qq_27446553

域名背后的真相，一个黑产团伙的沦陷

*原创作者：g0v@金乌网络安全实验室，本文属FreeBuf原创奖励计划，未经许可禁止转载

前言

很多小伙伴溯源一般只追查到whois信息，但个人认为该信息未必是真实有效的，挖掘背后的信息才是正章。

起因

今天在朋友圈，看到朋友发了一条信息，说收到带病毒短信。

分析

直接通过上述地址下载该安卓木马。

通过APK逆向分析工具分析后得知，该木马基本已经将能获取的权限都申请一遍了。如下图，开机启动，发送短信，删除短信，获取联系人，允许接收WAP信息并删除，唤醒手机，检查网络状态，甚至连振动器的权限都申请了。

看一下具体的行为：

1、激活设备管理器操作。

2、无意间还翻到这个。呵呵呵呵！

3、通过手机接收受害者相关信息。

4、通过邮箱接收受害者相关信息。

发送邮箱用户名：

发送邮箱密码：

5、获取手机号码，并对应判断拦截这些手机的短信内容。

6、发送恶意短信“我给你录了段小视频你看看 ryxxxx.xxx/MUStx”来进行传播。

7、监听短信发件箱及收件箱。

通过上述代码不难看出，该木马的主要功能为获取手机内的短信，获取手机内的联系人并发送至指定邮箱，同时将木马下载地址通过短信的方式传播给手机里所有的联系人。

大同小异的木马。下面是重点了，我们的溯源之路。

溯源

一、初步探测

1、通过邮箱注册的号码来看，应该是字母+手机号，通过一些手段，我们查找到，该手机号码，归属地为辽宁朝阳，实名认证姓名是于国玲，开卡时间为2014年9月22日，套餐为神州行家园卡欢乐套餐。但无法确认该手机号的实名认证信息一定是放马人的。

2、通过木马里收信电话中的查询，发现该电话为某商户外卖电话，如果这个电话确实是放马人的，每天的短信量将难以估计，放在手机上估计此手机也干不了别的了。由于外卖电话不太可能置于电脑进行接信，所以此手机号可能性不大。

3、当我登陆放马人的邮箱时，发现密码错误。通过找回密码，发现提示该邮箱并未注册。利用木马中的信息，注册该邮箱后，发现有大量短信及通讯录发送到此邮箱。但第二天时，该邮箱已被注销。看来这个邮箱是在用，但是被网易发现该邮箱行为并注销掉（也说明了网易会未经用户允许检查用户邮件内容）。

4、通过木马下载地址进行whois反查后发现，注册此域名的邮箱同时注册大量域名，同时这些域名大部分均挂载恶意木马或其他非法网站。

打开若干网站，下载了多个木马样本，代码有些许差别，但功能大都一致，发送短信及通讯录到指定邮箱，同时向通讯录里面的人扩撒该木马。通过检查这些域名下载来的木马中的邮箱我们发现，这些木马收信时间有1月份开始的，有2月份开始的，绑定的电话号码也都不一样，归属地也都不一样。一个放马者是否有必要这么去做？我个人认为可能性不大。由此我们猜测，这个“马玉海”会不会是木马制作者，根据客户需求来制作木马，而放马者有很多呢？所以找到这个所谓的“马玉海”显得极为重要。

5、再次经过一系列的排查，发现这些域名注册时登记的电话，最初为青海市某人力资源联系方式，最新的记录为西宁市某餐馆电话。

目前我们得知如下内容：

（1）放马人姓名：于国玲（可能性：70%）

马玉海（可能性：20%）

（2）放马人电话：182********（可能性：70%）

159********（可能性：10%）

（3）做马人姓名：马玉海（可能性：90%，真实性：30%）

（4）做马人电话：145********（可能性：80%，真实性：40%）

152********（可能性：60%，真实性：20%）

（5）做马人邮箱：ba**********[email protected]（可能性：90%，真实性：100%）

通过对这个邮箱进行查询，发现，除了在几个域名商那里注册过，其他毫无痕迹，看来也是怕被社。至此，所有信息均无法作为决定性的证据。溯源之路貌似毫无头绪，上了个厕所，抽了支烟，重新整理了一下，继续挖掘。

二、再次出击

通过不懈的努力，通过Whois反查找到了其注册的又一域名sha***.cn，看到底部留有QQ。

百度此QQ，发现两个信息：

1、域名der***.com

2、某举报信息

通过访问举报的网站，发现页面风格与该放马人名下菠菜网站一模一样，并且两个域名whois信息中注册邮箱同样是该做马人的邮箱。由此我们可以推断，此人即使不是放马人也与此人有关。

