news · 2014/02/15 22:56
FireEye实验室确认，在美国的一个违法网站上发现了一个新的IE 10的0day，这是一个经典的偷渡式攻击。这个0day攻击成功后，会从远程服务器下载一个XOR编码的payload，然后解码并执行。
发表这个声明是为了警示广大网民，FireEye正在与微软安全团队合作进行防御。
关于这次攻击的详细报告，已经发表在FireEye的博客上：
operation snowman deputydog actor compromises us veterans of foreign wars website
译者注：水坑攻击是APT攻击的一种常用手段，是指黑客通过分析被攻击者的网络活动规律，寻找被攻击者经常访问的网站的弱点，先攻下该网站并植入攻击代码，等待被攻击者来访时实施攻击。这种攻击行为类似《动物世界》纪录片中的一种情节：捕食者埋伏在水里或者水坑周围，等其他动物前来喝水时发起攻击猎取食物。
原文：new i.e. zero day found in watering hole attack

        近日，映入wifi安全眼帘的是瑞星互联网实验室发出的一份报告，该报告称，过去一年内wifi建设工程日益完善，不少用户都学会用免费wifi软件或是wifi硬件搭建无线网络环境，wifi的普及是好事，但这也使无线网络遭到攻击的几率增加。
        Wifi软件示例

    Wifi硬件示例
    关于无线网络上网安全问题，其实也没有大家想象中那么严重，就拿wifi共享精灵来说吧，软件本身考虑到网络上黑客攻击的问题，设置了WAP2加密模式，在该模式上基本能保证用户的无线网络使用安全。

    附录报告内容：

 WiFi路由器DNS恶意篡改


当用户在访问正常网站时，浏览器会被指向非法恶意网址，例如频繁收到恶意弹窗、无法打开正常网页等，甚至还会遭遇钓鱼网站及病毒的威胁。


公共场所WiFi藏黑客


绝大多数的公共WiFi环境缺少甚至毫无安全防护措施，这就导致了任何人（包括黑客）都可以加入。一旦攻击者进入该免费WiFi以后，就能截取网络中传输的数据。


警惕无密码的“WiFi黑网”攻击


攻击者往往采取仿冒免费公共WiFi名称的方法引诱用户进入陷阱。届时，不仅用户的隐私信息、网银账密将面临泄露，用户还有可能收到黑客推送的恶意信息。


简单WiFi密码挡不住黑客      


通过调查发现，很多人仍在使用WEP这种极易遭到破解的加密方式。瑞星安全专家介绍，互联网上针对WEP加密的破解工具随处可见，即使用户频繁更改密码也无济于事。


通过WiFi共享文件易遭窥探


攻击者首先会尝试破解WiFi密码，一旦破解成功将立刻入侵网络查看网络当前用户IP地址。如果发现这些地址中存在没有被加密的共享文件，攻击者就可随意查看文件信息。


信号干扰攻击


攻击者会使用专业设备发射恶意干扰信号，使用户无法正常连接网络。经实验表明，信号干扰不仅严重影响用户的上网速度，还可导致路由部分功能失灵。

    针对上述情况的出现，专业人士提醒大家，最好这样做：
 
    1.关掉手机共享文件,保护隐私
    2.不随便连接未知WiFi网络
    3.银行转账或购物时，使用手机网络连接比WiFi更安全
    4.为手机安装安全软件
    5.使用WiFi时,注意周边，防止被人偷窥
 
    对照这些wifi使用中的小习惯，看看上述细节你都做到了吗？

    

                    

                    

                    
                    
