从一次溯源窥探地下YY直播洗号产业链

阅读量266156

|评论27

发布时间 : 2018-04-17 16:31:00

本文将揭露地下黑产中最常见的扫号产业链,包括从账号收集、代理抓取、扫号、洗号、变现的完整过程。本次主要讲述针对YY直播的扫号产业链

作者:路人甲@360云影实验室

 

0x00 偶然发现的扫号黑客

近日在蜜罐中发现了一个特别的腾讯云的ip,这个ip通过我们蜜罐的匿名代理端口对几个特定的ip频繁发包,但是数据包内容看着并无异常,就是些常规tcp链接。

在这这个ip的80端口部着一个hfs,奇怪的是它这个hfs中存的不是木马远控样本,也不是挖矿样本,而是一堆ip和端口组合

 

这些勾起了我们的好奇心。正好他的hfs是有漏洞的版本,于是就有了下面漫长的文章

   1、控制黑客机器  

利用hfs的代码执行直接打下黑客的vps,直接去到管理员的桌面,第一眼看着机器似乎一切正常

打开前面名字为“保存数据xxx”的文件夹,呈现在面前是大量的已经分好类型的账号和密码文件。

根据分类名,猜测这些应该都是YY直播的账号密码。

于是为了验证这些账户的真实性,我们尝试登陆了几个账号。成功率几乎百分之百。

如下图:

这些分类文件里面的账号,都是能登陆的,而且有些账号里面的还剩余有Y币或者钻等。粗略的计算了下,就在这一个文件夹中的账密就有15000多条。然后在机器上发现了好几款YY直播的扫号器。

用mimikatz抓取了管理员密码,切换到他的桌面,扫号的程序正在疯狂工作

 

尝试运行其中的一款扫号工具,导入他vps已经扫出来的账号,发现全部等能登录, 这个扫号工具效率还是极其高的。

有意思的是,从数据包来看,这些扫号软件并不是直接通过web的接口来进行扫号的,从他们的文件命名来看他们的扫号都是通过YY直播客户端的通信协议来完成的,猜测这样做的目的是增加扫号的速度,因为初步来看给予YY直播协议的登陆是直接通过tcp协议完成的。不用再走一层http。

 

在同目录发现了config配置文件,这个文件配置的就是前面黑客的hfs地址,这就解开了之前的疑问,其实他hfs里面的ip列表都是他收集的一些免费的匿名代理ip,用来批量导入扫号软件中软件开始扫号。

2、意外收获

在这位黑客的vps上面发现了“百度云盘的软件”,打开他的百度云软件,他居然记住了密码,我们也就顺着这条路深挖了一下。

他的百度运账号里面存放着大量的外挂、账号数据、以及一些扫号的源码。

在一个文件夹为400万的文件夹中发现了存放着380多万的YY账号和密码的文件

初步怀疑这些账号密码是之前YY泄露过的一部分

这些账密都是十分整齐的排列,随机挑选其中的账号也是有能够登陆的,这些应该就是扫号的的基础数据来源了。后来也证实了这的确是是之前yy泄漏的老数据(这部分后面会写)

到此已经找到这个黑客的扫号的数据源、扫号工具、扫号方式。但是,我们依然对他这380万的账号来源和他后续这些账号怎么变现非常感兴趣,于是就有了后续一系列的操纵。

 

0x02 溯源+社工

1轻松的溯源                 

为了了解他们整个产业链我决定加他的qq。加他之前对他进行了深入了解,前面说这个黑客确实大意了,在他的vps百度云是记住密码的,于是乎我们的溯源就容易多了。

看到炫酷的OPPO r7s 这个明显是他的手机传上来的,

这就是小黑客的样子,还是个萌萌哒的小鲜肉,他是在山东潍坊某学校上学

最后在他的自己的定位图发现了他读的学校,某某科技学院

这个黑客可真大意,继续翻他的相册

发现了他的两个qq号,分别是281********、3338*******

然后通过他的从百度云账号,我们能够辅助的判断他最常用的qq大号,就是这个2开头的qq号

这位黑客自己还成立一个叫“凉心科技的”公司(然而经过查询并没有注册在案),还在做免流的生意

顺带在他的qq空间暴露了他的年龄,还是个多愁善感的小伙。

在他使用校园上网软件中么也发现了他的姓名,

通过和他的vps的3389密码对比,发现他vps的密码的开头就是姓名的缩写

侧面也印证这个叫张某涛的人就是那个扫号黑客

汇总后,信息总结如下

姓名:张*涛

年龄:18

常用QQ:281*******、333*******

学校:****科技学院

主要产业:扫号、免流、游戏外挂

 

 

2、强行社工

掌握了这些信息后,我觉得足以吓唬到他了,于是以合作的名义加他。

我直接表明了我就是之前黑掉他服务器的人,想找他合作搞YY直播账号。

开始他还很有防备半信半疑,我然后抖了关于他的很多的个人信息。

他立马态度大变,还要拜师学习黑客技术,于是就在他面前强行吹了波逼,加强了他对我的信任。(他始终都没反应过来他的人信息我是从他百度云扒下来的 :) )

 

0x02 基础数据的来源

得到他的信任之后,我就和他交流了一些问题,首先,就是他那380万的账号的来源,果然就是之前泄露过的那一批之中的

 

0x03 洗号变现

从他这里也了解到YY直播怎么洗号变现的,他其实不是整个链条的最后一环节,他只是其中一环,他只把扫出来的账号,卖给下家,自己就不管了。行情大概是100元1万个普通的yy账号

有YY币的账号另算。大概是按10:4卖给下家,下家就直接给主播刷礼物,然后主播从YY的官方把礼物按比列体现成钱,到此yy币就变百花花银子了。

而那些没有钱的YY账号,这些人就会用批量挂号软件,批量进入主播濒道,为主播增加观看人数从而达到刷人气的目的。(有些主播可能是洗号的人自己开的,也可能是和一些主播合作然后分成)

通过这位黑客介绍,找到了洗号的下家,有序是熟人介绍,这个人对我很是信任,从他那里也证实了这位黑客之前说的,我说我有大量的YY账号找他合作。

他直接仍给我一个批量刷礼物的软件,说是测试版本,证明他的实力。

从这个软件数据包来看,当要查询币数量和批量送礼物的时候就需要走http协议了。

至此整个产业链,也就完整的呈现出来了

 

 

0x04 总结

1、人在做天在看,干坏事总会留下痕迹的,当然这肯定只是扫号产业中很小的一部分。

2、扫号这种产业一直都是伴随着整个互联网的,针对这些扫号的黑客,甲方的风控压力确实不小,要和这些黑产对抗,甲方的要走的路还很长

3、顺带说一句现在各大的云计算平台真的是成了各种黑客的保护地,上面什么样的黑产都有,也许要打击这些黑产,这些云平台也许应该负点责任了

本文由云影实验室原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/105043

安全客 - 有思想的安全新媒体

分享到:微信
+16赞
收藏
云影实验室
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66