【网络安全】新型网络犯罪攻防技术研究

前言

​ 大家好，我是风起。本次带来的是对于新型网络犯罪的渗透研究，区别于常规的渗透测试任务，针对该类站点主要核心不在于找出尽可能多的安全隐患，更多的聚焦于 数据 这个概念。值得注意的是，这里的数据更多时候指的是：代理身份、后台管理员身份、受害人信息、后台数据、 消费凭证 等信息。总的来说，一切的数据提取都是为了更好的落实团伙人员的身份信息。

​ 所以无论是获取权限后的水坑钓鱼还是拿到数据库权限后提取信息亦或者提取镜像数据的操作都是在这个基础之上的。本文将以深入浅出的方式对渗透该类犯罪站点时的一些注意事项作出讲解，希望能够对注焦于此的安全人员有所帮助。

​ 本文仅作安全学习研究，切勿违法乱纪。

【学习资料】

攻击初识

​ 以下即为一个常见的博彩类站点，首先我们可以对该类站点的功能进行盘点。

首先从在线客服这里来讲，一般来讲博彩诈骗类站点都使用 美洽客服系统 较多，也因为其安全、部署便捷的缘故而被广大该类站点开发者所使用。目前来讲，针对该客服系统感觉并没有什么漏洞，所以通常使用钓鱼的方式来突破客服口，而常常对于有一定规模的团伙，他们的 客服跟财务 通常是同一业务团队，所以在以往的渗透中发现，在其客服机上常常存在大量的受害人信息及下级代理信息，这里大家可以重点注意一下，以钓鱼的方式突破客服口往往有意想不到的收获，毕竟无论在哪里 人永远是最大的漏洞。

​ 对该类站点渗透经验丰富的师傅，可以通过客服样式直接判断，当然也可以通过前端代码匹配关键字进行更为精准的判断目标客服系统。

​ 往往该类博彩站点都是以移动端APP作为主要方式使用，所以在快速渗透的过程中我们可以优先反编译审计一下目标APP中是否存在一些敏感信息，例如提取URL拓宽战线、获取AK/SK控制云服务器。往往在提取APP中敏感信息会有意外之喜，下图为一次渗透目标中提取到的一些敏感信息。

​ 网上有不少敏感信息自动提取的工具，这里我用的比较多的是 ApkAnalyser ，当然GA部门也有专门的设备用于提取，工作性质不同所能利用的资源也不尽相同。

​ 对于一些代码能力较强的师傅，也可以直接通过反编译APK包审计代码，寻找敏感信息，当然这里建立在APP没有加壳等防护手段的基础上。

通常，对于需要重点注意的关键词如：Password、id、accessKeyId、Username、accessKeySecret、mysql、redis等等，这里根据攻击者对于 敏感性 概念的认知做提取操作。

​ 如上图，为一次渗透目标中，通过APP反编译得知目标AK/SK凭证，并且得知OSS服务为aliyun厂商，地域香港。于是直接获取到OSS服务权限，并且通过阿里云API命令执行上线C2。当然，OSS对象存储也是我们需要注意的一个点，通常为了方便起见，会将受害人的信息上传到OSS服务。

记一次有趣的渗透过程

​ 整个攻击过程大概如上图，简单的画了一下思维导图。

​ 该案例也是较大规模一个博彩目标