                    
据外媒Cnet报道，卡巴斯基实验室的研究人员上个月发布了关于加油站漏洞的研究报告，指出从美国到印度的1000多个加油站可能面临网络攻击。这些问题来自能连接到互联网的加油站控制器，所有者无法更改默认密码，攻击者完全可以访问机器。
上周五，卡巴斯基实验室高级安全研究员Ido Naor和以色列安全研究员Amihai Neiderman在卡巴斯基在墨西哥坎昆举行的安全分析师峰会期间，就加油站的安全问题展开了全面分析。他们的研究表明，攻击者可以改变汽油价格，窃取记录在控制器上的信用卡信息，获取车牌号码，造成油料泄露，调整温度监控器等等。
Neiderman解释称：“当我们获取root权限时，我们可以做任何我们想做的事情。”Naor则表示，攻击者甚至不需要到当地加油站附近的任何地方。这些加油站的控制器都能连接到互联网，而且密码安全性较低，因此可以远程完成。
该在线软件来自Orpak Systems，这家燃料管理公司于去年5月被北卡罗来纳州的Gilbarco Veeder-Root公司收购 。据Orpak称，其软件已安装在全球超过35000个加油站。Orpak将其指南放在网上，展示了加油站技术的细节，包括如何访问其界面的密码和屏幕截图。这些公司没有回应置评请求。
这些漏洞突出了物联网设备背后的问题，因缺乏安全性而受到广泛批评。由于在线连接了不安全的网络摄像头和DVR，黑客已经能够发起大规模的网络攻击。Naor表示，但是在加油站，危险攻击的风险要高得多。在极端情况下，黑客可能会调整油箱内的压力和温度，可能导致爆炸。
Naor和Neiderman表示，他们在2017年与供应商联系，但大多被忽视。Neiderman称，这些漏洞很可能仍然存在。这些机器已经过时，有时甚至超过十年，软件也是如此，他补充道。
*来源：cnBeta.COM
更多资讯
◈ 土耳其埃及的 ISP 被发现劫持 HTTP 流量
http://t.cn/REdmgGs
◈ 思科软件发现硬编码密码
http://t.cn/REdmglj
◈ 谷歌下放权限 允许制造商定制Google Assistant语音命令
http://t.cn/REdmgrJ
◈ "黑客"盗刷71人信用卡买机票:和携程代理商合作
http://t.cn/REdmez3
（信息来源于网络，安华金和搜集整理）



                
  

背景

根据中国互联网络信息中心（CNNIC）第45次发布《中国互联网络发展状况统计报告》显示，截止今年3月，我国网民规模达9.04亿，不法分子利用网络直播平台传播淫秽色情信息非法牟利现象屡见不鲜，国家六部门联合下发《关于加强网络直播服务管理工作的通知》，恒安嘉新暗影安全实验室针对此类问题，成立了移动互联网“黄赌骗”专题研究小组，持续针对“黄赌骗”黑色产业链进行研究，在国家互联网应急中心发布的《中国移动互联网安全报告（2019）》中，发表了移动互联网“黄赌骗”黑色产业专题研究报告。

近日，恒安嘉新暗影安全实验室安全员发现一款名为“大发棋牌”的应用程序涉及“黄赌骗”行为，安全研究人员第一时间进行了研究分析，发现该应用是一款涉及各种赌博场景的软件。本文主要是针对“大发棋牌”的传播方式、盈利模式，溯源分析，情报挖掘等方面进行披露，以免更多网民上当受骗。

1．样本基本信息


			
程序名称
			
			

			
大-发-棋-牌

			
 
			
		

			
程序包名
			
			

			
com.dafaqpn1.cocosandroid

			
 
			
		

			
程序MD5
			
			

			
660676957C66CB50000A0CCA7629A1E7

			
 
			
		

			
签名信息
			
			

			
CN=Unknown, OU=Unknown, O=Unknown, L=Unknown, ST=Unknown, C=Unknown
			
		

			
签名MD5
			
			

			
4E375AC113DB48E5B2572B4F4568B460

			
 
			
		

			
图标

			
 
			
			

			

			
		
2．传播方式



图1-1 赌博软件传播方式

2.1 依赖色情网站传播

色情网站一直以来都是与赌博软件捆绑推广的，色情网站作为中间桥梁，一方面定位定力较差的男性，一方面推广给这些男性可以赚钱的赌博软件，从而看更多付费内容，形成一个闭合链路。在之前发布的文章“玖色直播安全情报报告”中我们也介绍过玖色直播该类APP存在传播赌博应用的行为。



