笔者近期收到了一封诈骗的Email,其实像这种诈骗类的Email再普通不过了,几乎每天都能收到那么几封。

令笔者觉得不可思议的是通过这封Email分析,笔者看到了一条由国际黑客主导的黑色利益产业链,在国际媒体大肆渲染中国黑客威胁论大背景下,许多中国的企业邮服却成为了国际犯罪团伙的炮灰。

 

 

笔者通过非正常手段调查后发现多数中枪的是中国大陆的企业邮箱,而这其中甚至还有民营企业500强,黑客通过这些邮服四处发送诈骗邮件,不仅损坏了中国的网络形象,也直接损害了中国的经济利益。


笔者收到的Email其实只有短短了几行,大意如下:

“我想在贵国家进行投资,(投资)将对我们双方都有利,如果感兴趣请回复我。。。”

对于这种Email笔者感觉就类似于“我在东莞被抓了,速汇5000元到x警官卡里,别打电话,出来再说,快!”一样可笑。

 

 

通过邮件头可以看到这封Email由92.210.24.54一个德国ip发送出。

诡异的地方是发件人的域名u-sungroup.com却是浙江永翔集团的主站域名。

从邮件头也可以看到发送邮件的服务器ip是60.191.71.91,然后笔者通过dig命令查看了u-sungroup.com的MX解析记录如下。

 

 

图中显示该域名的MX解析记录为mail.u-sungroup.com,而起邮服的ip正是60.191.71.91。

这意味着什么呢?这意味着这封Email并不是伪造,至于是不是账号被盗,估计也八九不离十。

 

笔者补充一下,虚假Email有很多种,通常分为完全伪造的Email和盗用账号发送的欺诈的Email,其区别在于前者可以在任意一台机器上进行伪造,后者则是盗用账号后登陆发送的,后者除了正文外其他部分和进行正常网络活动的Email没有两样,不容易被反垃圾邮件系统拦截。

 

笔者发现永翔集团的各个网站其实是和邮服在同一个ip下的,通过历遍目录漏洞笔者发现了网站的数据库和一枚疑似webshell的文件。疑似后门的脚本路径在/admin/manage/databackup/ice.asp。

笔者通过数据库管理员账号登陆后台后使用数据库备份功能将ice.asp备份为.txt文件后得到该一句话后门密码为:icesword,于是顺着其他黑客的后门就上来了。

脚本显示后门创建时间是2012-11-25 21:31:02,后来笔者又找到几个后门,分别是根目录的ad.asp(创建于2012-11-25 22:02:51)、根目录的zer0.asa(创建于2012-11-25 21:35:49,密码000000)和根目录的test.asp(创建于2012-11-25 21:38:19,密码S.S.T)。

