新型网络犯罪之关于VOIP设备的全流程取证

点击上方蓝字“小谢取证”一起玩耍

前言

    随着互联网时代的高速发展，电诈案件成爆发式增长,诈骗手法层出不穷，诈骗中所使用的技术手段不断升级，有效打击新型网络犯罪的形式越来越严峻，VOIP设备更是被犯罪分子广泛应用于电信诈骗。本期特邀专注于物联网取证，服务器取证，渗透测试技术专家Grit分享关于VOIP设备的全流程取证。

“VOIP 设备是一种虚拟拨号设备，可以远程控制异地固话拨打电话，实施诈骗行为。

对于涉及电信诈骗的VOIP行为,找到其使用的SIP服务器是调查和追踪的关键一步,主要有以下原因:

1. SIP服务器承载所有VOIP业务。VOIP电话通信最终都是由SIP服务器实现的,涉及的电话号码、通话记录都在SIP服务器上。获取SIP服务器可以解析电信诈骗的操作人员、IP地址、通话记录等信息,这些都是重要的证据。

2. 可以断开SIP服务器遏制违法行为。一旦找到SIP服务器,可以通过技术手段断开其网络连接,立即停止其上正在进行的所有通话,遏制电信诈骗行为的产生。这是处理电信诈骗事件的一种有效手段。

3. SIP服务器可定位实际操作人。如果对SIP服务器进行调查取证,可以找到其实际的管理员、操作人等信息,进一步锁定电信诈骗事件的实际操作者和主要责任人。这对追踪调查非常关键。

4. 可收集命令及控制证据。很多电信诈骗代理公司会通过与SIP服务器的配置命令和控制,来实施针对性的通话后继方案进行诈骗。这些命令和控制信息也是重要的证据,便于分析其电信诈骗的手法和流程。

5. 阻止续作案行为。对SIP服务器实施技术封堵后,可以有效阻止该电信诈骗团伙的续作案行为。他们需要一定时间构建新的服务器和电话资源,这可以赢得宝贵的缓冲时间,继续追踪取证和抓捕电信诈骗人员。所以,对于电信诈骗案件,尤其是大案要案,找到涉案的SIP服务器并进行取证调查是关键的一步,也是取得重要证据的主要手段之一。这可以从多方面推进电信诈骗案件的侦破与破案,遏制违法犯罪行为的发生。这也是将来追踪和取证VOIP电信诈骗案件的重点方向之一。

综上,找寻SIP服务器对破获涉及电信诈骗的VOIP案件具有十分重要的作用,这值得公安和司法机关在今后调查取证中予以高度重视。这也需要电信运营商和VOIP服务提供商的积极配合与支持。

那么什么是SIP呢？

SIP是一种信令协议，用于建立、配置和终止网络上两个端点之间的会话。创建SIP是为了支持使用IP网络从一个端点到另一个端点的语音和视频呼叫。它还可以用于即时消息传递、在线信息或文件传输。

正常情况下VOIP设备贴有机身标识贴以及可视化管理的后台地址和账号密码，我们链接设备后是可以直接获取其数据内容的，但犯罪团伙为了如下目的选择更改了VOIP设备后台登陆地址以及账号密码。

1. 躲避追踪调查。修改登录信息可以隐藏服务器实际的部署位置和管理人信息,增加警方追踪的难度。这可以争取更多时间转移资金和销毁证据。

2. 继续作案。通过改变登录信息可以继续使用同一SIP服务器进行电信诈骗,目的是让已经部署好的通话系统继续产生非法利润,这是最直接的目的。

3. 转移服务器控制权。有时电信诈骗分子会出售SIP服务器的登录权限,让其他人继续使用服务器作案以获利。改变登录信息可以转移服务器的实际控制权,继续通过非法手段盈利。

4. 释放制作人责任。通过改变登陆信息来摘除自己与SIP服务器的关联,试图通过技术手段来免除法律责任。

5. 妨碍警方调查。改变登录信息可以使警方难以直接登陆和控制SIP服务器,无法直接获取服务器的数据和配置信息。这会增加警方取证调查的难度,需要更长时间进行技术攻关和资源调配。