图1-2 某色情网站

2.2 社交软件群发传播

社交软件是黑灰产运行不可或缺的工具，不管是分发传播应用，还是通过建群培养一批喜好相同的无业游民来进行长期的圈养，进而诈骗等都是最佳的工具。这些团队最常用的手段就是盗取某人的QQ号，然后利用该用户QQ号给所有群群发传播链接或者二维码等，肯定不排除团队成员自己窜进某个群直接群发后溜走。



图1-3 社交软件群聊天记录

2.3 应用本身发展下级传播

应用本身包含完整的链条，推广赚取佣金是很多黑灰产相关软件都会嵌入的功能，通过生成定制的二维码或者短连接，进而分享到社交软件来推广应用。



图1-4 应用本身推广详情

URL：https://ky***.com?proxyAccount=1075826

跳转地址：https://ky**.com/index.html?shareName=ky**.com&proxyAccount=1075826



图1-5 赌博软件永久网址

2.3 通过“无恶意”应用广告传播

在分析溯源过程中发现存在相同包名的应用，该应用在某应用市场下载量达到13万之多，分析该应用，发现应用启动后弹出一个全屏广告，推广类似于该赌博软件的应用吗，该广告页面在服务器后端可随意更换。

https://www.*****.com/apps/8089983。



图1-6 某应用市场下载页面

应用启动后推广类似赌博软件：

http://wy****88.com/。



2.4 小型网站被劫持挂菠菜

在分析溯源过程中还看到了大量小型网站被劫持的案例，被劫持的网站在访问时会跳转到传播恶意程序的页面。

原网址：too.s****.cn



原网址：s****r.cn



跳转网址：http://5****1.com/



图1-7 某网站被挂菠菜页面

3．盈利模式

该赌博软件主要的盈利模式主要就是发展下级，拥有的下级越多，理论上自己获取的收益就越大，就会存在这类软件的传播者所说的“躺着月入几十万”。不过不管是自己玩还是发展下级去玩，最终盈利的都是软件运营团队。



图1-8 赌博软件盈利模式

4. 情报挖掘溯源



图1-9 情报挖掘溯源脑图

4.1 支付信息溯源

该赌博应用的支付模块主要有支付宝、微信、银行卡转账、银联支付、网银手机转账。



图1-10 充值方式

4.1.1 支付宝支付

仅支付宝支付模块就是用了七八个不同的接口，此类支付一方面是通过扫描二维码直接跳转到指定用户转账界面进行转账，再者是通过给定的银行卡账户、姓名，提示用户通过支付宝的银行卡转账进行支付，其次就是某些跑分平台虚拟产品付款，其实不管是转账还是虚拟产品支付都应属于跑分平台单子，这种用户信息可能都是正常账户，但是被用作黑灰产洗钱的工具，同样属于违法行为，了解跑分平台与黑灰产的关系可以查看“黑灰产的廉价“温床”—跑分平台”：



（一）直接跳转支付宝账户转账相关信息：









图1-11 支付宝充值


			
序号

			
 
			
			

			
姓名

			
 
			
			

			
支付宝账号

			
 
			
		

			
1

			
 
			
			

			
李大*

			
 
			
			

			
1651927****

			
 
			
		

			
2

			
 
			
			

			
李士*

			
 
			
			

			
1653736****

			
 
			
		

			
3

			
 
			
			

			
白文*

			
 
			
			

			
1853039****

			
 
			
		

			
4

			
 
			
			

			
孟新*

			
 
			
			

			
b1817560****@163.com

			
 
			
		

			
5

			
 
			
			

			
步科*

			
 
			
			

			
changbu****@163.com

			
 
			
		

			
6

			
 
			
			

			
冯火*

			
 
