b5eK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3k6J5k6h3g2T1N6h3k6Q4x3X3g2U0L8$3#2Q4x3V1k6S2M7Y4c8A6j5$3I4W2M7#2)9J5c8Y4N6W2j5W2)9J5c8U0M7&6y4e0q4Q4x3X3g2Z5N6r3#2D9
2013-03-22   FreebuF.COM
小八卦下黑产： 这几天收到一些朋友的留言说希望能科普下这个黑产：
“弦哥，能科普下黑产现在发展到什么阶段了吗？普通用户的哪些信息被卖给谁了？”
“你好，可以科普些黑客们做黑产的事吗？他们怎么盈利？刷网游？盗购物单？卖网民隐私？还是做什么赚钱的呢？谢谢科普” 这话题太大了，太大了…… 黑产做的都是一些法律不允许或走法律擦边球的一些事，通常都能够暴利，在网络上的黑产分很多种：挂马、暗链、垃圾邮件、钓鱼、中奖欺诈、垃圾站、恶意软件、吸费软件、盗版（电影）、色情、博彩等等，10几种大类，几十种小类，这些欺骗网民感情的网站（除了某些真色情、真盗版电影的网站）都是我们应该警惕的，即使你不中招，你爸妈，亲朋好友也可能中招，大家可以到安全联盟的官网看看每天被网民举报的网址有多少：88dK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3q4F1M7i4g2S2L8W2)9J5k6h3!0J5k6#2)9J5c8Y4y4W2j5$3y4W2L8Y4c8W2M7W2)9J5c8X3q4U0j5%4g2K6j5i4c8A6L8$3&6Q4x3V1k6Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0g2Q4b7U0W2Q4b7U0k6Q4c8e0g2Q4z5p5k6Q4b7f1k6Q4c8e0c8Q4b7V1u0Q4b7e0g2Q4c8e0g2Q4z5o6S2Q4b7U0m8Q4c8e0W2Q4b7e0k6Q4z5e0k6Q4c8e0W2Q4b7e0q4Q4b7U0g2Q4c8e0c8Q4b7U0S2Q4z5p5q4Q4c8e0k6Q4z5f1k6Q4b7e0g2Q4c8e0c8Q4b7U0S2Q4z5p5u0Q4c8e0S2Q4z5o6N6Q4b7f1q4Q4c8e0g2Q4b7U0N6Q4b7U0q4Q4c8e0S2Q4b7f1g2Q4b7V1k6Q4c8e0W2Q4z5e0N6Q4b7f1g2Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4c8e0c8Q4b7U0S2Q4z5o6m8Q4c8e0c8Q4b7V1q4Q4z5f1u0Q4c8e0N6Q4b7V1c8Q4z5e0q4Q4c8e0N6Q4b7f1u0Q4z5e0W2Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4c8e0c8Q4b7V1k6Q4b7e0q4Q4c8e0S2Q4b7f1q4Q4z5o6W2Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0g2Q4b7e0k6Q4z5o6u0Q4c8e0k6Q4z5f1g2Q4z5f1y4Q4c8e0c8Q4b7V1k6Q4b7e0q4Q4c8e0S2Q4b7f1q4Q4z5o6W2Q4c8e0c8Q4b7V1c8Q4z5p5g2Q4c8e0g2Q4z5p5q4Q4b7e0y4Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0g2Q4b7U0m8Q4b7U0q4Q4c8e0g2Q4b7V1g2Q4z5e0N6Q4c8e0S2Q4b7U0m8Q4b7e0S2Q4c8e0k6Q4z5o6g2Q4z5p5g2Q4c8e0c8Q4b7V1q4Q4z5o6k6Q4c8e0y4Q4z5o6m8Q4z5o6t1`. 黑产种类这么多，我也没办法在一篇文章里科普完，只能每次来个经典案例，通过案例本身来看黑产吧。 一次经典的QQ空间钓鱼案例 这次的案例非常经典，是安全联盟伙伴电脑管家捕获到的。近日电脑管家捕获到了一起大规模的QQ空间钓鱼攻击，我们进行了快速响应，追根溯源，直捣黄龙，不仅分析了传播手法，还搞下了目标利用程序与背后的一些活动信息，目前还不方便公开所有细节，我将大体过程八卦下（以下取证来自我们的某位安全研究员帅哥）： 管家发了我一批钓鱼列表，其中几个：
447K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4N6W2j5Y4y4T1L8$3!0C8i4K6u0W2j5$3!0E0i4K6u0r3j5$3!0V1k6g2)9J5c8Y4m8D9N6i4y4Q4x3V1k6V1L8%4N6F1L8r3!0S2k6q4)9J5k6i4m8Z5M7q4)9K6c8X3!0H3k6h3&6Q4x3@1b7I4i4K6t1$3L8r3W2F1K9#2)9K6c8r3q4t1f1U0m8U0c8r3!0$3e0o6u0z5N6W2A6s2g2i4S2x3L8X3c8D9h3h3&6z5K9h3t1J5z5i4u0x3L8f1&6$3j5W2x3&6x3h3y4s2L8s2c8K9P5e0W2I4j5%4V1&6P5X3u0s2L8r3E0K9f1K6q4*7j5f1M7&6x3@1&6e0y4i4W2k6h3p5W2Q4x3@1b7`.