这几个后门创建于同一天,根据其创建的时间基本可以确定没有修改过文件创建时间。

根据笔者的直觉,这个古老的后门显然只是国内小黑通过ewebeditor编辑器搞上来的,跟发Email的诈骗犯不是同一批。

那么不妨来看看Email的记录。

2014/02/09-21:46:55 113296 Connect from 92.210.24.54
2014/02/09-21:46:55 113296 command = EHLO User
2014/02/09-21:46:55 113296 max message size = 41943040
2014/02/09-21:46:56 113296 command = AUTH LOGIN
2014/02/09-21:46:58 113296 smtp authenticate success! Username = [email protected]
2014/02/09-21:46:58 113296 command = RSET
2014/02/09-21:47:01 113296 command = MAIL FROM:<[email protected]>
2014/02/09-21:47:01 113296 mail from = [email protected]
2014/02/09-21:47:01 113296 command = RCPT TO:<[email protected]>
2014/02/09-21:47:01 113296 rcpt to = [email protected]
2014/02/09-21:47:02 113296 command = RCPT TO:<[email protected]>
2014/02/09-21:47:02 113296 rcpt to = [email protected]
2014/02/09-21:47:02 113296 command = RCPT TO:<[email protected]>
2014/02/09-21:47:02 113296 rcpt to = [email protected]
2014/02/09-21:47:03 113296 command = RCPT TO:<[email protected]>
2014/02/09-21:47:03 113296 rcpt to = [email protected]
2014/02/09-21:47:04 113296 command = RCPT TO:<[email protected]>
2014/02/09-21:47:04 113296 rcpt to = [email protected]
2014/02/09-21:47:04 113296 command = RCPT TO:<[email protected]>
2014/02/09-21:47:04 113296 rcpt to = [email protected]
2014/02/09-21:47:05 113296 command = RCPT TO:<[email protected]>
2014/02/09-21:47:05 113296 rcpt to = [email protected]
2014/02/09-21:47:05 113296 command = RCPT TO:<[email protected]>
2014/02/09-21:47:05 113296 rcpt to = [email protected]
2014/02/09-21:47:06 113296 command = RCPT TO:<[email protected]>
2014/02/09-21:47:06 113296 rcpt to = [email protected]
2014/02/09-21:47:06 113296 command = RCPT TO:<[email protected]>
2014/02/09-21:47:06 113296 rcpt to = [email protected]
2014/02/09-21:47:07 113296 command = RCPT TO:<[email protected]>
2014/02/09-21:47:07 113296 rcpt to = [email protected]
2014/02/09-21:47:07 113296 command = RCPT TO:<[email protected]>
2014/02/09-21:47:07 113296 rcpt to = [email protected]
2014/02/09-21:47:08 113296 command = RCPT TO:<[email protected]>
2014/02/09-21:47:08 113296 rcpt to = [email protected]
2014/02/09-21:47:08 113296 command = RCPT TO:<[email protected]>
2014/02/09-21:47:08 113296 rcpt to = [email protected]
2014/02/09-21:47:09 113296 command = RCPT TO:<[email protected]>
2014/02/09-21:47:09 113296 rcpt to = [email protected]
2014/02/09-21:47:09 113296 command = RCPT TO:<[email protected]>
2014/02/09-21:47:09 113296 rcpt to = [email protected]
2014/02/09-21:47:10 113296 command = RCPT TO:<[email protected]>
2014/02/09-21:47:10 113296 rcpt to = [email protected]
2014/02/09-21:47:10 113296 command = RCPT TO:<[email protected]>
2014/02/09-21:47:10 113296 rcpt to = [email protected]
2014/02/09-21:47:11 113296 command = RCPT TO:<[email protected]>
2014/02/09-21:47:11 113296 rcpt to = [email protected]
2014/02/09-21:47:11 113296 command = RCPT TO:<[email protected]>
2014/02/09-21:47:11 113296 rcpt to = [email protected]
2014/02/09-21:47:12 113296 command = DATA 
2014/02/09-21:47:12 113296 go ahead, end data with CRLF.CRLF
2014/02/09-21:47:16 113296 data bytes received = 552
2014/02/09-21:47:17 113296 message[1391953636.3488.113296,S=727] accepted for delivery
2014/02/09-21:47:17 113296 command = QUIT
2014/02/09-21:47:18 113296 End connection


笔者随便贴上日志中的一个完整的连接记录。

从日志中可以看出该黑客手段非常专业,使用自建程序开10个并发smtp连接,每个连接处理20个email发送请求。

日志的第一段是处理时间,第二段是smtp的id,第三段是命令,笔者观察这个邮服日常的smtp的id不会过万,而笔者截取的这部分ip已经上了十万的级别,可以想象一共有多少人收到了诈骗Email,上当率为万分之一的话那么会有多少。。。

而事实上,笔者统计到大约有超过5000条Email回信。

 

笔者深入对服务器日志进行分析发现,提出以下几个论点。

1, 黑客并不是通过暴力破解获取的账号和密码,因为发送垃圾邮件的账号存在多个;

笔者的统计信息收集自互联网,有很多人把自己收到的Email贴出来,例如wtt,sjj等账号。

2, 选择从未登陆的账户进行操作,不进行pop3、imap和webmail登陆,直接连接smtp发送email;

黑客操作的僵尸账户的<createtime>字段和<lastvisittime>字段中的时间戳通常一样。

3, 黑客并不进行提权、脱裤等多余行为,Email发送完成后清理后门跑路。

看到部分文件夹的修改日期为2014年2月,但是访问文件夹后发现目录下没有任何一个文件是2月创建或者修改的。

 

 

既然从服务器上得不到太多有用的信息,笔者只能对paul.013进行社工。

其实网上已经有红领巾揭露这个哥们的诈骗行为,在blogspot上面以随机字符生成n个地址,在上面发布n条垃圾信息和诈骗信息。

不过笔者想说,blogspot上面的推广似乎并不是诈骗者本人,而是诈骗者在地下渠道发布的推广信息,进行推广的则是某些国产小黑?

笔者获得的诈骗者信息如下。

诈骗专用邮箱:[email protected][email protected]

诈骗邮箱的安全邮箱:s*****[email protected]

其他邮箱:[email protected][email protected]
Hotmail邮箱:[email protected]
私人邮箱:[email protected][email protected]
电话号码:*******17

 

统计了几个ip都是德国和波兰的,这里就不发了,最终查到这个哥们似乎是汽修出身,居住于离德国非常近的PLAC ODRODZENIA(属波兰)。

最后笔者统计了一下中枪的邮服,有中国的和巴西的,以中国的居多,除了文中列出的浙江永翔集团,还有例如conteck.net.cn(橙子云),xjee.cn等。

 

小编后记:

本文由习科论坛会员xiaotianx供稿,文章思路不错,故被小编选稿刊登,希望在社工学习和犯罪取证方向给大家带来一些启示。

另外小编特此提醒:入侵他人服务器的行为是非法的,这种未经授权的取证方式习科坚决不提倡不支持。另外我们已经在北美向国际刑警递交了该“汽修”黑客大神的相关信息,习科作为安全厂商坚决支持打击网络黑客犯罪行为。

//silic.wiki