介绍:
本文将揭秘地下行业最常见的扫号产业链,包括从收号、代理抓包、扫号、洗号、变现的完整流程。本文主要讲YY直播的扫号产业链
无意中发现账户扫描黑客
近日,在蜜罐中发现了一个特殊的腾讯云IP。 这个IP经常通过我们蜜罐的匿名代理端口向几个特定的IP发送数据包。 不过,数据包的内容看起来并不异常,只是正常的TCP链接。
该IP的80端口上有一个hfs。 奇怪的是,这个hfs中存储的并不是木马远程控制样本,也不是挖矿样本,而是一堆IP和端口组合。
这些都勾起了我们的好奇心。 正好他的hfs是有漏洞的版本,所以他写了下面这篇长文:
控制黑客机器
使用hfs代码执行直接下载黑客的vps并直接进入管理员桌面。 乍一看,机器上一切似乎都很正常。
打开面前名为“Save Data xxx”的文件夹,你会看到大量已分类型的账号和密码文件。
根据类别名称推测,这应该是YY直播的账号密码。
所以为了验证这些账号的真实性,我们尝试登录了几个账号。 成功率几乎是100%。
如下所示:
这些机密文件里的账户都可以登录,有的账户还剩下Y币或者钻石。
粗略计算,这个文件夹里有15000多个账号和密码。
然后我在机器上发现了几个YY真人账户扫描仪。
我用mimikatz抓取了管理员密码并切换到了他的桌面。 帐户扫描程序疯狂运行。
我尝试运行其中一款账户扫描工具,导入他的vps扫描过的账户,发现都可以登录。这个账户扫描工具效率极高。
有趣的是,从数据包来看,这些账户扫描软件并不是直接通过Web界面扫描账户。 从他们的文件命名来看,他们的账号扫描是通过YY直播客户端的通信协议完成的。 ,推测这样做的目的是为了提高账号扫描的速度,因为初步看来给YY直播协议的登录是直接通过tcp协议完成的。 不需要再经过一层http。
我在同一个目录下找到了config配置文件。 该文件配置了之前黑客的hfs地址。 这就解决了之前的疑惑。 事实上,他hfs中的IP列表是他收集的一些免费匿名代理IP。 将号码批量导入扫号软件,开始扫号。
横财
我们在该黑客的vps上发现了“百度云盘软件”。 当他打开百度云软件时,他居然记住了密码,所以我们顺着这条路深入挖掘。
他的百度云账号包含大量的插件、账号数据以及一些账号扫描的源代码。
在文件夹编号400万的文件夹中发现包含超过380万个YY帐号和密码的文件。
初步怀疑这些账户密码是YY此前泄露的账户密码的一部分。
这些账户密码排列得非常整齐,随机选择的账户都可以登录。 这些应该是账号扫描的基本数据源。 后来证实这确实是yy泄露的旧数据(这部分稍后再写)
至此,我们已经找到了黑客的账户扫描数据来源、账户扫描工具以及账户扫描方法。 不过,我们仍然对他的380万个账户的来源以及他后续将如何将这些账户货币化非常感兴趣,因此进行了一系列后续操纵。
轻松追溯
为了了解他们的整个产业链yy刷礼物软件教程,我决定加他的qq。 在加入他之前我们对他进行了深入的了解。 正如前面所说,这个黑客确实粗心。 他在他的vps百度云里记住了密码yy刷礼物软件教程,所以我们追查来源就容易多了。
看到酷炫的OPPO r7s,这明显是他手机上传的。
这就是小黑客的样子。 他还是个可爱的小鲜肉。 他在山东潍坊的一所学校上学。
终于,他在自己的位置地图上找到了自己就读的学校,潍坊XX学院
这个黑客太粗心了,还继续翻他的相册
我找到了他的两个QQ号,分别是281********和3338********。
然后通过他的百度云账号,我们可以帮助确定他最常用的QQ号码,就是2开头的QQ号码
黑客本人还成立了一家名为“良芯科技”的公司(但经调查并未注册)
仍在做自由流动业务
对了,他的QQ空间里暴露了他的年龄,他还是个多愁善感的年轻人。
在他使用的校园互联网软件中也发现了他的名字。
通过和他vps的3389密码对比,发现他的vps密码开头是他名字的首字母。
也从侧面证实了这个名叫张某涛的人就是扫描账户的黑客。
经过汇总,信息总结如下:
姓名:张*涛
年龄:18