2a4K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3q4F1M7i4g2S2L8W2)9J5k6h3y4G2L8g2)9J5k6h3y4F1i4K6u0r3M7r3!0H3i4K6u0r3x3e0p5&6i4K6u0r3N6r3!0Q4x3V1k6D9i4K6u0W2M7r3S2H3i4K6y4r3K9g2)9K6c8q4)9J5c8V1W2Q4x3V1k6E0i4K6u0W2j5i4y4H3P5q4)9K6c8W2)9J5c8U0x3%4z5g2)9J5c8U0p5K6x3l9`.`.

9efK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6S2K9h3#2S2L8%4q4#2j5h3&6Q4x3X3g2S2L8r3W2T1j5h3u0S2i4K6u0W2j5$3!0E0i4K6u0r3N6$3#2Q4x3V1k6H3L8s2g2K6i4K6u0r3k6r3!0%4L8X3I4G2j5h3c8Q4x3X3g2H3K9s2m8Q4x3@1k6G2M7r3g2F1i4K6y4p5x3g2)9J5y4X3I4A6L8X3E0Q4x3@1c8S2d9q4t1H3j5@1c8G2N6V1H3K6g2Y4W2T1c8r3y4#2j5W2N6g2N6W2b7J5c8V1!0U0f1g2)9K6c8q4)9K6c8l9`.`.

52fK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6S2K9h3#2S2L8%4q4#2j5h3&6Q4x3X3g2S2L8r3W2T1j5h3u0S2i4K6u0W2j5$3!0E0i4K6u0r3N6$3#2Q4x3V1k6H3L8s2g2K6i4K6u0r3k6r3!0%4L8X3I4G2j5h3c8Q4x3X3g2H3K9s2m8Q4x3@1k6G2M7r3g2F1i4K6y4p5x3g2)9J5y4X3I4A6L8X3E0Q4x3@1c8S2d9q4t1H3j5@1c8G2N6V1H3K6g2Y4W2T1c8r3y4#2j5W2N6g2N6W2k6s2L8p5!0U0f1g2)9K6c8q4)9K6c8l9`.`. 阿里巴巴居然也被利用了，我分析发现plus/download.php这个特征似乎眼熟，问了下我们安全研究团队的牛哥，他说是DedeCMS，link参数的值base64编码了，解码后是目标钓鱼地址的短网址形式，这个大规模的钓鱼链接传播利用了DedeCMS的跳转漏洞。 这样隐藏的好处很明显，大家第一眼是看不出这个URL有什么问题的，以大网站为载体进行传播是目前钓鱼网站传播的最流行手段，所以在这个产业链环节中有一个重要的交易就是：买卖跳转链。 钓鱼还需要一套钓鱼程序，比如说QQ空间的钓鱼程序，公开报价300、500一套。得看程序质量了，下面有个钓鱼程序后台的一个截图： 这个钓鱼程序虽然简陋，不过服务态度太好了，而且还声明了：请勿做任何违反法律的事…… 后台简陋，不过前台（传播的钓鱼页面）就很炫了，我们简单调查了一圈，上当的人还是有一定可观比例的，前台页面就是本文开篇的那张图了，诱惑么？一旦你输入QQ账号与密码登录，就中招啦！ 我们跟踪了几个钓鱼程序的后台，看到了一些中招的记录，如下：  后台记录的这些数据应该是每天就会清洗一次（洗号），给背后的BOSS去洗钱了（QQ系列产品里很多虚拟财产）。把这些钓来的QQ账号卖出去也是一个过程，如下： 名词解释下：
1、广告信：用于广告营销的帐号；
2、忽悠信：用于恶意诈骗的帐号；
3、隔夜信：顾名思义，指前一天没有卖出去的帐号；恩，这些坏蛋的交易场所基本都是通过QQ或QQ群，腾讯在这方面可以关注下。还有一个很有趣的，交易的时候那些银行账号暴露了岂不是会有麻烦？没关系还有专门的团伙出售黑银行卡：
总结下钓鱼过程的各路角色： 从上面的一个过程可以看出这个钓鱼过程的各路角色了： 被钓者（网民）、跳转链接研发者，跳转链接出售者、钓鱼程序研发者、钓鱼程序出售者、实施钓鱼的团伙（买进跳转链接、钓鱼程序、空间、域名等）、散播钓鱼链接（渠道很多种，可能有的散播渠道也需要进行买卖）、黑银行卡出售者、洗钱团队、买家（还是这些网民，比如低价买装备等虚拟财产）…… 一个轮回后，最终的利益损失方就是网民了。 这个产业链过程和我们之前分析的挂马产业链、淘宝钓鱼产业链等大体一样，分工明确、一流的职业操守、耐心、厚脸皮、精明、贪婪等是这个产业的特点。不过我们还发现一些黑吃黑的现象。
