渗透某诈骗APP网站的实战过程及思考

Delina

原文链接：渗透某诈骗APP网站的实战过程及思考
​
写在前面的话
距离先森上一次(实战类)发文过去了近一年了，想必大家甚是思念我了~前些天有网友微信上问我近况，先森安好，让大家担心了。回望2020年，当初的部分理想现已如愿 ：工作已落实且实现了投身于维护网络空间安全的理想，与大家的关系更紧密了~未来先森将不忘初心，始终保持对维护该领域的热情和决心，与网络犯罪斗争到底，男儿应是重危行，岂让蹉跎误此生！
又遇电诈案
周末好不容易有一天的休息时间，便在家躺尸追剧，正看到剧情紧张的地方忽然微信收到条消息，先森一颤以为是发工资了…定睛一看是派出所的朋友找我，盲猜又发生电诈的案件了。
​
果不其然，又是刷单、抢单类的案件。受害人在网上看到兼职刷单的广告，加对方好友后被告知需要安装内部专用聊天APP，并按要求在该APP上进行刷单。此APP实际上是一款集成聊天、赌博等功能于一身的“炒群”软件，说白了就是一个杀鸟盘，以刷单、兼职为幌子引流受害者群体，安装特定APP、引导注册赌博或钓鱼网站、给受害者一点点甜头，最后一步步引诱到深渊。
那么犯罪嫌疑人为什么不继续在微信上实施诈骗了呢？我想原因无非是：
1.腾讯公司在转账、投资等财产安全和风控方面做得非常好了，犯罪分子可能担心万一实施诈骗成功后，会让“南山必胜客”被人碰瓷、摊上不必要的官司；
2.以往的炒群需要一个人操作多台设备，成本太高，使用定制的APP可以直接接入自动聊天机器人实现自问自答的火热场面；
3.所有控制权都在自己手里，方便清理罪证等。
在此呼吁广大群众不要贪小便宜，同时劝诫某些心存歪念想从事赚快钱捞偏门的人莫伸手，伸手必被捉！一人坐牢，三代影响！！！
​
先森根据自身的办案实践经验，总结出这类新型网络犯罪具有以下特点：
1.逐步从QQ、微信等即时通讯软件过渡到冷门聊天app或者定制的电诈专用APP上；
2.实施诈骗的犯罪分子往往都是菲律宾、马来西亚、泰国、缅甸等国家的当地华人、中国人和会中文的当地人等；
3.具有专门的上网线路和工作设备，并且与赌博网站勾结。
这类新型网络犯罪呈井喷式的爆发，望有关部门重视并加大力度治理，充分发挥相关警种的优势，多部门联合作战，将网络犯罪逐环打破，实现跨地区重拳打击等。
初步分析APP服务器
先森按说明从某APP分发平台下载了涉案程序。访问了url后，经过多重跳转来到下载地址。一般来说，APP分发平台可能是犯罪嫌疑人临时搭建或者从黑市上租赁的，这里还涉及到域名防红、网站备案交易、CDN服务和匿名VPS等灰色领域，涉嫌帮信罪，关于如何进一步开展侦查工作，这里先森就暂不多说了。
​
安装APP并抓包。一般普通诈骗APP并未设置反调试等安全措施(毕竟成本太高)，直接设置代理抓包即可，这里我为了省事用burpsuite。一番测试参数后，发现此页面似乎没有漏洞。
​
直接访问网站根目录，重定向到新的后台。随手测试一下，发现session固化导致验证码在一段时间内不变，也就是说一段时间内可以进行爆破。
​
在爆破账号的同时，我随手测试提交的几个参数，发现一个注入漏洞。一个很明显的MSSQL报错，后面交给SQLmap一把梭，这里比较有意思的是密码并非MD5加密。
​
获取网站权限
恢复xp_cmdshell，利用命令下载一句话后门。按常规思路一般是注入出管理员密码，进后台拿shell，但是我们不掌握加密算法，因此只能尝试通过注入来写webshell。这时候我们要确定写入后门的绝对路径，可通过定位网站资源文件的绝对路径来查找网站在服务器上的真实路径。例如通过前端我们发现网站上存在名为reset.css的文件，还需要进一步去定位服务器上reset.css的绝对路径。
在SQLmap的cmdshell里执行 dir /s /b reset.css，得到相关资源的绝对路径，由于涉案服务器架设了多个网站，所以同样的资源会返回多个路径(在SQLmap里执行命令反馈太慢，这里我在蚁剑的终端里做得实验)。
​
根据涉案APP的关键字，锁定h*****，使用certutil命令将一句话后门写入。当然也可以直接使用echo命令来写入，看个人喜好，不过要注意shell的免杀情况。
​
收集服务器信息及尝试提权。使用systeminfo命令查看服务器情况，阿里云的服务器，打了77个补丁，目测不太好提权；mssql的权限也非常低；使用tasklist命令获取进程情况，除了已知的进程外，还有一个迅雷thunder的进程。暂放弃提权，尝试其他思路。
​
​
