网络安全技术 ·

一次与国外黑产ZeroTime组织的社工交流


--------------------

嗨,好久不见

历经一个月

由于4月份在保密期

所以删除了文章

后面对文章进行了一小部分更新

--------------------

为了不浪费有些大师傅的时间,先提前报备一下。

本篇不是技术文章

没有结局

也没有成功

因为最终没有拿到对方的隐私信息。

如果没有时间,可以直接翻到最后。

这篇文章的目的

主要是希望国内企业,特别是医疗单位,重视网络安全

同时,因为很少看到针对国外黑客组织的社工类文章

所以就记录一下。

4月30日更新

完成了最后的倔强,已经看过的师傅

可以直接跳转到最后的0x03落幕

0x01 背景介绍

时间线

2020年4月28日早

在黑白之道看到这篇文章。

原文链接

下午

接到上级单位的任务,寻找一些蛛丝马迹。

信息分析

1. 观察公开的图片中,只有@THE0[.]TIME的水印

2.Google/Baidu/twitter/darkweb爬虫接口/简单搜索了一下THE0[.]TIM关键字后,发现除了公开的新闻外,都没什么有价值信息。

3. 后在Telegram搜索,发现了一个名为“00:00”的电报频道。

该频道的标签#DataBounty(数据赏金)


4. 实锤取证

THE0[.]TIME符合00:00,zero time的含义。

(ps:不想被搜索引擎的关键字轻易匹配到,所以加入[.]符号进行规避)

进入后检索历史消息

果然发现了从国内窃取的数据文件,实锤。

从历史消息来看,该黑客组织在4月15日就已经拿到数据并开始贩卖。

并声称,拿到的数据信息分为四部分:

①用户数据

②技术数据

③研究成果

④COVID-19疫情相关资料

频道中还公布了一个视频和若干图片样本。

并且图片均带有汇医慧影的水印。

因为部分视频图片的敏感性,所以就不全部放出了。

仔细观察第一张截图

看到一处

For buy:

@Unfrein[.]ded

点开后,此人电报昵称为0x1。

后来与他交流,确定此人即为,窃取国内数据的zero time黑客组织核心成员。

5. 攻击者公开信息整理

把该组织公开的信息,进行了一下整理。

①联系方式:
Telegram账户:@Unfre[.]inded
Jabber账户:    [email protected][.]xmpp.jp
②电报频道:https://t.me/The0[.]Time

③zero time核心成员0x1

④两个区块链钱包地址:
a. BTC
1Mb131pc1igShCz2pD6UuzRB4BdK6AmYJ5
 
b. USDT
1GyeoHwWpkmHbeuMqwvp7MZSwgXsK3Y

⑤区块链货币交易查询

截止2月28日下午,暂未出现交易情况

但USDT的查询地址无效

0x02 心理战

为了寻找更多的蛛丝马迹,

九号索性使用土味式英语,与ZeroTime组织核心成员0x1,进行了一次无果的社工交流。

———————————————————————

伪造身份:德国人,以假装购买数据的需求,与对方进行了交流。

目的:尽可能的调查清楚对方窃取到手的数据内容和对手情况。

———————————————————————

正文开始

halo式问候完,开门见山。

不管国内外

陌生人之间,最大的障碍无非是信任二字

人性的弱点。

①欲情故纵,首先质疑对方data的真实性。

他就为了解释证明,巴拉巴拉的说一堆。

②顺其自然,抛出愿意“相信”对方,trust you。

对方又甩了两张窃取的资料图片,证实真实性。

③“赞赏”对方,说了句酷cool。

(内心想法是,酷他个锤子,恨不得扒了你的皮)

纯粹是为了让他感觉交流舒畅,温水煮青蛙。

⑤开始试探

没购买之前,自然不会直接给我们放出数据的详细内容,但我们可以打探他窃取的内容“轮廓”。得到如下结果:

a. 1700行,1000名左右的用户信息。

b. 分别来自湖北、Youan(地域不明,猜测是云南?)、shanxi(陕西或山西)、河南地区的医疗单位账号

c. 数据格式(图片打码区域):账号密码、权限、用户名以及注册单位等(不幸中的万幸,不包含医护人员的身份证详细地址什么的)

⑥一探到底

我想让他发一些更多未公开的信息,他后来拍了一张照片

内容是汇医慧影的AI辅助系统控制文档。

接着,他说如果我不想买,就直说。

担心问太多了,引起怀疑。

⑦假装“砍价”

为了让他相信,媒体曝光说是4btc。

我直接就砍价到1比特币,对面问号三连

1btc买它所有东西,显然不现实。

所以我说,一半。买它一半的东西,source code和data。

对方说2.5比特币,把所有的给我。

我说2比特币,有来有回地“砍”他。

砍价只是个幌子,其目的还是在于打探更多的信息。

所以,我插了一句,问他是哪个国家的

结果,对方来了句,他们是一个地下组织...

