Author: 360天眼實驗室

0x00 引子

---

人在做，天在看。

與網路的黑暗面鬥爭中，我們看到太多的年輕人陷入黑產的陷井，少數人暴發橫財及時收手還能全身而退，多數人身處產業鏈的底端所得不多卻受牢獄之災。年輕人是國家的未來，他們敢想敢幹而又無知魯莽，希望他們不要為一時的無知付出太大的代價，今天的這個文章可以算作一個警醒，千金不換回頭路。

網路從來就是一把雙刃劍，越來越便捷的知識傳播讓廣大的網路黑產工作者們只需簡單修改別人的程式碼就可以製作出所謂的原創木馬病毒，並進一步出售進行獲利。近期，360天眼實驗室攔截到一類盜取使用者支付寶餘額的木馬，追根溯源揪出了木馬製造者及一批木馬放馬者，而背後的造馬者竟是一個高三學生，我們想說考不考得上大學還在其次，這位同學現在最應該讀一下網路犯罪相關法條立即收手以免終身受此所累。

0x01 樣本分析

---

為了對抗查殺，使用易語言做木馬開發極其常見，我們所看到的這個樣本即是如此，相關的資訊如下，供大家參考。

木馬檔案MD5: 1976f6cbbc32fcbd7eaa75318642a182

儘管分析起來有點麻煩，但搞清楚木馬行為只是時間問題，主要包括：

• 程式碼加入花指令，對抗分析除錯
• 過期自動失效（失效後想再次使用木馬就要向木馬作者繳費再次購買）
• 訪問騰訊微博、新浪微博連結地址獲取支付寶交易的錢數、次數、頻率
• 開執行緒監控使用者的支付寶轉賬操作，同時將轉賬地址替換成放馬者指定的支付寶賬戶

加入花指令，對抗分析除錯

部分花指令如下：

判斷木馬是否過期

過期時間是2016年1月14日，如圖：

訪問微博連結獲取交易欺詐引數

訪問http://t.qq.com/q912xxx937微博地址，匹配出木馬所需的資訊，微博內容為：

解密出微博地址：

訪問騰訊微博地址，得到微博內容：

從微博頁面中匹配“支付寶讀取頭部”和“支付寶讀取尾部”，匹配出木馬預留資訊：

獲取到頁面資料後，透過作者預先寫好的開始標記和結束標記讀取到用到的資料：

從微博讀取到的支付寶所需資料格式為"13267932191|1100|80|1100"，其中的13267932191表示支付寶賬號，1100表示快捷金額，80表示觸發金額，1100 是最大限額。當然，如果騰訊微博格式釋出資訊格式不正確，木馬還會彈窗報錯，提示釋出正確格式的微博內容。

對於木馬轉賬的支付寶賬號：13267932191，推測應該是一個手機號，從搜尋引擎搜尋結果得知，手機歸屬地是廣州惠州的，如圖：

賬號替換

木馬程式開啟後起執行緒不停查詢瀏覽器的視窗，直到瀏覽器的位址列包含alipay字元後，木馬開始對支付過程進行劫持：

呼叫易語言的類庫，獲取當前的URL地址，用於判斷使用者是否正在進行支付操作。

如果使用者正在進行支付操作，就查詢https://personalweb.alipay.com/portal/newhome.htm網址中的<span class="integer"標籤和<input type="hidden" id="J-mfund-balance" value=標籤分別得到使用者的賬戶餘額和餘額寶的餘額。

在後臺進行封包劫持：

木馬透過注入瀏覽器，後臺Post提交引數的方式，使用者從瀏覽器中看不出有任何的異常，而只有在支付之後的交易記錄中，才有可能發現收款人已被替換。而一切都以為時晚矣。

0x02 推手追索

---

透過搜尋引擎搜尋“支付寶讀取頭部”關鍵字，我們找到了一批有問題的騰訊微博賬號，這些賬號大多都是直接從木馬作者手中購買木馬的“放馬者”：

然後，我們就從這批放馬者的賬號中發現一個亮瞎眼的賬號內容

http://t.qq.com/hy617xxx31

至於亮瞎眼的原因見下圖，由此，我們定位到了可疑造馬者，QQ號為：5500xxx39和617xxx31 ：

下面我就將按照”造馬者”與“放馬者”兩條線索分別展開。

造馬者追蹤

透過對造馬者的發微博時的實時位置，定位到造馬者經常在四川省南充市活動，如圖：

另外，透過對上面兩個QQ號公開的資訊比較，也確定這兩個QQ號都是造馬者的QQ號，其中5500xxx39的QQ號為造馬者的小號。

而617xxx31為造馬者聯絡木馬業務的常用號碼：

從搜尋引擎也得知，造馬者曾被人舉報，稱造馬者盜原始碼寫軟體：

造馬者為了銷售木馬，還專門成立了一個QQ群，推測群裡應該有好多放馬者，當然根據群位置資訊，也可以進一步確定造馬者所在的地理位置正是南充，與前面關於造馬者地理的推斷一致。