			
			

			
fengh****e173****@163.com

			
 
			
		

			
7

			
 
			
			

			
王*

			
 
			
			

			
id****@163.com

			
 
			
		

			
8

			
 
			
			

			
王*

			
 
			
			

			
jas****.ren@cn.nestle.com

			
 
			
		

			
9

			
 
			
			

			
高****电子商务部

			
 
			
			

			
xu62445****@163.com

			
 
			
		

			
10

			
 
			
			

			
左吉*

			
 
			
			

			
z****an4****@163.com

			
 
			
		

			
11

			
 
			
			

			
陆道*

			
 
			
			

			
Zt****77@163.com

			
 
			
		
（二）提供银行卡信息，通过支付宝转账到银行卡支付。









图1-12 通过银行卡转账


			
序号

			
 
			
			

			
银行卡号

			
 
			
			

			
姓名

			
 
			
			

			
收款银行

			
 
			
		

			
1

			
 
			
			

			
621226140700*******

			
 
			
			

			
张贤*

			
 
			
			

			
工商银行

			
 
			
		

			
2

			
 
			
			

			
6214837593*******

			
 
			
			

			
李旭*

			
 
			
			

			
招商银行

			
 
			
		

			
3

			
 
			
			

			
621691230*******      

			
 
			
			

			
林秋*

			
 
			
			

			
民生银行

			
 
			
		

			
4

			
 
			
			

			
6217002520000*******

			
 
			
			

			
付美*

			
 
			
			

			
建设银行

			
 
			
		

			
5

			
 
			
			

			
62179202889*******

			
 
			
			

			
白振*

			
 
			
			

			
浦发银行

			
 
			
		

			
6

			
 
			
			

			
6221803900003*******

			
 
			
			

			
陈明*

			
 
			
			

			
邮政银行

			
 
			
		

			
7

			
 
			
			

			
6222021302020*******

			
 
			
			

			
贺黑*

			
 
			
			

			
工商银行

			
 
			
		

			
8

			
 
			
			

			
6222031405001*******

			
 
			
			

			
陈丽*

			
 
			
			

			
工商银行

			
 
			
		

			
9

			
 
			
			

			
6236682640001*******

			
 
			
			

			
邢思*

			
 
			
			

			
建设银行

			
 
			
		

			
10

			
 
			
			

			
6236682980001*******

			
 
			
			

			
陈桃*

			
 
			
			

			
中国建设银行

			
 
			
		
（三）通过支付宝代付款功能为指定商品付款。







图1-13 代付功能支付

4.1.2 微信支付

微信支付主要有两种，一是通过购买虚拟产品例如充值话费；二是支付指定商品货款，这种类似于刷单，应该是跑分平台虚拟产品。


	
话费充值：
	






图1-14 充值话费


	
跑分平台虚拟产品支付：
	




图1-15 跑分平台虚拟产品充值

4.1.3 银行卡转账

通过程序启动时公告，可断定银行卡转账付款的相关账户应与赌博软件的运营团队相关，属于团队旗下账号，并且两个账户的开户地都是四川某市。





图1-16 赌博团队旗下银行账户


			
序号

			
 
			
			

			
银行卡号

			
 
			
			

			
姓名

			
 
			
			

			
开户行

			
 
			
		

			
1

			
 
			
			

			
231248820100*******

			
 
			
			

			
张*

			
 
			
			

			
**广场路支行

			
 
			
		

			
2

			
 
			
			

			
440220460100*******

			
 
			
			

			
许*

			
 
			
			

			
****晋康街支行

			
 
			
		
4.2 服务器信息溯源

4.2.1 程序主服务器地址

应用运行后，通知栏留有官方网址，该网址就是提供该赌博应用永久站点的界面。用户可以访问该页面找到站点直接访问网页版赌博界面，也可以在界面下载到最新的赌博应用。

（一）官方网址：www.9****.com，通过对官方地址溯源找到了大量同IP域名，随机访问部分域名，便是一个新的赌博站点。



图1-17 赌博软件永久地址

同IP域名信息：


			
341.ag

			
 
