文章来源:冷渗透
--------------------
嗨,好久不见
历经一个月
由于4月份在保密期
所以删除了文章
后面对文章进行了一小部分更新
--------------------
为了不浪费有些大师傅的时间,先提前报备一下。
本篇不是技术文章
没有结局
也没有成功
因为最终没有拿到对方的隐私信息。
如果没有时间,可以直接翻到最后。
这篇文章的目的
主要是希望国内企业,特别是医疗单位,重视网络安全。
同时,因为很少看到针对国外黑客组织的社工类文章
所以就记录一下。
4月30日更新
完成了最后的倔强,已经看过的师傅
可以直接跳转到最后的0x03落幕
0x01 背景介绍
时间线
2020年4月28日早
在黑白之道看到这篇文章。
下午
接到上级单位的任务,寻找一些蛛丝马迹。
信息分析
1. 观察公开的图片中,只有@THE0[.]TIME的水印
2.Google/Baidu/twitter/darkweb爬虫接口/简单搜索了一下THE0[.]TIM关键字后,发现除了公开的新闻外,都没什么有价值信息。
3. 后在Telegram搜索,发现了一个名为“00:00”的电报频道。
该频道的标签#DataBounty(数据赏金)
4. 实锤取证
THE0[.]TIME符合00:00,zero time的含义。
(ps:不想被搜索引擎的关键字轻易匹配到,所以加入[.]符号进行规避)
进入后检索历史消息
果然发现了从国内窃取的数据文件,实锤。
从历史消息来看,该黑客组织在4月15日就已经拿到数据并开始贩卖。
并声称,拿到的数据信息分为四部分:
①用户数据
②技术数据
③研究成果
④COVID-19疫情相关资料
频道中还公布了一个视频和若干图片样本。
并且图片均带有汇医慧影的水印。
因为部分视频图片的敏感性,所以就不全部放出了。
仔细观察第一张截图
看到一处
For buy:
@Unfrein[.]ded
点开后,此人电报昵称为0x1。
后来与他交流,确定此人即为,窃取国内数据的zero time黑客组织核心成员。
5. 攻击者公开信息整理
把该组织公开的信息,进行了一下整理。
①联系方式:
Telegram账户:@Unfre[.]inded
Jabber账户: z3r0t1m3@[.]xmpp.jp
②电报频道:https://t.me/The0[.]Time
③zero time核心成员0x1
④两个区块链钱包地址:
a. BTC
1Mb131pc1igShCz2pD6UuzRB4BdK6AmYJ5
b. USDT
1GyeoHwWpkmHbeuMqwvp7MZSwgXsK3Y
⑤区块链货币交易查询
截止2月28日下午,暂未出现交易情况
但USDT的查询地址无效
0x02 心理战
为了寻找更多的蛛丝马迹,
九号索性使用土味式英语,与ZeroTime组织核心成员0x1,进行了一次无果的社工交流。
———————————————————————
伪造身份:德国人,以假装购买数据的需求,与对方进行了交流。
目的:尽可能的调查清楚对方窃取到手的数据内容和对手情况。
———————————————————————
正文开始
halo式问候完,开门见山。
不管国内外
陌生人之间,最大的障碍无非是信任二字
人性的弱点。
①欲情故纵,首先质疑对方data的真实性。
他就为了解释证明,巴拉巴拉的说一堆。
②顺其自然,抛出愿意“相信”对方,trust you。
对方又甩了两张窃取的资料图片,证实真实性。
③“赞赏”对方,说了句酷cool。
(内心想法是,酷他个锤子,恨不得扒了你的皮)
纯粹是为了让他感觉交流舒畅,温水煮青蛙。
⑤开始试探
没购买之前,自然不会直接给我们放出数据的详细内容,但我们可以打探他窃取的内容“轮廓”。得到如下结果:
a. 1700行,1000名左右的用户信息。
b. 分别来自湖北、Youan(地域不明,猜测是云南?)、shanxi(陕西或山西)、河南地区的医疗单位账号
c. 数据格式(图片打码区域):账号密码、权限、用户名以及注册单位等(不幸中的万幸,不包含医护人员的身份证详细地址什么的)
⑥一探到底
我想让他发一些更多未公开的信息,他后来拍了一张照片
内容是汇医慧影的AI辅助系统控制文档。
接着,他说如果我不想买,就直说。
担心问太多了,引起怀疑。
⑦假装“砍价”
为了让他相信,媒体曝光说是4btc。
我直接就砍价到1比特币,对面问号三连
1btc买它所有东西,显然不现实。
所以我说,一半。买它一半的东西,source code和data。
对方说2.5比特币,把所有的给我。
我说2比特币,有来有回地“砍”他。
砍价只是个幌子,其目的还是在于打探更多的信息。
所以,我插了一句,问他是哪个国家的
结果,对方来了句,他们是一个地下组织...
