对支付宝木马――追根溯源二

      对支付宝木马――追根溯源二无评论

  而617***31为造马者联系木马业务的常用号码:

对支付宝木马――追根溯源二

对支付宝木马――追根溯源二

  从搜索引擎也得知,造马者曾被人举报,称造马者盗源码写软件:

对支付宝木马――追根溯源二

对支付宝木马――追根溯源二

  造马者为了销售木马,还专门成立了一个QQ群,推测群里应该有好多放马者,当然根据群位置信息,也可以进一步确定造马者所在的地理位置正是南充,与前面关于造马者地理的推断一致。

对支付宝木马――追根溯源二

对支付宝木马――追根溯源二

  通过对造马者QQ持续的关注,基本可以断定造马者是高中生。

  2015年12月份,造马者QQ的修改签名为“秒余额,快捷,余额宝免杀马代秒鱼。回5。需要的私聊大量收家庭肉鸡,有的窗口。”,如下图

对支付宝木马――追根溯源二

对支付宝木马――追根溯源二

  而2016年2月29日,QQ个性签名更改为“3月份停工,高考后复出,学习新技能”,可以推断出造马者是高中生:

对支付宝木马――追根溯源二

对支付宝木马――追根溯源二

  与此同时,我们还在造马者的腾讯微博中看到造马者对木马书写的“产品说明书”(支持Windows所有版本)、“广告语”(高度人性化,可操作性强,稳定性强)、价格(支付宝收款700/月,银行卡收款1000/月)等,见下图:

对支付宝木马――追根溯源二

对支付宝木马――追根溯源二

  查询QQ群关系数据库,得到造马人的另外一个常用的QQ号码:963****39:

对支付宝木马――追根溯源二

对支付宝木马――追根溯源二

对支付宝木马――追根溯源二

对支付宝木马――追根溯源二

  通过网上搜索QQ963****39,发现造马者经常关注一些网络上的黑客教程,并且曾经从易语言论坛下载过支付宝支付账单源代码,如图:

对支付宝木马――追根溯源二

对支付宝木马――追根溯源二

对支付宝木马――追根溯源二

对支付宝木马――追根溯源二

对支付宝木马――追根溯源二

对支付宝木马――追根溯源二

  把易语言论坛上的这份“支付宝支付账单的源代码”下载后得知,代码的作用是查询支付宝交易记录,造马者在造马的过程中参考过这份源码。如图:

对支付宝木马――追根溯源二

对支付宝木马――追根溯源二

  通过搜索引擎查询造马者QQ号关键字找到了这个人的优酷账号,其上传的视频中表明造马者的另一个身份:dnf玩家。

对支付宝木马――追根溯源二

对支付宝木马――追根溯源二

  同时搜索引擎告诉我们的还包括造马者的淘宝账号:a963****39

对支付宝木马――追根溯源二

对支付宝木马――追根溯源二

  在此,我们推测这人的邮箱地址可能为:a96*****39@163.com

  通过163找回密码,发现账号绑定的手机号码的后三位与淘宝账号中的手机的后三位是相同的,这就断定a96*****39@163.com邮箱是属于造马者的,如图:

对支付宝木马――追根溯源二

对支付宝木马――追根溯源二

  通过尝试,找到了造马者的163邮箱密码:96*****39

  在邮箱中的已发送邮件中,大量的cf木马发送的邮件,邮件内容里面都是木马盗取的cf账号和密码等游信息。

对支付宝木马――追根溯源二

对支付宝木马――追根溯源二

对支付宝木马――追根溯源二

  此外,观察到邮箱中有作者的MAC地址:00-50-56-c0-00-01,应该是造马者在测试程序时发送的,如图:

对支付宝木马――追根溯源二

  总结:造马者经常活动于南充,可能的身份为:在校高中学生。机器mac地址可能为: 00-50-56-c0-00-01,作者不仅编写支付宝木马,还曾经盗取过cf游戏账号,常用邮箱为:a96*****39@163.com,常用密码为:a96*****39,常用的三个QQ号为617***31,5500***39,和963****39,其中617***31号多用来卖支付宝木马;963****39号多用来盗取游戏账号;5500***39为小号,不常使用。淘宝账号为:a963*****39,手机号为:136****5205

  2.2 放马者分析

  购买木马的人数众多,根据360威胁情报中心的数据,木马买家超过40人。我们随意抽取一个购买木马的用户进行探讨。

  以下都是通过搜索引擎得到的放马者的微博地址:

  http://t.qq.com/g29q200w4231975

  http://t.qq.com/r12tb9753197

  http://t.qq.com/oclt519753

  http://t.qq.com/k93y642086

  http://t.qq.com/chenjiaxi88

对支付宝木马――追根溯源二

对支付宝木马――追根溯源二

  对于其中一个放马者,通过微博发现@chenjiaxi88的用户的名字为陈佳西,腾讯微博中有其上传的生活照,如下:

对支付宝木马――追根溯源二

  最后,用这位放马者的QQ群关系来结束这次的追踪之旅:

对支付宝木马――追根溯源二

  0×03 总结

  我们看到的木马本身的技术并不复杂,传播手段也不见得高明,低技术门槛使网络犯罪的参与者呈现年轻化的分布。本次的攻击者溯源完全依赖公开可搜索的数据,甚至无需运用社工技巧,木马开发与使用者的无知无畏实在让人心惊。从造马者自发暴露的大量信息来看,他似乎并不觉得自己在违法犯罪,我们的中学教育在法律学习方面应该加入网络犯罪的内容。

发表评论