1. 比如：我安排一个黑客把你的钓鱼程序后台黑了，把里面的账号密码私吞……
2. 再比如：我DDOS你的钓鱼网站，让你什么钱都赚不到…… 这里面的团队是利益驱动的，所以大家行动很快，职业素养也很高，但内心往往比较畸形，如果利益受损，很可能就会做出一些疯狂的事，这里有篇前段时间的新闻（95后少年建特价机票钓鱼网站两月卷走百万），大家可以看看： 973K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3S2D9K9W2)9J5k6i4y4A6L8X3q4Q4x3X3g2U0L8$3#2Q4x3X3g2U0L8W2)9J5c8X3&6W2N6%4y4Q4x3V1k6K6i4K6u0r3x3U0l9I4x3#2)9J5k6o6l9K6i4K6u0V1x3e0y4Q4x3V1j5I4y4o6l9$3y4o6t1H3y4K6m8Q4x3X3g2Z5N6r3#2D9i4@1f1%4i4@1u0n7i4K6V1K6i4@1f1^5i4@1q4r3i4@1q4p5i4@1g2r3i4@1u0o6i4K6W2m8
1. 后面我们还会逐渐八卦一些黑产背后的事，从我们的角度去写，往往会更有亮点，慢慢来，不急。
2. 我要说下，安全联盟（anquan.org）集各家之力打击这些危害网民的网站，如果大家发现这类网站，请到我们的举报平台进行举报：5f6K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3q4F1M7i4g2S2L8W2)9J5k6h3!0J5k6#2)9J5c8Y4y4W2j5$3y4W2L8Y4c8W2M7W2)9J5c8X3q4U0j5%4g2K6j5i4c8A6L8$3&6Q4x3V1k6Q4c8e0y4Q4z5o6m8Q4z5o6t1`.
3. 本文所说的DedeCMS跳转漏洞，如果有站长朋友使用这个程序欢迎到我们的网站体检中心（e21K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4y4U0j5h3&6$3i4K6u0W2j5$3!0E0i4@1g2r3i4@1u0o6i4K6R3&6i4@1f1#2i4K6S2q4i4@1u0n7i4@1f1^5i4@1u0r3i4K6W2n7i4@1f1^5i4@1p5I4i4K6S2o6i4@1f1@1i4@1t1^5i4K6R3H3i4@1f1$3i4@1q4o6i4@1p5I4i4@1f1#2i4@1q4q4i4K6R3&6i4@1f1#2i4K6R3#2i4@1p5^5i4@1f1@1i4@1u0p5i4K6V1K6i4@1f1$3i4@1p5K6i4K6R3H3i4@1g2r3i4@1u0o6i4K6S2o6c8r3g2V1k6f1y4y4f1#2!0q4y4W2)9&6z5q4!0m8c8W2!0q4y4W2)9^5z5q4)9&6x3g2!0q4y4q4!0n7b7W2!0m8b7#2!0q4y4g2)9&6b7W2!0m8x3W2!0q4z5g2)9&6z5q4)9&6c8W2!0q4z5q4!0m8y4#2)9^5x3g2!0q4z5q4!0n7c8W2)9^5y4#2!0q4y4g2)9^5c8W2!0n7x3W2!0q4y4q4!0n7z5q4)9^5b7g2!0q4y4W2!0n7b7#2)9^5c8W2!0q4y4W2!0n7y4q4)9&6c8g2!0q4y4W2)9&6b7#2)9^5x3q4!0q4y4g2!0m8y4q4)9&6b7g2!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4W2!0n7y4g2)9^5x3g2!0q4z5q4!0m8x3g2)9^5b7@1y4y4f1#2!0q4y4g2!0n7b7g2)9&6y4q4!0q4y4#2)9&6y4q4!0m8z5q4!0q4x3#2)9^5x3q4)9^5x3R3`.`. 更多朋友留言的问题，下篇再解答了，有些同学问的问题太泛，实在不好解答，谢谢支持。 ———-分割线———- 我们会持续性的进行安全科普，大家有什么问题可以在微信里给我们留言，我们会认真对待每份留言，并在下次发文时进行必要的解答。如果大家有什么安全八卦也欢迎投稿给我们，我们的微信：网站安全中心/wangzhan_anquan。 科普改变世界，我们一起努力让这个互联网更好更安全吧！

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课