网络反黑纪实--协助取证流水过亿的非法站

  • A+
所属分类:安全新闻

前言#

本故事纯属虚构 如有雷同纯属巧合

本文于 2019/1/22 首发于圈子社区 

原文地址:https://www.secquan.org/Discuss/1068720

近年来互联网犯罪日益猖獗,而且以电诈、网传、网赌、黑彩等方式进行大肆侵害普通人民群众的财产。

滋生了很多刑事案件,甚至酿成血案、命案。

所以,如何反网络犯罪,有效遏制犯罪势头,成为了各级政法工作的新方向。图文无关

网络反黑纪实--协助取证流水过亿的非法站

起由#

本故事纯属虚构 如有雷同纯属巧合

2018年中,接到线索通报,发现在互联网上活跃着一个非法的XX平台。

以网络直播喊单,电话销售、人拉人的形式进行非法XX活动,截止日前已造成多人受害,涉案金额巨大。

因此,领导部门授权对其互联网据点进行了一次彻底的摸排和取证。

以配合落地初查、和后续的侦控经营、扩线打击等。

图文无关

网络反黑纪实--协助取证流水过亿的非法站

进程#

首先,打开其官方网站,非常的大气正规,看起来有保险保障,有正规牌照。

图文无关:

网络反黑纪实--协助取证流水过亿的非法站


但实际查看,保险公司是其名下自己注册的。

正规牌照都是国外颁发的,而且是那种花钱即可办理的,

图文无关:


网络反黑纪实--协助取证流水过亿的非法站



而且,据评论看,这些赤裸裸的打着国外旗号在国内骗钱的XX平台,大多都是国人开办。。。#

图文无关:

网络反黑纪实--协助取证流水过亿的非法站




开打#

在有关单位和领导的指示下,我们进行了远程取证工作。

首先,我们是以APT的思路进行的全面渗透。

图文无关

先对其互联网资产进行摸排。#


网络反黑纪实--协助取证流水过亿的非法站


并对其互联网资产进行汇总、建档。

点我看大图#

网络反黑纪实--协助取证流水过亿的非法站

图文无关

可以看出,我们对其资产进行了几大块的分类。

分别是#

域名注册等信息#

历史变更信息#

端口开放信息#

历史解析信息#

C段网站#

旁站信息#

历史DNS服务器#

其他信息#

然后通过分析研判,我们发现无论是其注册域名地址,还是DNS服务器,都是国内的运营商。

受阻#

经过对200多个互联网资产的摸排,我们发现了其四处后台登陆。

分别是#

api.*****.com#

mt4.**.com#

dev.*****.com#

admin888.*****.com#

根据前期信息搜集的情报汇总结合页面情况,我们分析,这四个系统应该分别对应

接口、MT4系统、开发和管理#

尝试在页面进行了注入检查。

图文无关:

网络反黑纪实--协助取证流水过亿的非法站

基本都被拦截,ip被BAN#

应该是部署了阻断式的WAF#

尝试绕过,发现规则很强大,应该是某云服务商。

进一步在某旁站发现了个很妙的页面报错。

图文无关:

网络反黑纪实--协助取证流水过亿的非法站

然后针对Thinkphp的一些已知的漏洞进行尝试。


基本都是被拦截,或者关键函数被禁用。

图文无关:

网络反黑纪实--协助取证流水过亿的非法站


对3.2版本的漏洞基本都修复了。

期间打下若干C段机器,没有发现子网在一个内网所以很蛋疼。

还浪费了N个 bypass的 PowerShell脚本。


网络反黑纪实--协助取证流水过亿的非法站


自此,时间已经过去了好几天。

路由突破#

正当一筹莫展的时候,小伙伴发现了他们C段一台架设了ROS的路由器。

MikroTik RouterOS是一种路由操作系统,是基于Linux核心开发,兼容x86 PC的路由软件,并通过该软件将标准的PC电脑变成专业路由器,在软件RouterOS 软路由图的开发和应用上不断的更新和发展,软件经历了多次更新和改进,使其功能在不断增强和完善。特别在无线、认证、策略路由、带宽控制和防火墙过滤等功能上有着非常突出的功能,其极高的性价比,受到许多网络人士的青睐。

细心的小伙伴发现某47.**.9.1 开放了 winbox的 8291端口。

网络反黑纪实--协助取证流水过亿的非法站

8291端口是走TCP协议的 winbox从这个端口过

就想起,我们之前研究的一个对ros漏洞的exp。操起来就是一炮。

网络反黑纪实--协助取证流水过亿的非法站

然后用winbox远程登陆其路由。

网络反黑纪实--协助取证流水过亿的非法站

发现它架设了L2TP的VPN。。

拨入进去,进入同一网段。

网络反黑纪实--协助取证流水过亿的非法站

测试了下,跟我们预估的一样。

顺利绕过了WAF的封锁。#

取证#

进了内网就是我们的天下了。

首先,二话不说进行数据库导出。

网络反黑纪实--协助取证流水过亿的非法站

进而获取到shell,提权,平行扩权。#

拿到了多台内网主机,其中包括运营、财务等主机。

网络反黑纪实--协助取证流水过亿的非法站

网络反黑纪实--协助取证流水过亿的非法站

分析#

对会员和财务数据库进行了重点整理。

发现受害者近8w余人,季度财务流水过亿。

图文无关,只作示例:

网络反黑纪实--协助取证流水过亿的非法站

图文无关,只作示例:

网络反黑纪实--协助取证流水过亿的非法站

图文无关,只作示例:

网络反黑纪实--协助取证流水过亿的非法站

图文无关,只作示例:

结尾#

对服务器日志、等有效电子证据进行打包后,已全部移交相关部门。

并附带了详细的分析报告。

图文无关,只作示例:

网络反黑纪实--协助取证流水过亿的非法站

并进行了无害化处理(移交不留档)。

#后续,据称已进入公诉阶段。


#结语



网络反黑纪实--协助取证流水过亿的非法站

      圈子社区的成员中有很多是来自执法战线的,他们长期活跃在互联网反网络犯罪第一线,在此由衷的对他们表示感谢,也希望越来越多的白帽子们能为反网络犯罪贡献力量。





关于圈子社区
圈子社区是一个非盈利,封闭的白帽子技术交流社区。目前成员已有近2000人,拥有业内首个自主研发的实战化靶场,体系化学习和燃爆的交流气氛带你成为真正的大佬,社区专注实战,崇尚技术,如果你也是实战派,请关注我们。
社区地址:(请使用https访问)
https://www.secquan.org

网络反黑纪实--协助取证流水过亿的非法站



本文始发于微信公众号(Secquan圈子社区):网络反黑纪实--协助取证流水过亿的非法站

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: