轉自:烏雲知識庫/FreeBuf/網路小捕快(ID:hack_qh)
0x00 引子
詐騙,跟生物的歷史一樣長,而且永遠都會存在。每當人類拓展出一片新的生存環境,詐騙也立即隨之而來生根發芽。如今,有了網路,由於不受地域和時間的限制,詐騙更能玩得花樣百出,讓人嘆為觀止,挑戰的只有人的想像力,360天眼實驗室的前一篇文章分析的巧妙操縱受害者的電信補卡攻擊即為一例。但是,不管方法手段如何,利用的始終都是人性的弱點:恐懼和貪婪。
貪婪會讓你相信香港富商的漂亮妻子竟能出來借腹生子,所以也就有了成語利令智昏。而恐懼的威力則更為強大,特別是來自最高檢查院的可能直接威脅人身和財產安全的問罪,沒錯,今天給大家揭露的就是當前最火的冒充最高檢的財務詐騙。
0x01 問題有多嚴重
讓我們看看就在前兩天剛發出來的一個新聞:
一年超100億錢流入台灣,最近就有被騙2000萬的。
注意,這些詐騙所得幾乎是純利,對比一下:國內整個安全市場也就百億的規模,純利可能都到不了那個數,這就能理解黑產為什麼會有那麼強的動機和能力,為什麼大陸警方會不遠萬里跑到非洲的肯亞去抓人。
看看大陸與台灣近期在人員管轄權上的過招,電信詐騙影響已經不僅局限於經濟領域,甚至開始對兩岸的關係造成影響。
詐騙犯怎麼做的呢,下面的新聞內容說了個大概:
下面,360天眼實驗室依靠威脅情報中心的數據向大家展示更多的細節。
0x02 基本套路
電信詐騙有很多套路,下面的這個流程只是其中之一,實際的過程往往比下面這些簡單的描述要狗血得多。
1、詐騙犯一般會從不法分子手中買入一些個人信息,對信息進行篩選,這可以理解為一個單方向的面試過程,當然,面試通過的話你就要倒霉了。
2、對篩選出來的目標通過如下這樣的網路傳真平台發詐騙簡訊,或者直接通過VOIP撥打詐騙電話。
3、通常的話術,詐騙犯一般會說你有一個快遞沒有收取或者其他的借口和你搭話,會告訴你身份證可能被人盜用,讓你去撥打公安局的電話。他會誘導你撥打114查公安局的電話,然後掛斷電話說待會公安局的警官會和你聯繫。之後,他們會用改號軟體改成114能查到的當地公安電話號碼來電,此時如果你用114查過號碼的話就會以為真的來自公安局。
4、好了,通過上面這步,基本的信任有了。對方會讓你去一個安靜的地方接聽電話,不能告訴任何人,然後會通知你一個案件編號,引導你去他們提供的假冒最高檢網站上去查詢你的案件信息。當然,你的所謂涉案法律文書早就為你準備好了,你一查詢就能看到。
5、到這兒,考驗智商和社會經驗的時候到了,你如果信以為真任由恐懼操縱,等著你的就會是個大坑。對方會指示你配合他們進行資產清查,就是讓你把銀行卡里的錢轉到所謂的安全賬戶。為了得到你的認證信息,對方會讓你去假冒的最高檢網站去填一個表格,當然會包括開戶行、銀行卡號、身份證號、銀行卡密碼和U盾密碼等。光認證信息還不夠,對方還會讓你下載一個什麼安全控制項(也就是定製過加了料的Teamviewer遠控服務端)運行。木馬運行以後會把登錄ID和密碼發送給對方,Teamviewer的程序打的有正常軟體公司的數字簽名,所以能很輕鬆的繞過殺毒軟體。
6、好了,對方這時既知道了你的銀行卡信息又能操縱你的電腦。接下來就得真的開始弄錢了,對方會讓你插上U盾,去用你之前填的銀行卡的信息去查看餘額幫你轉賬,當然會編個理由讓你不要看電腦屏幕。如果需要按U盾進行一次確認的話,對方會讓你按下U盾或者一直按著U盾的確認鍵來完成轉賬操作,這個過程中電話是一直不會掛掉且你會著了魔一樣全程配合,多麼奇妙的世界。
7、當所有的錢都轉賬成功后,他們會把電話掛掉,因為這個號碼是通過VOIP電話打的,所以你回撥過去也打不通,也找不到人。受害者就這麼苦逼的被騙得身無分文,有的受害者知道真相后,往往接受不了會輕生,這又真的是個殘酷的世界。
套路圖示如下:
詐騙團伙一般會有如下分工:
1、從購買的用戶信息中篩選出有價值的人,為詐騙者做鋪墊。
2、實施電話詐騙的人。
3、負責轉賬的人,他們需要在大陸買身份證和銀行卡,把現金迅速從一張卡轉到無數張卡中。
4、負責去取款機取錢的人。
5、提供詐騙工具的人,比如定製Teamviewer木馬、使用改號軟體和偽造檢察院的網站系統。
6、做免殺的人,一般是通過簽發正常的數字證書來逃避殺軟的檢測。
7、註冊域名和虛擬主機的人,因為域名很容易被殺毒軟體攔截,所以需要定期的更換域名和服務區,這些都是網站後台維護人員做的工作。
0x03 追溯
釣魚與恐嚇
查詢360威脅情報中心的黑URL 庫很容易就能在各種釣魚網站中發現我們關注的目標:中華人民共和國最高人民檢察院冒充網站。
打開網站會要求讓輸入一個案件編號:
進入之後,顯示一個和檢察院一模一樣的網站界面,不注意域名的話完全以假亂真。如圖:
詐騙犯會提示從這個網站上下載一個檢察院徽章圖標的所謂安全監控軟體,這個軟體其實是一個定製版本的Teamviewer服務端,其中預置了口令,受害者執行后,詐騙犯會找受害者要ID,受害者把ID告訴詐騙犯后,詐騙犯會去用Teamviewer輸入該ID和預製的口令連接到受害者的機器,受害者的機器就直接落入詐騙犯之手。軟體界面:
可以在Teamviewer的官網定製:
還有被木馬作者修改後的這種工具,被修改後的工具我們在後面詳細分析,讓我們再回到那個釣魚網站上來,運氣不錯,我們拿掃描器找到了後台管理界面:
這還不夠,我們還猜到了用戶名口令,其實不複雜:admin/admin888 。進去以後發現一個意外的小禮物,管理頁面被掛了利用CVE-2014-6332漏洞的馬,函數名童叟無欺:runmumaa,如圖。
下載看起來像Windows補丁的程序執行,連接 test.ko3c.com 做C&C通信,完成各種木馬功能。域名註冊信息如下:
域名和木馬我們就不分析了,有興趣的同學自己可以挖挖看。猜猜掛馬的目的是什麼?黑吃黑?搞非授權訪問的人?
再回過頭來看從後台我們能看到些什麼,看起來釣到了不少身份證號、銀行卡賬號和密碼:
這些數據是受害者從「網上清查」這個鏈接進入到一個頁面后填進去的:
除了釣魚得到的這些信息,更重要的是那些已經內置的數據,詐騙犯事先添加好的目標案件,包括案件名稱、編號、身份證號:
還有用身份證的頭像照片製作的假冒檢察院公文:
可能會有人好奇身份證頭像照片怎麼會在這個通輯令上?因為詐騙犯在拿到姓名、身份證號后,可以通過某些介面下載獲取不打網格的身份證頭像。在假冒最高檢網頁找到的受害者查詢自己是否「涉嫌犯罪」的入口地址為: ,界面如圖:
輸入詐騙犯告之受害者的的案件編號和受害者身份證號,可以查詢是否真的被通緝。挺唬人的是不是?一般沒見識的真有可能嚇尿,更相信詐騙犯的話術,從而對他們進一步的指令言聽計從,因為裡面的涉及照片和名字還有身份證號,都是準確無誤的。
遠控木馬
我們檢查了從釣魚網站下回來的那個Teamviewer遠控,在360威脅情報中心的資料庫中通過文件名和圖標做關聯樣本分析,發現了一堆同源樣本:
其中一些帶了一個數字簽名:
如之前所說,這是一個被木馬作者修改和重新打包后的Teamviewer安裝包:
安裝成功后,安裝目錄下的所有的文件,其中包括Teamviewer的正常文件和木馬作者寫的執行後門功能的文件:
桌面的快捷方式指向StartTm.exe :
該樣本會把同目錄下的StartTmSrv.exe帶參數(/install /silent)靜默運行起來,如圖:
而StartTmSrv.exe會運行起來同目錄下的Procuratorate.exe,會定時從下載更新文件,如圖為所提取的字元串,server-teamviewer.com域名為假冒的正常網站:
同目錄下的Procuratorate.exe運行起來後會載入同目錄下的LoadResource.dll,同時運行起來真正的teamviewer的服務進程tv_w32.exe和隱藏teamviewer窗口的進程hdnWnd.exe,然後該進程會去讀取同目錄下的配置文件main.ini中的serverip鍵值,把獲取到的teamviewer的ID、密碼和網卡的MAC發送到伺服器,下圖為配置文件指定的IP,和發送數據包到該IP的數據包截圖:
使用最新版的Teamviewer去連接木馬發送出去的ID和密碼,發現不但能連接過去控制電腦,而且和正常的Teamviewer不一樣的是在右下角沒有任何提示的窗口,而且找不到任何使被害者結束被詐騙犯控制的按鈕,如圖:
木馬大致的執行流程圖如下:
0x04 最後的話
本文只是對冒充最高檢的詐騙案件中部分技術層面的東西做了剖析,遠沒有涉及這套詐騙的全流程細節,對黑產學習了解永無止境。
每當分析這類詐騙案例時,特別是回顧整個過程中的狗血交互時,我們總會驚詫於受害者的愚蠢和輕信,然而在基數夠大的情況下總能找到足夠多的對象。因此,除了儘可能地向潛在的受害對象傳播詐騙團伙的套路以外,對詐騙團伙的強力打擊也必須跟上。這個,遠不是技術層面上可以解決的問題。
儘管對手用了很多花招對抗偵察,其實只要統籌多方面的數據分析定位詐騙團伙技術上並沒有想象的那麼困難。可是,技術手段有它的邊界,當我們定位到了犯罪分子,而對其採取現實中的行動卻會發現往往超出了辦案方的管轄能力。唯有擱置眼前利益之爭的合作連接才有可能緩解問題,這也是今年RSA的主題。
0x05 IOC
我們整理了部分冒充最高檢詐騙相關的IOC,來自360威脅情報中心,希望對業界有幫助,共同研究,謀划對策。
同類冒充最高檢詐騙網站相關惡意文件HASH
0e3ab3faa2169a0f1a66e6253bd1986a
a17b706ea09da6e3ed140e85bf406557
a8fe099980edca981f1bb6fa8ecb83e6
e6f57e88429c3789165df858e6133408
6cb29d5bdae8aa05cd69c427e44fb1dc