很明显,警惕性。
还说,“请叫我们zero time或者00:00”。(真是一群夜半三更出门干坏事的鬼)
把握机会,再次 “赞赏”他,让他开心,加火,继续温水煮青蛙。
而后,对方又回到正题说,如果我准备好了,就开始交易。(交易他个锤子)
我假装自己比特币钱包余额不够2.2btc,跟他说,我要跟老大商量一下。
趁势又“谄媚”了一句,说你们有如此高的技术,想后期跟你们团队“合作”。(是想获得对方更多信息)
但果不其然,对方警惕。
他说,他们zero time会评估核验每一个合作或者加入的人。(没戏)
同时,又发了一张国内的病史化验报告。
说实话,到此处心情有点难受,看见几份中文大字的报告图,被一个黑产老外拿捏在手。
4月28日,交流结束。
⑧让小朋友一脸问号的一幕
4月29日,我想获取他ip试试
构思了一个方法,钓鱼URL重定向。
虽然明知这种方法,失败率很高,
就算我构造了一个URL发过去
他也不一定点开
就算他点开了
他也八九成不是真实ip
但还是想试试。
首先,因为了解对方手里窃取到的用户数据,是用于登录汇医慧影网站的。
所以,这里用一个跟踪器,构造一个重定向的URL:https://catsnthing.com/CWEDAI
用于重定向到http://en.huiyihuiying.com 汇医慧影的网站。
其目的是,对方访问后,记录他的IP地址。
有点虚哈哈
然后,找个借口。发给对方
等到下午,他回复我了,立即打开后台,查看是否有对方的IP记录。
红色框出来的,即为抓到的ip:244.242.105.51,其余均为我挂了代理测试的ip记录。
然后,我去搜索该IP的归属地时
让人大跌眼镜的一幕发生了
这是一个E类的IP地址,而且是保留地址...
此时的心情
我考虑过对方不会点击我的URL,
考虑过会挂VPN代理,
但始终没想过会出现保留地址的情况。
最开始的推测是,对方在数据包中伪造了XFF等系列头
但自己本地测试后,发现这种伪造的做法并不会干扰影响对我的URL跟踪器结果。
所以,进行到这,思路暂时断了。
目前掌握的信息只有以下内容
①记录的保留地址IP
②搜集到的公开信息
最后,在电报频道,还发现他们在售卖了国内另一个系统的数据(crmeb.com)
可信度无法判断,仅以此做个提醒
与此同时,其它国家的数据也能在其中找到。
这是一个真实的案例,也是失败的案例。
至此,只能先告一段落。
————————————————————
0x03 落幕
IP分析
4月30日
对昨天拿到的ip:244.242.108.51
在各大威胁情报引擎检索,并无收获。
只在一个地方发现该IP曾在2019年被发送过大量垃圾邮件
思考了很久...
为什么会是抓到的IP是保留地址
把这件事跟实验室的顾师傅分享了
我们不断篡改HTTP数据头,
反复对IP记录器的钓鱼URL进行碰撞。
也办法复现保留地址的IP场景
世界观感觉要崩塌了。
柳暗花明
然后我们又回到了IP Logger的记录后台
顾师傅多年的爬虫经验
对HTTP数据包的头部有着敏感的嗅觉
发现,User-Agent像极了Tor浏览器的头部信息。
立即动手实验,
我们使用Tor浏览器访问百度,对比我们IP Logger抓到的头部信息
果不其然,丝毫未差,一模一样。
可是这跟我们的保留地址IP有什么关系呢?
在查阅了一些关于Tor浏览器的资料后
意外发现了一篇国外的文章
文章介绍了,他在对一次攻击行为的数据包流量进行分析时,
惊讶地发现,拿到的IP是254.110.107.86,
查看归属地,发现同样也是一个保留地址。
但他发现,其它数据包流量中最后有一行是86.107.110.254的IP地址
而86.107.110.254恰好是IP地址254.110.107.86的反转。
——————————————————
作者的解释是
对方机器使用的是小端模式(little endian)
而不是大端模式(big endian)
这时候我们老大说了一句
这或许就是为什么
114.114.114.114和8.8.8.8这两个IP
会用做DNS服务器的其中一个原因。
因为可能有的机器采用大端模式,有的采用小端模式。
而114.114.114.114和8.8.8.8这两个IP
无论怎么反转,都还是不变,对大小端机器都适用。
在小端模式中,低位字节放在低地址,高位字节放在高地址;
在大端模式中,低位字节放在高地址,高位字节放在低地址
——————————————————
大胆推测
这是不是像极了我们当下的情况。
抓到的IP:244.242.108.51
将其反转:51.108.242.244
IP归属地,从保留地址>>>到英国
蓦然回首,柳暗花明。
于是,我们多了一条线索
IP:51.108.242.244
归属地:英国
虽然这应该还只是,对方多重Tor节点中的最后一个IP而已。
这是一个真实的案例,也是失败的案例。
至此,只能告一段落。
毕竟眼前的ZeroTime,是一个国际黑产组织
手握多少0day不知道
其安全技术可能领先于一般的水平。
一己之力固然难以抗衡
虽然明知是南墙,但还是想撞一撞。
感觉像是写了一个故事,却又是真实场景。
虽然不在国家单位工作,
但我们服务于国家,
更授命保护于国家。
毕竟,我们是中国白帽子。
推荐文章++++