三、初见眉目

举报信息中的支付宝的实名认证为*佳永，账号名石佳永，再通过群关系查询，此人确实是叫石佳永，但目前证据无法直接说明这个石佳永一定是做马人，有可能只是个代理。

四、万用的搜索引擎

通过谷歌搜索bai****@163.com邮箱，发现一个手机号码，该邮箱名下域名中存在一个手机号码。

通过搜索该手机发现一个QQ。

再次使用群关系。

五、基本确认

这里发现了一个问题，两个QQ号有一个共同的群。通过域名注册信息及两人间的关系我们推测推测609******这个QQ极有可能就是做马者。另，经查两个人都姓石，又是来自同一个村，有没有可能是个团伙呢？

六、转移目标

既然推测QQ609******为做马者，我们重点的溯源对象改为该QQ。通过社工库对此QQ的查询，发现其中一个密码的MD5。碰撞出来为scx*****。

将bai******@163.com的邮箱作为账号加上QQ609******查询到的密码。终于，我们成功登陆了该邮箱所注册的几个域名空间商。由此可断定，QQ609******的拥有者即为做马者。

七、深入挖掘

从做马者的小心程度来看，马玉海估计不可能是其真实姓名，我们继续对此进行深入的挖掘。

在易名网，利用账号为QQ69*******的QQ邮箱和社工出来的密码，成功登陆了该邮箱所注册的易名网。通过对实名的认证，此人名石昌雄，91年出生，身份证归属地广西桂林。再结合该QQ邮箱下的whois信息name为：shichangxiong，OK，这就全都对上了。

通过对之前两个手机号码的查询，两个号码均为广东佛山，又通过爱名网的登陆记录发现，常用IP为广东中山。所以基本可以认定，此人身在广东。再次搜索134的手机号码发现，此人10年时在广东佛山卖米粉。

八、深入的深入

再次搜索QQ信息，发现一个182的手机号码。归属地为广西桂林。

爱名网的找回密码校验信息，同时显示一个182号码注册的。

查询支付宝实名认证。

微信搜索该号码。

由此可断定，该号码为放马人石昌雄的电话。百度此182手机号，发现此信息：

通过之前社工的密码scx********登陆该邮箱。

再次百度182的手机。

通过以上信息，重新整理做马人信息：

1、放马人姓名：石昌雄

2、放马人电话：1342561****，1820773****

3、放马人身份证：45032219910110****

4、身在广东佛山的广西人。

5、QQ：609******

6、职业：卖米粉，卖热水器，卖竹鼠，SEO优化，卖木马。

OK，所有信息追查完毕，虽然是个曲折的溯源过程，不过还是找到了源头。由此感叹，靠社工果然是无敌的。

挖掘背后的信息

这个做马者的信息在网上实在是过于少，那么他是通过什么来进行营利的呢？我们通过之前社工到的那个群，对里面的群成员进行查询，发现其中一位群员的QQ的信息中包含m131********@163.com，这与之前木马中的邮箱格式十分相似。

再通过上面留下的微博信息，我们再次查询到：

还有一个人的介绍。

再结合此群的信息和之前的石佳永，有没有可能这个群里面大部分人都是干黑产的呢？并且是一个村子一起干电信诈骗的？

通过游客模式进入该群。

下载了数十个木马样本，每个群成员的信息进行一一比对，终于，终于，终于找到了这个。

登陆该邮箱。

确定此为黑产团伙的原因有四：

1、群主及其中一位管理在做黑产。

2、一位成员的QQ资料中的邮箱与木马的收信邮箱吻合。

3、群内部分成员QQ资料里有很多类似菠菜、钓鱼等网站。

4、群内多半的成员中，QQ资料里面都留有自己手机，不过都是被腾讯默认打码的。手机号默认是不对外公开的，自己为什么要放在QQ资料上，这里我们只能推测是收信的邮箱地址，但自己不常用记不住，所以写在QQ资料上。

至此，所有溯源到此结束，再往下的我们也无能为力了。

写在最后

说实话，此次溯源能挖到这么个团伙也属于意外收获。也给各位小伙伴提供个溯源思路吧，大胆猜想，细心检索，不怕麻烦，屡清线索。感谢所有可以阅读到此的朋友们。最后的最后附上思路及逻辑图。

同学们如果有兴趣深入交流，可联系作者，联系方式：[email protected]