749dd87b2670859c5c8492f0ada15631
155b9ca0c1975c6acffae314e97e0ee9
168737718b68f88a516533966547f638
1f65da0031d7465de28ab7306f41e447
262f0741f062b297cec1d916dd31cf54
2ca92ca4ac2a612d3eb204c3acdb7908
35addf537e9238c349722d03c2179bd9
3f3a2d94d00a0fe3aaafc738030a7195
423d19f804e36dc968c4bd25b9b76548
437e5dc2f3e8ef7186c70015a7ee478d
46f931620400cf30f6e2a2f3eafd62ed
52bf88483bfd168c4359c255b56a0544
53ce6e49019ae05213cfbdc654964cf4
54040c55f35758581d097758f06a310b
56bf1148ccb7e9a17927ee065ec3d264
57c4903b426b59cdd75db396d446b357
593f3391398f2ee03af3908ca22a3dc0
59d5e41ada56663cf75c180e12ceba31
5c3352c681069786c491576128da0608
72516e3fdeac6e5761c0df9c64369ed8
72820c464d912126c49de29b450b11d9
73643d36350bd8605d4509162c361592
74095a5d3e82d1cb130b78ddd94b4a75
7a3a2a075abd655bb5e40d03285c20f2
89a1ec8c8102686f0f0cd810ad87a213
8db0ccc95631a481fb505ee41eac300e
908d21725db49e0564e6b986396bf6c4
9641a2f9613ed1f3bd455daab7cc5c05
98f1775d721480d127142fb2f01c1551
9f0eb6450ac5742a75bbc77794a94361
a071471e75b99ee50fcd7cf4ea3fcd81
a7397407477aa4652652daeb78281344
a9b39456f498e54d843085ddcbbeda83
aba39a9b99e19f4e9b8e9341141cc05f
bc36cb585b24f33b042bae02847ba454
c7a76ef057ed948cc4502f714b509f72
d0e0f3e8c749111a9ade81d3b9b4e2bc
d6e2fce5d27974153e79fd665e28e898
d74e3d5b8aacc86060fb2681f2add879
da1726b0bf8273ac1977a6fd11b201b7
df8484f2ac26da8799da5ff382ad6969
e918e6bedd2467fc8a32c0b55dafa63b
ed646bd71556177228b10e16315f6f6f
eeef8b11e4e4d6ac06d16cffda57656b
f3c2b9c7d4e5ce5da462a760fab32156
f4e13d368670a4357687247d2e91debb
fa7f245c1bb3bf4508a16581f65fb5dc
fdeb5f8055679e7b8d027ca2fb8cc3bc
859a35d318939ed2223a8cf8cb6e36dc
50b9a525576a1d6ec8d3561c0a5a310a
3860b946b8d9b8d38ee1ee7d64406e61
7b3b2c77c89cfa3034092ce4b4f9dd58
d2c55c8b33866df2ce9569d3d35b8128
08afa237e10a6f0cdafa33c1e098280d
0560efa41ddd9c45f77d30387512c455
6a1964a9ff7c91d769cd67d207faef00
a17dffdba47925274a6ec3447aa55f5e
cc4afebfff95dea3ad0761af04f97d3b
807dc68d1b436225599f6a5adc70d00e
8da11a1543c93d173ac1440930108934
4c9afb2c8ccf90449da2b7d467921c12
d7b5a61351239ca7002564aed2308156
6da7b5f623365a74e16a868a3e722825