很明显,警惕性。

还说,“请叫我们zero time或者00:00”。(真是一群夜半三更出门干坏事的鬼)

把握机会,再次 “赞赏”他,让他开心,加火,继续温水煮青蛙。

而后,对方又回到正题说,如果我准备好了,就开始交易。(交易他个锤子)

我假装自己比特币钱包余额不够2.2btc,跟他说,我要跟老大商量一下。

趁势又“谄媚”了一句,说你们有如此高的技术,想后期跟你们团队“合作”。(是想获得对方更多信息)

但果不其然,对方警惕。

他说,他们zero time会评估核验每一个合作或者加入的人。(没戏)

同时,又发了一张国内的病史化验报告。

说实话,到此处心情有点难受,看见几份中文大字的报告图,被一个黑产老外拿捏在手。

4月28日,交流结束。

让小朋友一脸问号的一幕

4月29日,我想获取他ip试试

构思了一个方法,钓鱼URL重定向。

虽然明知这种方法,失败率很高,

就算我构造了一个URL发过去

他也不一定点开

就算他点开了

他也八九成不是真实ip

但还是想试试。

首先,因为了解对方手里窃取到的用户数据,是用于登录汇医慧影网站的。

所以,这里用一个跟踪器,构造一个重定向的URL:https://catsnthing.com/CWEDAI

用于重定向到http://en.huiyihuiying.com 汇医慧影的网站。

其目的是,对方访问后,记录他的IP地址。

有点虚哈哈

然后,找个借口。发给对方

等到下午,他回复我了,立即打开后台,查看是否有对方的IP记录。

红色框出来的,即为抓到的ip:244.242.105.51,其余均为我挂了代理测试的ip记录。

然后,我去搜索该IP的归属地时

让人大跌眼镜的一幕发生了

这是一个E类的IP地址,而且是保留地址...

此时的心情

我考虑过对方不会点击我的URL,

考虑过会挂VPN代理,

但始终没想过会出现保留地址的情况。

最开始的推测是,对方在数据包中伪造了XFF等系列头

但自己本地测试后,发现这种伪造的做法并不会干扰影响对我的URL跟踪器结果。

所以,进行到这,思路暂时断了。

目前掌握的信息只有以下内容

①记录的保留地址IP

②搜集到的公开信息

最后,在电报频道,还发现他们在售卖了国内另一个系统的数据(crmeb.com)

可信度无法判断,仅以此做个提醒

与此同时,其它国家的数据也能在其中找到。

这是一个真实的案例,也是失败的案例。

至此,只能先告一段落。

————————————————————

0x03 落幕

IP分析

4月30日

对昨天拿到的ip:244.242.108.51

在各大威胁情报引擎检索,并无收获。

只在一个地方发现该IP曾在2019年被发送过大量垃圾邮件

思考了很久...

为什么会是抓到的IP是保留地址

把这件事跟实验室的顾师傅分享了

我们不断篡改HTTP数据头,

反复对IP记录器的钓鱼URL进行碰撞。

也办法复现保留地址的IP场景

世界观感觉要崩塌了。

柳暗花明

然后我们又回到了IP Logger的记录后台

顾师傅多年的爬虫经验

对HTTP数据包的头部有着敏感的嗅觉

发现,User-Agent像极了Tor浏览器的头部信息。

立即动手实验,

我们使用Tor浏览器访问百度,对比我们IP Logger抓到的头部信息

果不其然,丝毫未差,一模一样。

可是这跟我们的保留地址IP有什么关系呢?

在查阅了一些关于Tor浏览器的资料后

意外发现了一篇国外的文章

文章介绍了,他在对一次攻击行为的数据包流量进行分析时,

惊讶地发现,拿到的IP是254.110.107.86,

查看归属地,发现同样也是一个保留地址。

但他发现,其它数据包流量中最后有一行是86.107.110.254的IP地址

而86.107.110.254恰好是IP地址254.110.107.86的反转。

——————————————————

作者的解释是

对方机器使用的是小端模式(little endian)

而不是大端模式(big endian)

这时候我们老大说了一句

这或许就是为什么

114.114.114.114和8.8.8.8这两个IP

会用做DNS服务器的其中一个原因。

因为可能有的机器采用大端模式,有的采用小端模式。

而114.114.114.114和8.8.8.8这两个IP

无论怎么反转,都还是不变,对大小端机器都适用。

在小端模式中,低位字节放在低地址,高位字节放在高地址;
在大端模式中,低位字节放在高地址,高位字节放在低地址

——————————————————

大胆推测

这是不是像极了我们当下的情况。

抓到的IP:244.242.108.51

将其反转:51.108.242.244

IP归属地,从保留地址>>>到英国

蓦然回首,柳暗花明

于是,我们多了一条线索

IP:51.108.242.244

归属地:英国

虽然这应该还只是,对方多重Tor节点中的最后一个IP而已。

这是一个真实的案例,也是失败的案例。

至此,只能告一段落。

毕竟眼前的ZeroTime,是一个国际黑产组织

手握多少0day不知道

其安全技术可能领先于一般的水平。

一己之力固然难以抗衡

虽然明知是南墙,但还是想撞一撞。

感觉像是写了一个故事,却又是真实场景。

虽然不在国家单位工作,

但我们服务于国家,

更授命保护于国家。

毕竟,我们是中国白帽子。

本文来源 冷渗透,由 congtou 整理编辑,其版权均为 冷渗透 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。

参与评论