某疫情相关的赌博网站分析报告（二）

一、概要

之前，星辰实验室团队分析了几个借着“抗击疫情”的口号，吸引用户去注册试玩的赌博诈骗网站。最近，团队又发现了两个有着相同套路的网络博彩平台——“天虹国际”。

二、网站介绍

https://www.5*****w.com/#/reg/ud84pu和 https://www.k*****8.com/#/是某个网络博彩平台的链接网址，这两个网址虽然不同，但两个网址所对应的的平台名均为“天虹国际”，而且网站相同，并无差别。访问网站，发现该网站有借疫情进行推广及诱导用户试玩的嫌疑，这两个网站界面如图2-1及2-2所示。

图2-1  网站的界面

图2-2  网站的界面

三、Whois站长之家查询结果

（一）www.5*****w.com的相关信息

1.域名查询

通过Whois站长之家查询网站www.5*****w.com的相关信息，结果如下：

域名：5*****w.com

Whois注册服务器：whois.godaddy.com

域名创建时间：2015-07-20

域名过期时间：2020-07-20

注册商：GoDaddy.com, LLC

DNS：NS***.DOMAINCONTROL.COM

           NS***.DOMAINCONTROL.COM

图3-1  Whois站长之家关于域名5*****w.com的信息

2.域名的DNS解析地址查询结果

通过Whois站长之家查询5*****w.com的DNS解析地址，结果如图3-2所示：

图3-2  对5*****w.com的Ping检测结果

通过ping检测，只有第一个IP地址有响应，IP归属地显示是中国香港。通过站长之家查询到5*****w.com的注册商为GoDaddy，这是一家提供域名注册和互联网主机服务的美国公司，非个人账户，所以无法通过邮箱和电话的whois反查与5*****w.com这个域名相关的其他网站。

（二）www.k*****8.com的相关信息

1.域名查询

通过Whois站长之家查询网站www.k*****8.com的相关信息，结果如下：

域名：k*****8.com

Whois注册服务器：whois.godaddy.com

域名创建时间：2015-07-21

域名过期时间：2020-07-21

注册商：GoDaddy.com, LLC

DNS：NS***.DOMAINCONTROL.COM

           NS***.DOMAINCONTROL.COM

图3-3  Whois站长之家关于域名k*****8.com的信息

2.域名的DNS解析地址查询结果

通过Whois站长之家查询k*****8.com的DNS解析地址，结果如图3-4所示：

图3-4  对k*****8.com的Ping检测结果

通过ping检测，发现该网站的IP地址与5*****w.com的完全相同。同样，k*****8.com的注册商也是GoDaddy，这是一家提供域名注册和互联网主机服务的美国公司，非个人账户，所以无法通过邮箱和电话的whois反查与5*****w.com这个域名相关的其他网站。

四、APP分析结果

在访问网址的过程中，发现这两个博彩网站还提供了相关APP下载，APP界面如图4-1所示，从APP界面上同样可以看到“携手慈善”、“抗击疫情”等与疫情相关的关键词。

图4-1  相关APP截图

为了进一步分析APP，使用Wireshark对该APP进行抓包分析，果然在数据流中发现了与该博彩网站相关的服务器信息，通过分析发现www.5*****w.com应该是该APP的服务器地址。

图4-2  数据流中的服务器信息

通过访问tianhong*****.zendesk.com，发现直接跳转到了一个登录界面，通过搜索发现zendesk是一家为客户提供基于互联网的SaaS客户服务/支持管理软件的公司，使企业可以更加轻松地管理终端客户的服务和支持需求，所以该界面可能是该赌博软件客服的登录界面，如下图所示：

图4-3  访问tianhong*****.zendesk.com的结果

通过对APP的服务器地址www.5*****w.com进一步的调查分析，追溯到了该域名的历史注册信息，具体如下：

图4-4  域名www.5*****w.com历史注册信息

www.5*****w.com的注册者是zi*** liu，邮箱是baiba*****@163.com，通过搜索，发现该支付宝用户的账号虽然与注册邮箱相同，但由于未实名制，可能存在被盗用的情况。

五、安全建议

疫情期间，在家上网时，要注意以下几点：

(1) 拒绝任何赌博彩票相关的网站和APP。

(2) 不要动不劳而获的贪念。

(3) 在进行捐款等支持抗击疫情的工作时，要选择靠谱可信，由政府认证监督的机构。

星辰实验室在这里提醒大家“在家抗疫，要远离赌博，远离诈骗”。

声明：

本报告内容不代表任何企业或任何机构的观点，仅是作者及所在团队作为技术爱好者在工作之余做的一些尝试性研究和经验分享。

本报告虽是基于技术团队认为可靠的信息撰写，团队力求但不保证该信息的准确性和完整性，读者也不应该认为该信息是准确和完整的。这主要是因为如下一些理由（包括但不限于）：

    第一，互联网的数据无处不在，我们所能接触到的是极为有限的抽样样本，本身不具备完整性。

    第二，不同的技术方法获取的数据有一定的局限性。比如，终端agent获取的数据只能涵盖已部署终端的范围；爬虫技术的时效性和完整性受限于爬虫的规模和能力；网络侧探针技术受限部署探针的节点数量并只能对活跃的行为进行感知。

    第三，即使已经纳入到分析范围的样本，也会由于技术团队规则和算法的选择造成统计结论偏差。

    第四，技术团队所得出的结论仅仅反映其数字本身，进一步主观得出优劣性的、排名性的、结论性的观点是危险的。因为安全事件往往伴随着业务的良性增长，开放程度，法律法规以及黑色产业链的演进等多方面的因素，是一个复杂的生态问题。

此外，团队不保证文中观点或陈述不会发生任何变更，在不同时期，团队可发出与本报告所载资料、意见及推测不一致的报告。团队会适时更新相关的研究，但可能会因某些规定而无法做到。

最后，即使未经作者的书面授权许可，任何人也可以引用、转载以及向第三方传播。但希望同时能附上完整的原文或至少原始出处。这样的考虑在于：第一，避免选择性的部分引用造成的不必要的误解；其次，避免某些内容的错误经原作者发现并及时调整后没有体现在转载的文中。

感谢大家的理解！

更多技术文章，欢迎关注星辰实验室公众号:

原文始发于微信公众号（星辰安全实验室）：某疫情相关的赌博网站分析报告（二）