除上述原因外,改变登录信息也可能是电信诈骗分子的惯用手法。他们将改变登录信息视为一种对抗警方追踪的常用技术手段,但这并不能改变他们的违法犯罪的本质,也难以逃避法律的严惩。这需要警方在技术和证据上都下足功夫,综合使用各种手段进行追踪取证,最终彻底铲除这类电信诈骗犯罪行为。

所以,电信诈骗分子改变后台登录信息的目的主要还是为了继续非法盈利和逃避法律追责。但这并不意味着改变登录信息就可以随意逃避法网,还需要警方采取针对性的技术和执法手段进行有效打击和遏制。这也需要社会各界的高度重视与配合,使电信诈骗分子无处遁形。

基于此，本次取证过程相对曲折。

将voip设备与计算机使用网线连接，打开无糖浏览器语音网关IP提取工具获得后台地址。

由于其后台登陆账号密码已更改，无法通过默认账号密码登陆，需要使用抓包去分析其sip服务器。

开启wareshark选择本地网卡抓包，成功捕获数据包后，使用过滤条件sip筛选出有用数据包，如下图：

Sip请求报文：

消息头查看

From：请求的发起方

Call-ID：唯一标识

Contact：请求方的联系地址

User-agent：请求方的代理名称

Content-Length：消息体长度

最终我们获得了其SIP服务器地址，调证后制作镜像。使用仿真取证进行仿真。

仿真后，确定其IP地址，使用netstat -ntl确定端口使用情况，并使用终端工具连接。鉴于其美观性和可操作性后续操作将在终端执行。

"netstat -ntl"是一个Linux命令,用于显示当前系统中所有TCP监听连接的详情,包括:- -n : 显示网络地址而不显示主机名

- -t : 显示TCP协议的连接

- -l : 显示监听的服务器Socket所以,这个命令的作用是:**显示当前系统中所有的TCP监听端口,并显示本地和外部的网络IP地址**。

从输出可以看到该系统中打开的TCP监听端口如下:

- 0.0.0.0:1250

- 127.0.0.1:3306MySQL数据库默认端口

- 0.0.0.0:8080HTTPalternate端口

- 0.0.0.0:1202

- 127.0.0.1:1203

- 127.0.0.1:1204

- 0.0.0.0:22SSH远程登录端口

- 127.0.0.1:1210

- 0.0.0.0:8443HTTPSalternate端口

- :::22SSH远程登录IPv6端口

通过其8080的端口，最终访问到web控制端。

通过仿真后，VOIP背后的VOS3000由于硬件和IP已经不再是原来机器的了，所以这个时候授权将会直接失效，我们无法通过常规手段进入其后台查看。

随即我们想到去他的目录下看看配置文件，使用命令：ps aux | grep vos3000，

"ps aux"是一个Linux命令,用于列出当前所有运行的进程。

"| grep vos3000"是管道命令,其作用是过滤ps aux输出,只保留包含"vos3000"字符串的行。

所以,这个组合命令的作用是:**列出当前系统中所有包含vos3000字符串的运行进程**。输出如下：

从输出中可以看到:

/home/kunshi/vos3000/bin/vos3000 -x 16049 -r /home/kunshi/.run/vos3000.pid 进程是VOS3000软交换平台的主程序

- grep vos3000 进程,这是我们输入的grep过滤命令本身

进入该目录下cd /home/kunshi/vos3000。

在etc目录下发现配置文件。

第一个配置文件server.conf是vos3000软交换平台的模块配置参数，根据配置参数名和值,我们可以判断:

（1） 此系统启用了CDR记录和上报功能,相关参数有:

- THIRD_PARTY_CDR_RESEND_INTERVALCDR重发周期

- THRID_PARTY_CDR_SEND_TIMEOUTCDR上报超时时间

- CDR_FILE_WRITER_PATHCDR文件输出目录

（2） 系统具有报表统计功能,相关参数有:

- REPORT_BUILDER_xxx各种统计报表优先级

（3）系统提供外部HTTP接口,相关参数有:

- OUT_POST_URLHTTP上报接口URL

- OUT_POST_URL_POSTFIXURL后缀

- OUT_POST_URL_TIMEOUT接口超时时间

（4）系统集成报警机制,相关参数有:

- ALARM_SEND_DELAY报警发送延迟

（5）系统具有磁盘表功能,相关参数有:

-MAP_ON_DISK_TABLE_SIZE磁盘表大小

-MAP_ON_DISK_CACHE_SIZE磁盘表缓存大小

（6） 系统具有时间同步功能,相关参数有:

-NTP_NETWORK_TIMEOUTNTP网络超时时间

-NTP_MAX_FORWARD_SECOND最大快进时间

-NTP_MAX_BACK_SECOND最大倒退时间

（7）系统提供远程管理功能,相关参数有:

-MANAGEMENT_SERVER_IP管理服务器IP

-MANAGEMENT_SERVER_PORT管理服务器端口

第二个配置文件server_db_config.xml是vos3000链接数据库配置信息，根据文件内容，我们可以看到。

1.该系统使用MySQL数据库,驱动为com.mysql.jdbc.Driver

2. 数据库服务器地址为127.0.0.1,端口3306,dbname为vos3000

3. 数据库用户名为vos3000,密码为MtZ4ArvRQCv3+1Fae5/KKpdLtkh6OtkLl1rJR+y3I9vrMCLlPB6sFIXAKX7AGEX+

4. 数据库连接配置开启了SQL语句跟踪功能(traceConnection=true)

根据以上信息,我们完全有能力连接该MySQL数据库,进行更深入的数据分析和取证工作。

由于密码使用加密算法，并未破解进入其数据库，但是在测试中发现，其mysql数据库默认密码为空。最终进入其数据库。

使用命令：use vos3000;

- "Reading table information for completion of table and column names"

表示MySQL客户端正在读取数据库中的表和字段信息,以提供命令补全功能。

- "You can turn off this feature to get a quicker startup with -A"

提示你可以添加-A参数在启动时禁用此功能,加快客户端启动速度。

- "Database changed"

表示你已选择要操作的数据库,之后输入的SQL语句将在该数据库中执行。

所以,根据这几条提示信息,我们可以判断:

1. 你已成功连接到MySQL数据库,客户端工具已启动。

2. 客户端默认开启了命令补全功能,读取数据库结构信息以提供表名、字段名等的自动补全。

3. 你应已选择要操作和取证的vos3000数据库,后续所有的SQL语句将在该数据库内执行。

4. 如果需要加快客户端启动速度,可以添加-A参数禁用命令补全功能。
至此,一切准备工作完成,可以开始在vos3000数据库内查询信息,分析数据库表结构与数据,追踪系统日志变更，结合多方信息分析和挖掘,才有可能找到线索,拼凑出真相。所以,无论什么信息,都不容小觑,都可能成为破案的关键一环。

接着使用showtables; 列出所有的表 。

由于数据过多，后续操作移步Navicat Premium。

到此,对VOS3000软交换平台的取证工作基本结束。经过我们的共同努力,也取得一定成果:

1. 成功连接vos3000数据库,获取了用户信息、通话记录、网络配置等大量直接证据。这些数据为破案工作提供重要线索,并可用于重建嫌疑人的作案过程。

2. 深入分析了数据库表结构与字段,理解了系统的逻辑架构和业务实现。

3. 追踪和分析了日志与监控表变更,发现了一定的异常活动痕迹。这也可能为锁定真相提供新的突破口。

4. 我们共同讨论过各种技术手段与分析思路,这必定在一定程度上提高了我们在网络取证和信息安全领域的认知与技能。这也为日后开展更高难度的取证工作打下基础。

当然,任何技术取证工作都无法保证100%达到预期目的,我们也不例外。总还会存在未发现的证据与线索,未能理解的系统实现细节,这需要我们在今后具体案例中持续学习和提高。

但是,通过此次在VOS3000系统上的取证实践,我们也初步验证和锤炼了技术取证的方法与过程。相关技巧与应对方式,也得到一定的运用与提高。这为我们今后开展其他案例的网络取证工作,提供了宝贵的经验和积累。

原文始发于微信公众号（小谢取证）：新型网络犯罪之关于VOIP设备的全流程取证