网络反黑纪实–协助取证流水过亿的非法站

发布日期:2019-02-27 浏览次数: 7266 次
  前言#
  本故事纯属虚构 如有雷同纯属巧合
  本文于 2019/1/22 首发于圈子社区 
  原文地址:https://www.secquan.org/Discuss/1068720
  近年来互联网犯罪日益猖獗,而且以电诈、网传、网赌、黑彩等方式进行大肆侵害普通人民群众的财产。
  滋生了很多刑事案件,甚至酿成血案、命案。
  所以,如何反网络犯罪,有效遏制犯罪势头,成为了各级政法工作的新方向。图文无关
  起由#
  本故事纯属虚构 如有雷同纯属巧合
  2018年中,接到线索通报,发现在互联网上活跃着一个非法的XX平台。
  以网络直播喊单,电话销售、人拉人的形式进行非法XX活动,截止日前已造成多人受害,涉案金额巨大。
  因此,领导部门授权对其互联网据点进行了一次彻底的摸排和取证。
  以配合落地初查、和后续的侦控经营、扩线打击等。
  图文无关
  进程#
  首先,打开其官方网站,非常的大气正规,看起来有保险保障,有正规牌照。
  图文无关:
  但实际查看,保险公司是其名下自己注册的。
  正规牌照都是国外颁发的,而且是那种花钱即可办理的,
  图文无关:
  而且,据评论看,这些赤裸裸的打着国外旗号在国内骗钱的XX平台,大多都是国人开办。。。#
  图文无关:
  开打#
  在有关单位和领导的指示下,我们进行了远程取证工作。
  首先,我们是以APT的思路进行的全面渗透。
  图文无关
  先对其互联网资产进行摸排。#
  并对其互联网资产进行汇总、建档。
  点我看大图#
  图文无关
  可以看出,我们对其资产进行了几大块的分类。
  分别是#
  域名注册等信息#
  历史变更信息#
  端口开放信息#
  历史解析信息#
  C段网站#
  旁站信息#
  历史DNS服务器#
  其他信息#
  然后通过分析研判,我们发现无论是其注册域名地址,还是DNS服务器,都是国内的运营商。
  受阻#
  经过对200多个互联网资产的摸排,我们发现了其四处后台登陆。
  分别是#
  api.*****.com#
  mt4.**.com#
  dev.*****.com#
  admin888.*****.com#
  根据前期信息搜集的情报汇总结合页面情况,我们分析,这四个系统应该分别对应
  接口、MT4系统、开发和管理#
  尝试在页面进行了注入检查。
  图文无关:
  基本都被拦截,ip被BAN#
  应该是部署了阻断式的WAF#
  尝试绕过,发现规则很强大,应该是某云服务商。
  进一步在某旁站发现了个很妙的页面报错。
  图文无关:
  然后针对Thinkphp的一些已知的漏洞进行尝试。
  基本都是被拦截,或者关键函数被禁用。
  图文无关:
  对3.2版本的漏洞基本都修复了。
  期间打下若干C段机器,没有发现子网在一个内网所以很蛋疼。
  还浪费了N个 bypass的 PowerShell脚本。
  自此,时间已经过去了好几天。
  路由突破#
  正当一筹莫展的时候,小伙伴发现了他们C段一台架设了ROS的路由器。
  MikroTik RouterOS是一种路由操作系统,是基于Linux核心开发,兼容x86 PC的路由软件,并通过该软件将标准的PC电脑变成专业路由器,在软件RouterOS 软路由图的开发和应用上不断的更新和发展,软件经历了多次更新和改进,使其功能在不断增强和完善。特别在无线、认证、策略路由、带宽控制和防火墙过滤等功能上有着非常突出的功能,其极高的性价比,受到许多网络人士的青睐。
  细心的小伙伴发现某47.**.9.1 开放了 winbox的 8291端口。
  8291端口是走TCP协议的 winbox从这个端口过
  就想起,我们之前研究的一个对ros漏洞的exp。操起来就是一炮。
  然后用winbox远程登陆其路由。
  发现它架设了L2TP的VPN。。
  拨入进去,进入同一网段。
  测试了下,跟我们预估的一样。
  顺利绕过了WAF的封锁。#
  取证#
  进了内网就是我们的天下了。
  首先,二话不说进行数据库导出。
  进而获取到shell,提权,平行扩权。#
  拿到了多台内网主机,其中包括运营、财务等主机。


  分析#
  对会员和财务数据库进行了重点整理。
  发现受害者近8w余人,季度财务流水过亿。
  图文无关,只作示例:
  图文无关,只作示例:
  图文无关,只作示例:
  图文无关,只作示例:
  结尾#
  对服务器日志、等有效电子证据进行打包后,已全部移交相关部门。
  并附带了详细的分析报告。
  图文无关,只作示例:
  并进行了无害化处理(移交不留档)。
  #后续,据称已进入公诉阶段。
  #结语
  圈子社区的成员中有很多是来自执法战线的,他们长期活跃在互联网反网络犯罪第一线,在此由衷的对他们表示感谢,也希望越来越多的白帽子们能为反网络犯罪贡献力量。
  转自:云诚信息  Secquan圈子社区
分享到:
×

微信扫一扫分享

XML 地图 | Sitemap 地图