数据包流量进行分析时，

惊讶地发现，拿到的IP是254.110.107.86，

查看归属地，发现同样也是一个保留地址。

但他发现，其它数据包流量中最后有一行是86.107.110.254的IP地址

而86.107.110.254恰好是IP地址254.110.107.86的反转。

——————————————————

作者的解释是

对方机器使用的是小端模式（little endian）

而不是大端模式（big endian）

这时候我们老大说了一句

这或许就是为什么

114.114.114.114和8.8.8.8这两个IP

会用做DNS服务器的其中一个原因。

因为可能有的机器采用大端模式，有的采用小端模式。

而114.114.114.114和8.8.8.8这两个IP

无论怎么反转，都还是不变，对大小端机器都适用。

在小端模式中,低位字节放在低地址,高位字节放在高地址;
在大端模式中,低位字节放在高地址,高位字节放在低地址

——————————————————

大胆推测

这是不是像极了我们当下的情况。

抓到的IP：244.242.108.51

将其反转：51.108.242.244

IP归属地，从保留地址>>>到英国

蓦然回首，柳暗花明。

于是，我们多了一条线索

IP：51.108.242.244

归属地：英国

虽然这应该还只是，对方多重Tor节点中的最后一个IP而已。

这是一个真实的案例，也是失败的案例。

至此，只能告一段落。

毕竟眼前的ZeroTime，是一个国际黑产组织

手握多少0day不知道

其安全技术可能领先于一般的水平。

一己之力固然难以抗衡

虽然明知是南墙，但还是想撞一撞。

感觉像是写了一个故事，却又是真实场景。

虽然不在国家单位工作，

但我们服务于国家，

更授命保护于国家。

毕竟，我们是中国白帽子。

END

仅以此文，报以国家，献以情深。

                                            ——N10th