功能變數名稱背後的真相，一個黑產團夥的淪陷

*原創作者：[email protected]金烏網路安全實驗室，本文屬FreeBuf原創獎勵計畫，未經許可禁止轉載

黑產系列報告薅羊毛篇>>

黑產系列報告短視頻篇>>

黑產系列報告菠菜篇New（預告）>>

前言

很多小夥伴溯源一般只追查到whois資訊，但個人認為該資訊未必是真實有效的，挖掘背後的資訊才是正章。

起因

今天在朋友圈，看到朋友發了一條資訊，說收到帶病毒短信。

分析

直接通過上述地址下載該安卓木馬。

通過APK逆向分析工具分析後得知，該木馬基本已經將能獲取的許可權都申請一遍了。如下圖，開機啟動，發送短信，删除簡訊，獲取連絡人，允許接收WAP資訊並删除，喚醒手機，檢查網絡狀態，甚至連振動器的許可權都申請了。

看一下具體的行為：

1、啟動裝置管理員操作。

2、無意間還翻到這個。呵呵呵呵！

3、通過手機接收受害者相關資訊。

4、通過郵箱接收受害者相關資訊。

發送郵箱用戶名：

發送郵箱密碼：

5、獲取手機號碼，並對應判斷攔截這些手機的短信內容。

6、發送惡意簡訊“我給你錄了段小視頻你看看 ryxxxx.xxx/MUStx”來進行傳播。

7、監聽簡訊寄件匣及收件箱。

通過上述程式碼不難看出，該木馬的主要功能為獲取手機內的簡訊，獲取手機內的連絡人並發送至指定郵箱，同時將木馬下載地址通過簡訊的管道傳播給手機裏所有的連絡人。

大同小异的木馬。下麵是重點了，我們的溯源之路。

溯源

一、初步探測

1、通過郵箱註冊的號碼來看，應該是字母+手機號，通過一些手段，我們查找到，該手機號碼，歸屬地為遼寧朝陽，實名認證姓名是於國玲，開卡時間為2014年9月22日，套餐為神州行家園卡歡樂套餐。但無法確認該手機號的實名認證資訊一定是放馬人的。

2、通過木馬裏收信電話中的査詢，發現該電話為某商戶外賣電話，如果這個電話確實是放馬人的，每天的簡訊量將難以估計，放在手機上估計此手機也幹不了別的了。由於外賣電話不太可能置於電腦進行接信，所以此手機號可能性不大。

3、當我登入放馬人的郵箱時，發現密碼錯誤。通過找回密碼，發現提示該郵箱並未注册。利用木馬中的資訊，注册該郵箱後，發現有大量簡訊及通訊錄發送到此郵箱。但第二天時，該郵箱已被註銷。看來這個郵箱是在用，但是被網易發現該郵箱行為並註銷掉（也說明了網易會未經用戶允許檢查用戶郵件內容）。

4、通過木馬下載地址進行whois反查後發現，注册此功能變數名稱的郵箱同時注册大量功能變數名稱，同時這些功能變數名稱大部分均掛載惡意木馬或其他非法網站。

打開若干網站，下載了多個木馬樣本，程式碼有些許差別，但功能大都一致，發送短信及通訊錄到指定郵箱，同時向通訊錄裡面的人擴撒該木馬。通過檢查這些功能變數名稱下載來的木馬中的郵箱我們發現，這些木馬收信時間有1月份開始的，有2月份開始的，綁定的電話號碼也都不一樣，歸屬地也都不一樣。一個放馬者是否有必要這麼去做？我個人認為可能性不大。由此我們猜測，這個“馬玉海”會不會是木馬製作者，根據客戶需求來製作木馬，而放馬者有很多呢？所以找到這個所謂的“馬玉海”顯得極為重要。

5、再次經過一系列的排查，發現這些功能變數名稱註冊時登記的電話，最初為青海市某人力資源聯繫方式，最新的記錄為西寧市某餐館電話。

現時我們得知如下內容：

（1）放馬人姓名：於國玲（可能性：70%）

馬玉海（可能性：20%）

（2）放馬人電話：182********（可能性：70%）

159********（可能性：10%）

（3）做馬人姓名：馬玉海（可能性：90%，真實性：30%）

（4）做馬人電話：145********（可能性：80%，真實性：40%）

152********（可能性：60%，真實性：20%）

（5）做馬人郵箱：ba**********[email protected]（可能性：90%，真實性：100%）

通過對這個郵箱進行査詢，發現，除了在幾個功能變數名稱商那裡注册過，其他毫無痕迹，看來也是怕被社。至此，所有資訊均無法作為决定性的證據。溯源之路貌似毫無頭緒，上了個廁所，抽了支烟，重新整理了一下，繼續挖掘。

