记一次平平无奇的QQ盗号溯源

声明：本公众号文章来自作者日常学习笔记或授权后的网络转载，切勿利用文章内的相关技术从事任何非法活动，因此产生的一切后果与文章作者和本公众号无关！

0x00 前言

清明假期第一天，本想着摆烂几天，结果一封名为《打开附件查看》的邮件打断了我的施法，一看这名字，我直接好家伙，纯纯黑客行为了属于是

拿到毕业证都这么久了，我竟然还有挂科？于是瑟瑟发抖的我抓紧点了一手预览

额...文件过大了是么，安全提示还要专门在邮件里写出来，好吧，我们姑且相信它说的是真的，先把文件跟URL都丢沙箱跑一跑

当时我就慌了，难道免杀大佬会盯上我这种菜狗么？咱又不是非富即贵的人，于是我便打开虚拟机。决定亲自会一会这位大黑客。从下面微步在线的情报来看，域名其实早就已经过期了，但可能是近期刚被启用，微步还没有收录

0x01 平平无奇的钓鱼页面

访问提示要手机端才可以，它好会，为了隐藏域名这个一眼可见的破绽，专门校验UA

这里我使用了User-Agent Switcher这款火狐插件来修改UA，修改完毕就可以正常访问了，随后加载出来的竟然是腾讯文档，域名对不上就算了，连功能都没写全，点击忘记密码、新用户注册都没反应

0x02 寻找大黑客

其实是想通过Burp抓包分析来进一步说明它的攻击流程的，无奈我写这篇文章的时候它的数据库已经停了，给它发了一下午垃圾数据，可能是打草惊黑了。接下来就对黑客进行简单的信息收集吧

这里邮箱只显示一部分，配合另一个反查网站效果奇佳

验证反查

QQ号确实是存在的，遗憾的是，它关闭了搜索好友功能，关于个人信息就查到这里吧，再收集咱就成大黑客了

0x03 定位大黑客

我们接着将邮件导出为eml，定位一下它的IP

掏出微步在线，嗯~这才是它该有的样子嘛

继续通过高精度IP定位，再通过经纬度看一下卫星地图，可能不准确，这也不太重要

0x04 平平无奇的总结

我不是专业的蓝队，这次简单的溯源没什么技术含量，大家看个热闹就好了。接下来其实还可以针对注册的域名、开放的服务进行反制，可以但没必要，因为我要继续施法了

• 恶意IP：117.136.40.21、103.144.2.202

• 相关域名：huumi.cn、ioecd.cn、tgmssad.cn、ijsmadw.cn、trdfxcuy.cn

• 非网安从业人员的一些小tips：

• 确保正确的理解问题

• 尽可能完整的收集信息

• 考虑切实可行的选项

• 一定不要先人之见

原文始发于微信公众号（安全日记）：记一次平平无奇的QQ盗号溯源