2.56.254.21
45.88.168.116
45.148.136.2
63.251.217.30
63.251.217.97
185.183.87.46
193.239.146.50
193.239.146.77
213.59.118.134
3fd3fd0003fd3fd21c42d42d000000307ee0eb468e9fdb5cfcd698a80a67ef
179.43.149.14
哈希:-1965469592
179.43.149.15
179.43.149.16
179.43.149.17
179.43.149.18
81.17.22.78
3fd3fd0003fd3fd21c42d42d000000307ee0eb468e9fdb5cfcd698a80a67ef
c段扫描:
通过观察收集记录攻击者变化的域名和IP分析,发现经常使用连续数字的IP具有一定的关联性。 通过c段检测和线路扩容发现,从103.80.134.84到103.80.134.95和103.80.134.97的所有攻击,103.80.134.97的资产最后活跃在一年前,其他都是最近活跃的IP
其他攻击主题:反邮箱检查和扩展线路:
根据whois信息查询,发现大量域名的注册人信息没有隐私保护。 注册人为中文女名,使用网易邮箱。 由于网易邮箱的注册门槛较低,信息曝光量较小,且涉嫌虚假身份
根据邮箱查看注册域名,发现攻击者利用该身份注册了大量域名,其中大部分注册在阿里云平台。 尝试在本地批量导出该邮箱注册的所有域名。 目前微步x智能社区的邮箱是最全最免费的域名反向搜索,但是没有批量导出功能,尝试写个js脚本提取,提取后根据子域名反向查询
//保存到本地
var output = new Array();
function saveShareContent (content, fileName) {
let downLink = document.createElement('a')
downLink.download = fileName
//字符内容转换为blod地址
let blob = new Blob([content])
downLink.href = URL.createObjectURL(blob)
// 链接插入到页面
document.body.appendChild(downLink)
downLink.click()
// 移除下载链接
document.body.removeChild(downLink)
}
var tb = document.getElementById('test'); // table 的 id
var rows = tb.rows; // 获取表格所有行
for(var i = 0; i<rows.length; i++ ){
output.push("r第"+(i+1)+"个r");
for(var j = 0; j<rows[i].cells.length; j++ ){ // 遍历该行的 td
if(j+1 == 1){
output.push("网址:"+rows[i].cells[j].innerHTML.replace(//g, ""));
}else if(j+1 == 4)
{
output.push("注册时间:"+rows[i].cells[j].innerHTML);
}else if(j+1 == 5){
output.push("过期时间:"+rows[i].cells[j].innerHTML);
}
// 输出每个tr的内容
}
}
saveShareContent (output, "save")
关联大量针对日本各行业的钓鱼域名和IP
部分攻击题目的域名格式针对日本docomo运营商doco[az]{2}.top
对于日本的 au-pay 运营商
|about-au-pay.[az]{7}.cn bwut-au-pay.[0-9a-z]{6}.cn aupay-update-jp.[0-9a-z]{5}. cn aupay-onei.[az]{7}.cn au-pay-auoneo.[0-9]{6}.cn amow-auoneo-jp.[az]{7}.cn about-au-pay.[ az]{8}.cn inof-auoneo-jp.[az]{8}.cn
mowcn-au-pay.[az]{6}.cn
为日本AEON网购平台()
|aeon-jp.[az]{7}.cn