過對造馬者QQ持續的關注，基本可以斷定造馬者是高中生。

2015年12月份，造馬者QQ的修改簽名為“秒餘額，快捷，餘額寶免殺馬代秒魚。回5。需要的私聊大量收家庭肉雞，有的視窗。”，如下圖

而2016年2月29日，QQ個性簽名更改為“3月份停工，高考後復出，學習新技能”，可以推斷出造馬者是高中生：

與此同時，我們還在造馬者的騰訊微博中看到造馬者對木馬書寫的“產品說明書”（支援Windows所有版本）、“廣告語”（高度人性化，可操作性強，穩定性強）、價格（支付寶收款700/月，銀行卡收款1000/月）等，見下圖：

查詢QQ群關聯式資料庫，得到造馬人的另外一個常用的QQ號碼:963xxxx39：

透過網上搜尋QQ963xxxx39，發現造馬者經常關注一些網路上的駭客教程，並且曾經從易語言論壇下載過支付寶支付賬單原始碼，如圖：

把易語言論壇上的這份“支付寶支付賬單的原始碼”下載後得知，程式碼的作用是查詢支付寶交易記錄，造馬者在造馬的過程中參考過這份原始碼。如圖：

索引擎查詢造馬者QQ號關鍵字找到了這個人的優酷賬號，其上傳的影片中表明造馬者的另一個身份：dnf玩家。

同時搜尋引擎告訴我們的還包括造馬者的淘寶賬號：a963xxxx39

在此，我們推測這人的郵箱地址可能為：[email protected]

透過163找回密碼，發現賬號繫結的手機號碼的後三位與淘寶賬號中的手機的後三位是相同的，這就斷定[email protected]郵箱是屬於造馬者的，如圖：

透過嘗試，找到了造馬者的163郵箱密碼：96xxxxx39

在郵箱中的已傳送郵件中，大量的cf木馬傳送的郵件，郵件內容裡面都是木馬盜取的cf賬號和密碼等遊戲資訊。

此外，觀察到郵箱中有作者的MAC地址：00-50-56-c0-00-01，應該是造馬者在測試程式時傳送的，如圖：

總結：
造馬者經常活動於南充，可能的身份為：在校高中學生。機器mac地址可能為： 00-50-56-c0-00-01，作者不僅編寫支付寶木馬，還曾經盜取過cf遊戲賬號，常用郵箱為：[email protected]，常用密碼為：a96xxxxx39，常用的三個QQ號為617xxx31，5500xxx39，和963xxxx39，其中617xxx31號多用來賣支付寶木馬；963xxxx39號多用來盜取遊戲賬號；5500xxx39為小號，不常使用。淘寶賬號為：a963xxxxx39，手機號為：136xxxx5205

放馬者分析

購買木馬的人數眾多，根據360威脅情報中心的資料，木馬買家超過40人。我們隨意抽取一個購買木馬的使用者進行探討。

以下都是透過搜尋引擎得到的放馬者的微博地址：

• http://t.qq.com/g29q200w4231975
• http://t.qq.com/r12tb9753197 
• http://t.qq.com/oclt519753
• http://t.qq.com/k93y642086
• http://t.qq.com/chenjiaxi88

對於其中一個放馬者，[email protected]，騰訊微博中有其上傳的生活照，如下：

最後，用這位放馬者的QQ群關係來結束這次的追蹤之旅：

0x03 總結

---

我們看到的木馬本身的技術並不複雜，傳播手段也不見得高明，低技術門檻使網路犯罪的參與者呈現年輕化的分佈。本次的攻擊者溯源完全依賴公開可搜尋的資料，甚至無需運用社工技巧，木馬開發與使用者的無知無畏實在讓人心驚。從造馬者自發暴露的大量資訊來看，他似乎並不覺得自己在違法犯罪，我們的中學教育在法律學習方面應該加入網路犯罪的內容。