			
			

			
www.341.ag

			
 
			
			

			
hg0044.cc

			
 
			
		

			
caipiao88.bet

			
 
			
			

			
www.caipiao88.bet

			
 
			
			

			
hg2000.cc

			
 
			
		

			
dajiangcaipiao.bet

			
 
			
			

			
www.dajiangcaipiao.bet

			
 
			
			

			
hg2200.cc

			
 
			
		

			
xpj.bet

			
 
			
			

			
www.xpj.bet

			
 
			
			

			
xpj40.cc

			
 
			
		

			
xpjbet.bet

			
 
			
			

			
www.xpjbet.bet

			
 
			
			

			
xpj41.cc

			
 
			
		

			
0399.cc

			
 
			
			

			
www.0399.cc

			
 
			
			

			
xpj42.cc

			
 
			
		

			
746.cc

			
 
			
			

			
www.746.cc

			
 
			
			

			
www.hg0044.cc

			
 
			
		

			
caipiao88.cc

			
 
			
			

			
www.caipiao88.cc

			
 
			
			

			
www.hg2000.cc

			
 
			
		

			
dajiangcaipiao.cc

			
 
			
			

			
wap.dajiangcaipiao.cc

			
 
			
			

			
www.hg9988.cc

			
 
			
		

			
www.dajiangcaipiao.cc

			
 
			
			

			
00050011.com

			
 
			
			

			
www.xpj40.cc

			
 
			
		

			
www.00050011.com

			
 
			
			

			
00050066.com

			
 
			
			

			
www.xpj41.cc

			
 
			
		

			
www.00050066.com

			
 
			
			

			
00050077.com

			
 
			
			

			
www.xpj49.cc

			
 
			
		

			
www.001133bb.com

			
 
			
			

			
001133cc.com

			
 
			
			

			
www.0222dh.com

			
 
			
		

			
www.001133cc.com

			
 
			
			

			
0033341.com

			
 
			
			

			
www.023377.com

			
 
			
		

			
www.012mgm.com

			
 
			
			

			
01bet365.com

			
 
			
			

			
www.0222bb.com

			
 
			
		

			
www.01bet365.com

			
 
			
			

			
0222bb.com

			
 
			
			

			
023377.com

			
 
			
		
随机访问部分域名：

https://www.x2***.tv:8888/



https://www.61****l.com/



https://www.55****a.com/



http://www.4**.*m:888/



https://www.4****h.com/



https://k****3.com/home



图1-18 部分相关连赌博页面

通过页面预留地址下载赌博应用如下：


			
序号

			
 
			
			

			
下载地址

			
 
			
			

			
应用名

			
 
			
		

			
1

			
 
			
			

			
https://9****p.com/428.apk

			
 
			
			

			
澳门皇冠赌场

			
 
			
		

			
2

			
 
			
			

			
https://7****p.com/426.apk

			
 
			
			

			
澳门新葡京

			
 
			
		

			
3

			
 
			
			

			
https://a****5.com/3555.apk

			
 
			
			

			
奔驰宝马

			
 
			
		

			
4

			
 
			
			

			
https://a*****5.com/048.apk

			
 
			
			

			
澳门威尼斯人

			
 
			
		

			
5

			
 
			
			

			
https://a*****9.com/746.apk

			
 
			
			

			
宝马线上娱乐

			
 
			
		
（二）运行访问地址：


	
https://api.da*******zk.com:8553/member/dervice/hotupdate
	
	

	
https://api.d****d.cn
	



	
主办单位名称：常州***电子科技有限公司
	
	

	
网站备案/许可证号：苏ICP备200****号-3
	
	

	
网站名称：常州****电子科技有限公司
	
	

	
网站首页网址：www.d*****d.cn
	


4.2.2 程序中涉及支付相关地址

应用中大部分支付都是通过第三方接口生成一个供用户支付宝扫描或者查看转账账户信息，然后通过支付宝转账。

4.2.1.1 api.z******o.com




	
主办单位名称：陈永*
	
	