aeoni.[az]{7}.cn
日本Mercari跳蚤市场服务()
|jp-merioari.[0-9a-z].cnjp-mericarli.[0-9a-z].cnjp-merioari.[0-9a-z].cn
jp-mercario-pay.[0-9a-z].cn
iphone钓鱼页面分析(假国税局页面):
弹窗提示需要缴纳所得税,缴纳期限仅限当日,随访问日期而变化
付款确认号码:****3697
我们一直在敦促你自愿支付你的所得税(或欠款,依法计算),但你还没有这样做。 该公司是本公司及其子公司的注册商标。
参观费总额:40,000日元
付款截止日期:2022年11月8日
付款的最后期限:2022/11/8(付款期限不能延长)。
点击弹窗中的支付按钮,会跳转到“/step2.html”页面,诱导用户填写个人信息和银行卡信息,
上传到指定网页
页面模板估计是/notice.php,IP是153.122.197.148
Android应用逆向分析:
详细分析链接:apk逆向&扩线&溯源
基本信息:
攻击者利用该网页诱导Android用户下载并安装伪装成KDDI开发的AU mobile security的恶意程序。
apk name KDDIセキュリティ.apk
文件散列
585bef6ce050389b729590008fae18d6
程序图标
该应用没有实际的“AU Mobile Security”功能,点击任意按钮弹出“Start Success”
使用的一些特殊字符串:
发现解密后的字符串中使用了大量中文,正面证明攻击者是简体中文母语者
加密字符串解密后的明文
ARAeFFtNTRwKDBcTDAMIAxMHAoSXwoLBBAEDBZGEROE
ARAeFFtNTVpXUkFZUQgBCEwWBxVN
ARAeFFtNTRwKDBcTDAMIAaxMHAoSXwUNBA9PFhoc
ARAeFFtNTRwKDBcTDAMIAxMHAoSXwULDQtPEgwP
ARAeFFtNTVpXUkFZUUQQDhJN
ARAeFFtNTVpXUkFZUUQQDhJN
gOTwjM/Nh9XwRA==
联系人&
gOTwjM/Nh9XwRB4GRBgBEhcOHEQ=
联系人&无结果!
j/npjfjyRI75yJjn04/r94T/64z74A==
权限和未获得的权限
jNvpjNbRRBgMDBc=
心跳和 ping
j/npjfjyh+f0i/DoguXFh+vpjenn
允许发送握手包
jOnSjNzfhOD1h/r2Qg==
卸载成功&
jOv7gN7DhOnKRAMcBwkBEhFY
发送消息&成功:
jdvLguDNh9/XhP/5gNDAR4ba6A==
资料提交及
j+vLgujph+TgRA==
握手&
LSE5SyQhIEcrDSAIAA4NDwU=
DES/ECB/无填充
伦敦政治经济学院5
DES
LSE5AQUHTS0mIF8nCzoFBQYLBgI=
DESede/欧洲央行/NoPadding
LSE5AQUH
德塞德
KCE5SyQhIEcrDSAIAA4NDwU=
AES/ECB/无填充
KCE5
AES
DxETBQ8DDA==
福亚南
疑似姓名(“付亚男”):
2015年在博客园找到一篇文章《两种方式监控短信的介绍》,代码中列出的代码与攻击者使用的代码重叠。 攻击者很有可能复制了文章作者的代码。
“date desc”是文章中判断的数字。 攻击者原封不动地复制了它,并使用了特殊名称“fuyanan”。 攻击者也没有改动,直接使用了博文:
攻击者使用代码:
沟通行为:
攻击者通过访问代理服务器(“”)获取C2的IP地址和端口,以此来规避av的静态检测。 其实连接的IP地址是192.186.11.120:6666
通过IP关联扩展到未知攻击主题:
根据已知恶意应用使用的IP(91.202.5.99&192.186.11.120),可以在vt上关联出大量攻击主题相同、相似的应用
初步检查根据应用名称可分为三类攻击主题,分别冒充日本运营商au、docomo和SOFTBANK,大量恶意应用的恶意功能基本一致
apk名称翻译钓鱼攻击主题
KDDI セキュリティ.apk
KDDI 安全.apk
AU 由 KDDI
NTTあんしんSEキュリティ_.apk
NTT安信安全.apk
NTT DOCOMO
Softbank セキュリティ.apk
软银安全.apk
BB安全
zoomeye 资产绘制:
通过zoomeye搜索IP91.202.5.99可以检测到攻击链中仍然使用了一些关联域名来获取真正的c2
域横幅
192.186.13.30:7777
192.186.13.30:7777
192.186.13.90:6666
192.186.13.90:6666
192.186.11.125:6666
192.186.11.205:6666
192.186.11.205:6666
192.186.11.120:6666
192.186.11.120:6666
特殊数据:
从VT中的所有IP中批量提取相关域名,对所有数据进行去重分类清洗,根据其活动时间范围再次过滤,得到不同于同一IP下分析的其他钓鱼域名的特殊数据“”格式, 并于2022-05-13 将新IP地址更改为193.187.117.156,查询到的jarm指纹与假国税局页面一致
并且可以通过相同攻击主题的样本链接到另一个来自vt的c2地址209.250.232.4:6666,这与攻击者使用的代理方式完全一致
直接访问是后台发现作为管理系统
目前域名解析为154.204.45.195
可追溯性(资产的WHOIS信息):数据清洗:
根据上面的操作,得到了很多IP和域名。 现在需要对获取的域名进行分类清洗和筛选,剔除常见特殊格式的域名(/特殊主题钓鱼域名),获取数据后传递特殊值。 以异常值进行信息查询和定位
清理逻辑IP基础网络资产 提取与扩展网络资产关联的域名IP WHOIS 保留“registrar”和“emails”到数组listRegisterlistRegister deduplicated and export.xls table 过滤表中有效注册人信息 Exclude registrars 排除已知虚假身份
这种方式批量查询出来的信息中包含一些特殊的中文名字,信息比较全面真实,然后人工溯源确认
攻击者一号:基础信息溯源:
特殊领域信息
通过查询对应的qq号和微信号,基本可以确定该域名是真实用户注册的。 再次,根据注册时使用的qq邮箱,可以查到攻击者在2017年注册的域名,注册信息填写完整。
通过注册时使用的手机号搜索支付宝转账,获取真实姓氏和名字最后一个字,验证whois信息是否真实
攻击者个人经历:
攻击者2010年左右开始学习Easy Language,常用ID为
, ID 和 name 是强关联的
使用频率最高的学习易语言论坛“精易论坛”,持续发布大量易语言开发的文章和帖子,作为论坛重度用户,在线时长2680小时!
实锤:
2022年4月16日发帖提问日本运营商au验证码,符合攻击主题和攻击时间线
基本信息:
image.png 第 2、3 名攻击者:
发现特殊的注册公司和邮箱
根据qq邮箱查看关联域名
发现大量注册人相关信息和公司名称易语言怎么从网页查询资料,以及常用电话号码
image.png 进一步的个人信息验证:
攻击者屏蔽了“qq号搜索”功能,无法直接搜索到账号。 不过根据第三方网站和充值年费VIP的统计结果来看,账号等级也是很高的。 基本可以确定是真实账户,主要是日常使用。 账号qqvip邮箱
, 也作为注册公司使用的邮箱
并且可以通过QQ号绑定微信账号易语言怎么从网页查询资料,根据微信“浙江衢州”显示的区域
但是,通过微信搜索注册域名的电话号码时,出现了不同的微信号码,账号用户为女性,但位于同一地区,两者之间存在很强的关联。
信息扩展
所有注册公司无实收资本,社保号为0,基本确认为皮包公司
扩展过程梳理:
总结:
安全的本质是人与人之间的较量。 尽量站在攻击者的角度思考,梳理出整个攻击链条的执行过程,可以将各个信息点通过关联手段串联起来。 对于数据的分类和筛选处理,可以根据特殊值、固定值、聚合值、异常值来定位全线扩展和溯源需要从已知信息中发现更多未知的相关信息,不局限于暴露的攻击事件需要更多的维度以及需要分析的数据量更大。 随着数据收集越来越完善,可以发现并进一步追溯未知攻击,深入挖掘事件背后相对隐蔽的私有资产,实现更深层次的攻击溯源。 对收集到的信息及其关联数据和备案信息进行验证,溯源至攻击者个人信息
参考:
:///jianouuzuihuai/study/hands-on_traceability__locating_phishing_attackers__from_codes_to_time_zones__from_countries_to_specific_people-01
招聘小广告
ChaMd5Venom 招大佬入圈
新成立集团物联网+工控+样品分析 长期招聘
欢迎联系
