某疫情相关的赌博网站分析报告(二)

admin 2022年7月22日06:43:26评论32 views字数 2686阅读8分57秒阅读模式

某疫情相关的赌博网站分析报告(二)

一、概要

之前,星辰实验室团队分析了几个借着“抗击疫情”的口号,吸引用户去注册试玩的赌博诈骗网站。最近,团队又发现了两个有着相同套路的网络博彩平台——“天虹国际”。

二、网站介绍

https://www.5*****w.com/#/reg/ud84pu和 https://www.k*****8.com/#/是某个网络博彩平台的链接网址,这两个网址虽然不同,但两个网址所对应的的平台名均为“天虹国际”,而且网站相同,并无差别。访问网站,发现该网站有借疫情进行推广及诱导用户试玩的嫌疑,这两个网站界面如图2-12-2所示。

某疫情相关的赌博网站分析报告(二)

2-1  网站的界面

某疫情相关的赌博网站分析报告(二)

2-2  网站的界面

三、Whois站长之家查询结果

(一)www.5*****w.com的相关信息

1.域名查询

通过Whois站长之家查询网站www.5*****w.com的相关信息,结果如下:

域名:5*****w.com

Whois注册服务器:whois.godaddy.com

域名创建时间:2015-07-20

域名过期时间:2020-07-20

注册商:GoDaddy.com, LLC

DNSNS***.DOMAINCONTROL.COM

           NS***.DOMAINCONTROL.COM


某疫情相关的赌博网站分析报告(二)

3-1  Whois站长之家关于域名5*****w.com的信息

2.域名的DNS解析地址查询结果

通过Whois站长之家查询5*****w.comDNS解析地址,结果如图3-2所示:

某疫情相关的赌博网站分析报告(二)

3-2  5*****w.comPing检测结果

通过ping检测,只有第一个IP地址有响应,IP归属地显示是中国香港。通过站长之家查询到5*****w.com的注册商为GoDaddy,这是一家提供域名注册和互联网主机服务的美国公司,非个人账户,所以无法通过邮箱和电话的whois反查与5*****w.com这个域名相关的其他网站。

(二)www.k*****8.com的相关信息

1.域名查询

通过Whois站长之家查询网站www.k*****8.com的相关信息,结果如下:

域名:k*****8.com

Whois注册服务器:whois.godaddy.com

域名创建时间:2015-07-21

域名过期时间:2020-07-21

注册商:GoDaddy.com, LLC

DNSNS***.DOMAINCONTROL.COM

           NS***.DOMAINCONTROL.COM

某疫情相关的赌博网站分析报告(二)

3-3  Whois站长之家关于域名k*****8.com的信息

2.域名的DNS解析地址查询结果

通过Whois站长之家查询k*****8.comDNS解析地址,结果如图3-4所示:

某疫情相关的赌博网站分析报告(二)

3-4  k*****8.comPing检测结果

通过ping检测,发现该网站的IP地址与5*****w.com的完全相同。同样,k*****8.com的注册商也是GoDaddy,这是一家提供域名注册和互联网主机服务的美国公司,非个人账户,所以无法通过邮箱和电话的whois反查与5*****w.com这个域名相关的其他网站。

四、APP分析结果

在访问网址的过程中,发现这两个博彩网站还提供了相关APP下载,APP界面如图4-1所示,从APP界面上同样可以看到“携手慈善”、“抗击疫情”等与疫情相关的关键词。

某疫情相关的赌博网站分析报告(二)

4-1  相关APP截图

为了进一步分析APP,使用Wireshark对该APP进行抓包分析,果然在数据流中发现了与该博彩网站相关的服务器信息,通过分析发现www.5*****w.com应该是该APP的服务器地址

某疫情相关的赌博网站分析报告(二)

某疫情相关的赌博网站分析报告(二)

4-2  数据流中的服务器信息

通过访问tianhong*****.zendesk.com,发现直接跳转到了一个登录界面,通过搜索发现zendesk是一家为客户提供基于互联网SaaS客户服务/支持管理软件的公司,使企业可以更加轻松地管理终端客户的服务和支持需求,所以该界面可能是该赌博软件客服的登录界面,如下图所示:

某疫情相关的赌博网站分析报告(二)

4-3  访问tianhong*****.zendesk.com的结果

通过对APP的服务器地址www.5*****w.com进一步的调查分析,追溯到了该域名的历史注册信息,具体如下:

某疫情相关的赌博网站分析报告(二)

某疫情相关的赌博网站分析报告(二)

4-4  域名www.5*****w.com历史注册信息

www.5*****w.com的注册者是zi*** liu,邮箱是baiba*****@163.com,通过搜索,发现该支付宝用户的账号虽然与注册邮箱相同,但由于未实名制,可能存在被盗用的情况。

某疫情相关的赌博网站分析报告(二)

五、安全建议

疫情期间,在家上网时,要注意以下几点:

(1) 拒绝任何赌博彩票相关的网站和APP

(2) 不要动不劳而获的贪念。

(3) 在进行捐款等支持抗击疫情的工作时,要选择靠谱可信,由政府认证监督的机构。


星辰实验室在这里提醒大家“在家抗疫,要远离赌博,远离诈骗”。

 

某疫情相关的赌博网站分析报告(二)


    

    agent

    使

    

使



更多技术文章,欢迎关注星辰实验室公众号:

 

某疫情相关的赌博网站分析报告(二)


 



原文始发于微信公众号(星辰安全实验室):某疫情相关的赌博网站分析报告(二)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月22日06:43:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   某疫情相关的赌博网站分析报告(二)http://cn-sec.com/archives/1038463.html

发表评论

匿名网友 填写信息