二、再次出擊

通過不懈的努力，通過Whois反查找到了其注册的又一功能變數名稱sha***.cn，看到底部留有QQ。

百度此QQ，發現兩個資訊：

1、功能變數名稱der***.com

2、某舉報資訊

通過訪問舉報的網站，發現頁面風格與該放馬人名下菠菜網站一模一樣，並且兩個功能變數名稱whois資訊中注册郵箱同樣是該做馬人的郵箱。由此我們可以推斷，此人即使不是放馬人也與此人有關。

三、初見眉目

舉報資訊中的支付寶的實名認證為*佳永，帳號名石佳永，再通過群關係査詢，此人確實是叫石佳永，但現時證據無法直接說明這個石佳永一定是做馬人，有可能只是個代理。

四、萬用的搜尋引擎

通過穀歌蒐索bai****@163.com郵箱，發現一個手機號碼，該郵箱名下功能變數名稱中存在一個手機號碼。

通過蒐索該手機發現一個QQ。

再次使用群關係。

五、基本確認

這裡發現了一個問題，兩個QQ號有一個共同的群。通過功能變數名稱註冊資訊及兩人間的關係我們推測推測609******這個QQ極有可能就是做馬者。另，經查兩個人都姓石，又是來自同一個村，有沒有可能是個團夥呢？

六、轉移目標

既然推測QQ609******為做馬者，我們重點的溯源對象改為該QQ。通過社工庫對此QQ的査詢，發現其中一個密碼的MD5。碰撞出來為scx*****。

將bai******@163.com的郵箱作為帳號加上QQ609******査詢到的密碼。終於，我們成功登入了該郵箱所注册的幾個功能變數名稱空間商。由此可斷定，QQ609******的擁有者即為做馬者。

七、深入挖掘

從做馬者的小心程度來看，馬玉海估計不可能是其真實姓名，我們繼續對此進行深入的挖掘。

在易名網，利用帳號為QQ69*******的QQ郵箱和社工出來的密碼，成功登入了該郵箱所注册的易名網。通過對實名的認證，此人名石昌雄，91年出生，身份證歸屬地廣西桂林。再結合該QQ郵箱下的whois資訊name為：shichangxiong，OK，這就全都對上了。

通過對之前兩個手機號碼的査詢，兩個號碼均為廣東佛山，又通過愛名網的登入記錄發現，常用IP為廣東中山。所以基本可以認定，此人身在廣東。再次蒐索134的手機號碼發現，此人10年時在廣東佛山賣米粉。

八、深入的深入

再次蒐索QQ資訊，發現一個182的手機號碼。歸屬地為廣西桂林。

愛名網的找回密碼校驗資訊，同時顯示一個182號碼注册的。

査詢支付寶實名認證。

微信蒐索該號碼。

由此可斷定，該號碼為放馬人石昌雄的電話。百度此182手機號，發現此資訊：

通過之前社工的密碼scx********登入該郵箱。

再次百度182的手機。

通過以上資訊，重新整理做馬人資訊：

1、放馬人姓名：石昌雄

2、放馬人電話：1342561****，1820773****

3、放馬人身份證：45032219910110****

4、身在廣東佛山的廣西人。

5、QQ:609******

6、職業：賣米粉，賣熱水器，賣竹鼠，SEO優化，賣木馬。

OK，所有資訊追查完畢，雖然是個曲折的溯源過程，不過還是找到了源頭。由此感歎，靠社工果然是無敵的。

挖掘背後的資訊

這個做馬者的資訊在網上實在是過於少，那麼他是通過什麼來進行營利的呢？我們通過之前社工到的那個群，對裡面的群成員進行査詢，發現其中一位群員的QQ的資訊中包含m131********@163.com，這與之前木馬中的郵箱格式十分相似。

再通過上面留下的微博資訊，我們再次査詢到：

還有一個人的介紹。

再結合此群的資訊和之前的石佳永，有沒有可能這個群裡面大部分人都是幹黑產的呢？並且是一個村子一起幹電信詐騙的？

通過遊客模式進入該群。

下載了數十個木馬樣本，每個群成員的資訊進行一一比對，終於，終於，終於找到了這個。

登入該郵箱。

確定此為黑產團夥的原因有四：

1、群主及其中一位管理在做黑產。

2、一比特成員的QQ資料中的郵箱與木馬的收信郵箱吻合。

3、群內部分成員QQ資料裏有很多類似菠菜、釣魚等網站。

4、群內多半的成員中，QQ資料裡面都留有自己手機，不過都是被騰訊默認打碼的。手機號默認是不對外公開的，自己為什麼要放在QQ資料上，這裡我們只能推測是收信的郵箱地址，但自己不常用記不住，所以寫在QQ資料上。

至此，所有溯源到此結束，再往下的我們也無能為力了。

寫在最後

說實話，此次溯源能挖到這麼個團夥也屬於意外收穫。也給各位小夥伴提供個溯源思路吧，大膽猜想，細心檢索，不怕麻煩，屢清線索。感謝所有可以閱讀到此的朋友們。最後的最後附上思路及邏輯圖。

同學們如果有興趣深入交流，可聯繫作者，聯繫方式：[email protected]