	
网站备案/许可证号：闽ICP备20****73号-1
	
	

	
网站名称：我家的知福小猫
	
	

	
网站首页网址：www.z*****o.com
	


4.2.1.2 b*****u.com




	
主办单位名称：游子*
	
	

	
网站备案/许可证号：京ICP备16*****4号-1
	
	

	
网站名称：本味U
	
	

	
网站首页网址：www.b****u.com
	


4.2.2.3 g0801.n*****l.com




	
主办单位名称：内蒙古**科技有限公司
	
	

	
网站备案/许可证号：蒙ICP备19****7号-1
	
	

	
网站名称：内蒙古**科技有限公司
	
	

	
网站首页网址：www.n****l.com
	


4.2.2.4 img.lv*****8.com




	
主办单位名称：中山市**太阳能照明厂
	
	

	
网站备案/许可证号：粤ICP备16****0号-2
	
	

	
网站名称：中山市**太阳能照明厂
	
	

	
网站首页网址：www.l*****88.com
	


4.2.2.5 putou.t****x.com




	
主办单位名称：天津市****所
	
	

	
网站备案/许可证号：津ICP备06****2号-1
	
	

	
网站名称：天津市****研究中心
	
	

	
网站首页网址：www.t***x.com
	


4.2.3 引用赌博模块相关地址

4.2.3.1 开元棋牌


	
服务器地址：https://110qd.ky****.com/index.html
	
	

	
主办单位名称：长沙**电子商务有限公司
	
	

	
网站备案/许可证号：湘ICP备19****4号-3
	
	

	
网站名称：长沙**电子商务有限公司
	
	

	
网站首页网址：www.ky****.com
	






4.2.3.2 美人捕鱼


	
服务器地址：https://baidugrap.d*****s.cn/game
	
	

	
主办单位名称：大同**装饰工程有限公司
	
	

	
网站备案/许可证号：晋ICP备19****3号-1
	
	

	
网站名称：大同**装饰工程有限公司
	
	

	
网站首页网址：www.d****s.cn
	
 4.2.3.3 财神捕鱼

服务器地址 :https://game1.yj******47.com/

 4.2.3.4 MG电子

服务器地址 ：https://of***n.c/platform/Default.aspx

跳转地址：https://blabsten.ma******e.net/MobileWebGames/game/mgs/10_2_5_7840



4.2.3.5 CQ9传奇电子


	
服务器地址 ：https://image.x****z.com/h5/52/
	
	

	
主办单位名称：陕西****化妆品有限公司
	
	

	
网站备案/许可证号：陕ICP备18****6号-1
	
	

	
网站名称：陕西****化妆品有限公司
	
	

	
网站首页网址：www.x****z.com
	


4.2.3.6 AG电子

服务器地址 ://gci.g*****l5.com/egames/

 5. 总结

网络博彩之所以吸引人，不仅仅在于金钱利益(当然，这是最主要的因素)，“兴趣”在其中也占了很大比重。网络上的博彩加入了很多人们关注的话题，比如游戏、足球、赛马以及各种体育比赛。这样的赌博方式不仅能吸引赌徒，还能吸引游戏爱好者、球迷、马迷等其他受众参加。博彩类软件最终的目的还是吸钱，甭管你有多少钱，只要你陷入后无法自拔，那么总有一天你会被吸光，所以远离赌博从自己做起。


	
安全从自身做起，建议用户在下载软件时，到正规的应用商店下载正版软件，避免从论坛、不明网站、社交群等下载软件，可以有效的减少该类病毒的侵害；
	
	

	
 即便是从正规应用商店下载的软件，在使用过程中也应警惕，不要随便点击不明广告链接、图片等；
	
	

	
远离黄赌毒从自身做起，不要试图踏着红线去做一些让自己后悔的事情。