固定证据，导出数据。使用命令wevtutil qe security /rd:true /f:text /q:"*[system/eventid=4624 and 4623 and 4627]"来获取远程桌面的登录日志，发现没有权限读取；于是只能先对数据库的证据进行固定了，推荐使用mssql自带的backup语句来备份数据库，将数据库备份到网站目录方便我们下载；由于涉案服务器权限分明，为了防止不必要的麻烦，还需要更改权限。
​
为了更直观的查看数据，将查询指定数据表的结果保存。使用查询语句查询几个关键表，执行结果导出为csv。
​
取证及初步研判诈骗人员身份
获取管理员的后台登录凭证。通过查询管理员表，发现密码是加密过的，大家还记得前面SQL报错那张截图吗？先森明明输入的是”test”，在网站程序上却变成了”F*************7”，这就说明后端(可能是通过mssql的函数或者是aspx后端程序加密的，这里统称为后端)将用户输入的内容加密了。
​
那么如何解密呢？翻看了整个网站未发现aspx代码，但网站根目录Bin里存在多个dll文件，推测开发者将代码封装进dll了，使用工具逆向查询源代码，根据网站入口定位加密算法代码。
​
引用网站的dll库，调用解密函数解密。C#的网站不像是php那样有类似phpstudy等成熟的一键搭建工具(主要也是懒得搭建环境)，所以先森直接就地取材，使用涉案服务器的环境。
​
解密后进入后台录屏取证及查看网站后台情况，结合数据库里嫌疑人的注册信息，将诈骗人员大致范围选定。这里说个小技巧，结合表中的数据，按密码、用户名、IP和注册时间等字段排序，可以更直观的找出犯罪嫌疑人的“马甲”和相关身份线索。比较无奈的是发现嫌疑人几乎都是菲律宾、缅北等地区的人，先森的士气顿时大减…在排查嫌疑人的过程中，在多个库的用户表里发现了共同存在的几个存疑的账号，但未过多深究。
峰回路转，发现重大转机
当处于电诈案的高发期，基层的民警朋友有时会遇到两起电诈案是同一款(类)APP的情况。换句话说，量大必然有技术公司为其提供专业支持，因此我们可以通过扫描互联网上相关服务器的特征来发掘更多存在关联的涉案服务器，以此来掌握更多线索和挖掘相关嫌疑人等。
使用网络空间测绘工具检索潜在的涉案服务器。检索出的结果并不多，但不代表嫌疑人架设服务器的实际数量只有这么点儿，更多情况下，先森习惯用zmap等工具扫描互联网网段，这样得到数据更实时、也更客观。
​
还是老办法拿网站权限，查看补丁情况。这次服务器只有3个补丁，提权的希望非常大。
​
使用juicypotato工具提权，metasploit上线。没什么好说的，按工具的说明写入参数即可，关于提权工具的介绍，感兴趣的朋友看这里《提权小神器-JuicyPotato多种应用场景详解》。
​
借助MSF查看文件及固定证据。由于给目标服务器植入了MSF的马，后面取数据等操作直接在其终端里执行命令，不再依赖蚁剑了。固定证据等基础操作不赘述，后面电子取证篇内会展开讲解。
​
发现桌面存在telegram便携版，上传7Z工具打包带走。同时还存在一个VPN程序的安装包，奇怪的是嫌疑人并未在服务器上安装，原因不明。
​
还记得上一个服务器里的迅雷吗？这台服务器也存在迅雷，出于同一习惯，这就说明可能是同一个人管理和部署诈骗服务器的；再者根据前面发现存疑账号的注册信息等其他方面，也能很大程度上佐证，此服务器的管理人员是这起电诈案的技术员。
​
妙用电子取证，研判技术员身份
先森这次在迅雷下载目录里发现一个名为Browser.exe的程序包，想必搞过电子取证的朋友看到这里可能会露出蜜汁微笑：没错，我们可以通过分析浏览器的历史记录、记住的密码、Cookies、缓存文件和其他相关的SQLite数据库，来获取嫌疑人的更多相关线索。
使用mimikatz.exe在线解密相关数据库。将其上传到服务器指定目录，执行命令mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%\Chrome\USERDA~1\default\logind~1 /unprotect" exit ，这时候获取到的浏览器相关数据会存储到当前目录的mimikatz.log里。同理 解密记住的密码、自动填写等浏览器DB文件，不再赘述。
​
根据浏览器历史记录，发掘技术员的QQ。嫌疑人下载VPN程序包的过程中，还注册并支付了相关服务，根据订单的回调地址拿到其注册的QQ邮箱账号。但是历史记录里并未找到访问和下载telegram、迅雷和Chrome浏览器等软件的记录，说明这些软件可能是嫌疑人通过远程桌面直接上传或是通过IE浏览器下载的。
​
分析网站访问日志。IIS容器的日志默认存放在C:\windows\system32\LogFiles目录下，直接取回即可。通过对早期日志分析，发现最早访问网站的IP是H省；这一天的访问IP除搜索引擎的爬虫外，几乎都是H省的几个IP(分别是移动和电信两家运营商分配的)和服务器本身的IP在访问，这就说明了这段时间技术员正在搭建和调试(手机端和电脑端两个网络导致访问IP呈现出两家)网站服务器。
​
分析服务器登录日志。根据事件ID筛选出多条登录成功的信息，归属地皆为H省；同时该服务器的数据库中也出现了前面曾发现的存疑账号，归属地仍是H省。
​
获取远程桌面连接记录。RDP连接记录默认存储在注册表和 %HOMEPATH%\docume~1\ 下，也就是用户的Documents目录下。通过对该IP的端口扫描发现也是一台诈骗APP的服务器，这也充分说明了服务器的管理者就是这类诈骗网站的开发人员或技术员了。
​
分析telegram。将前面打包的TG文件解压到本地，运行后便能获取其账号的全部内容；手机号是实名的，说到这里连当时的办案民警都为他的智商堪忧；初步通过手机号挖掘到技术员的身份、工作和虚拟身份等信息。关于利用开源情报对手机号挖人的思路，先森就不多说了，咱们《信息时代的犯罪侦查》公众号里分享过一些技巧。
​
通过手机号获知了嫌疑人的名字。想起来似乎在哪里见过——配置文件，这也能很大程度地说明，此人除了部署诈骗网站、还可能是网站的开发人员(第一台服务器和第二台服务器中上传的源码压缩包内的配置文件皆为此人名字拼音的简写)。
​
后续又对dll逆向并通篇阅读代码，找到了几个未启用的API接口URL(一个API对应一台服务器)。利用收集到的密码组成字典，成功爆破出两台接口服务器的MSSQL密码，接着利用xp_cmdshell拿到服务器权限，虽然服务器里没有太多有价值的东西，但这体现出信息收集在渗透测试的重要作用。
​
审计代码，利用任意文件上传漏洞搞定全部服务器。这块没啥值得写的，很简单的漏洞就进了服务器，根据服务器内的数据(部分重要服务器里代码注释上有此人的QQ大号)可以基本推断此人正是这些涉诈APP(网站)的开发人员。利用威胁情报平台的历史数据又关联出其他犯罪情况。我想，到这一步，就没有什么需要深挖的了，先森的任务也就到此完成了。
​
“2020年过去了，我很怀念它”
先森写到这里，脑海里浮现出的是2020年做过的那些利国利民的事情，真正有做到打击网络犯罪、守护万千群众的网络安全，心里十分高兴。但是回想起当初每起案件研判的艰难和面对被删除证据的无奈，从去年侦破的几个案件来看，新型网络犯罪正朝着更加隐蔽、安全性更加完善和科技含量更高的方向发展；这些犯罪活动往往是一环套着一环，上游和下游互依互存；不同领域的犯罪分子会相互取经学习等。这里先森简单总结出新型网络犯罪具有这几个显著的特点：
地域性、前沿性、隐蔽性、联动性。
所谓地域性，是作案地点及犯罪分子的国籍、籍贯方面的特征。在侦办案件的过程中，先森通过技术手段获取了电诈分子的详细数据，其中不乏有sfz、手机号和社交账号等公开和未公开的信息，但是奈何其中有不少是东南亚国家当地的华人(非中国人)和偷渡/出境的土生土长的中国人等。对于这种情况，不知道大家对此有什么看法，此外同一诈骗组织可能分布在东南亚诸多国家，原因不言自明。通过对这些从事诈骗行业的人员的分析，籍贯可能主要是中国那几个地区的，不多说了；同时那些搞大型网络犯罪活动的(管理层)人员，几乎存在某种关联，如宗族关系、朋友及朋友的朋友等熟人关系，底层业务员则是靠高收入“低成本”的广告诱骗过去的。
前沿性则是他们从事犯罪活动所涉及的网络科技水平较为高新。传统的网络犯罪更多是寄生于微信、QQ和陌陌等社交软件上，基本上靠忽悠来完成“业绩”；而新型网络犯罪呈现出来的则是自行研发作案设备(如伪基站、炒群APP)、自研诈骗剧本话术和受害者心理、结合当前热门话题(如区块链炒币)、使用的开发语言也朝着各种新兴的编程语言进军等。
隐蔽性，不用过多解释了，犯罪分子几乎是流量卡/专用线路+四件套标配。在反侦察意识方面，目测有些犯罪分子已经达到SPY的能力了。
联动性。现在各部门还未完全打通全警种联合作战，而“新潮”的犯罪分子早已将各种与之相关的业务玩转，有专门出租网络线路的、有专门负责洗钱转账的、还有负责研发新型产品的等等，已经形成成熟的黑色产业链条，大家分工明确、必不可缺、共同进步。同时如果一方遭到执法部门的打击，其他相关领域的会立即中断来往并互相转告。
“侠之大者，为国为民”，要想让更多人洋溢在阳光下，就得有人主动承担起挡住黑暗的使命，希望能有更多的侠士来维护网络社会的安全。
最后，再次感谢2020年遇到的每一位伯乐和朋友们，2021会更加美好！
……
​