本文將揭露地下黑產中最常見的掃號產業鏈，包括從賬號收集、代理抓取、掃號、洗號、變現的完整過程。本次主要講述針對YY直播的掃號產業鏈。 本文將揭露地下黑產中最常見的掃號產業鏈，包括從賬號收集、代理抓取、掃號、洗號、變現的完整過程。本次主要講述針對YY直播的掃號產業鏈

0×00 偶然發現的掃號黑客 近日在蜜罐中發現了一個特別的騰訊雲的ip，這個ip通過我們蜜罐的匿名代理埠對幾個特定的ip頻繁發包，但是資料包內容看著並無異常，就是些常規tcp連結。 IT資源論壇：www.euei.com.cn 在這這個ip的80埠部著一個hfs，奇怪的是它這個hfs中存的不是木馬遠控樣本，也不是挖礦樣本，而是一堆ip和埠組合

1.png

2.png

這些勾起了我們的好奇心。正好他的hfs是有漏洞的版本，於是就有了下面漫長的文章

1、控制黑客機器 利用hfs的程式碼執行直接打下黑客的vps，直接去到管理員的桌面，第一眼看著機器似乎一切正常

3.png

開啟前面名字為“儲存資料xxx”的資料夾，呈現在面前是大量的已經分好型別的賬號和密碼檔案。

4.png

5.png

6.png

根據分類名，猜測這些應該都是YY直播的賬號密碼。

於是為了驗證這些賬戶的真實性，我們嘗試登陸了幾個賬號。成功率幾乎百分之百。

如下圖:

7.png

8.png

9.png

這些分類檔案裡面的賬號，都是能登陸的，而且有些賬號裡面的還剩餘有Y幣或者鑽等。粗略的計算了下，就在這一個資料夾中的賬密就有15000多條。然後在機器上發現了好幾款YY直播的掃號器。

10.png

11.png

用mimikatz抓取了管理員密碼，切換到他的桌面，掃號的程式正在瘋狂工作

12.png

13.png

嘗試執行其中的一款掃號工具，匯入他vps已經掃出來的賬號，發現全部等能登入， 這個掃號工具效率還是極其高的。

14.png

有意思的是，從資料包來看，這些掃號軟體並不是直接通過web的介面來進行掃號的，從他們的檔案命名來看他們的掃號都是通過YY直播客戶端的通訊協議來完成的，猜測這樣做的目的是增加掃號的速度，因為初步來看給予YY直播協議的登陸是直接通過tcp協議完成的。不用再走一層http。

15.png

在同目錄發現了config配置檔案，這個檔案配置的就是前面黑客的hfs地址，這就解開了之前的疑問，其實他hfs裡面的ip列表都是他收集的一些免費的匿名代理ip，用來批量匯入掃號軟體中軟體開始掃號。

2、意外收穫 在這位黑客的vps上面發現了“百度雲盤的軟體”，開啟他的百度雲軟體，他居然記住了密碼，我們也就順著這條路深挖了一下。

16.png

他的百度運賬號裡面存放著大量的外掛、賬號資料、以及一些掃號的原始碼。

在一個資料夾為400萬的資料夾中發現了存放著380多萬的YY賬號和密碼的檔案

17.png

初步懷疑這些賬號密碼是之前YY洩露過的一部分

這些賬密都是十分整齊的排列,隨機挑選其中的賬號也是有能夠登陸的,這些應該就是掃號的的基礎資料來源了。後來也證實了這的確是是之前yy洩漏的老資料（這部分後面會寫）

到此已經找到這個黑客的掃號的資料來源、掃號工具、掃號方式。但是，我們依然對他這380萬的賬號來源和他後續這些賬號怎麼變現非常感興趣，於是就有了後續一系列的操縱。

0×02 溯源+社工 1、輕鬆的溯源 為了瞭解他們整個產業鏈我決定加他的qq。加他之前對他進行了深入瞭解，前面說這個黑客確實大意了，在他的vps百度雲是記住密碼的，於是乎我們的溯源就容易多了。

18.png

看到炫酷的OPPO r7s 這個明顯是他的手機傳上來的，

19.png

這就是小黑客的樣子，還是個萌萌噠的小鮮肉，他是在山東濰坊某學校上學

20.png

最後在他的自己的定點陣圖發現了他讀的學校，濰坊某某學院

21.png

這個黑客可真大意，繼續翻他的相簿

22.png

發現了他的兩個qq號，分別是281********、3338*******

然後通過他的從百度雲賬號，我們能夠輔助的判斷他最常用的qq大號，就是這個2開頭的qq號

23.png

24.png

這位黑客自己還成立一個叫“涼心科技的”公司（然而經過查詢並沒有註冊在案），還在做免流的生意

25.png

順帶在他的qq空間暴露了他的年齡，還是個多愁善感的小夥。

在他使用校園上網軟體中麼也發現了他的姓名，

26.png

通過和他的vps的3389密碼對比，發現他vps的密碼的開頭就是姓名的縮寫

側面也印證這個叫張某濤的人就是那個掃號黑客

27.png

彙總後，資訊總結如下：

姓名：張*濤

年齡：18

常用QQ：281*******、333*******

學校：濰坊****學院

主要產業：掃號、免流、遊戲外掛

2、強行社工 掌握了這些資訊後，我覺得足以嚇唬到他了，於是以合作的名義加他。

我直接表明了我就是之前黑掉他伺服器的人，想找他合作搞YY直播賬號。

28.png

開始他還很有防備半信半疑，我然後抖了關於他的很多的個人資訊。

29.png

30.png

他立馬態度大變，還要拜師學習黑客技術，於是就在他面前強行吹了波逼，加強了他對我的信任。（他始終都沒反應過來他的人資訊我是從他百度雲扒下來的：） ）

0×02 基礎資料的來源 得到他的信任之後，我就和他交流了一些問題，首先，就是他那380萬的賬號的來源，果然就是之前洩露過的那一批之中的

31.png

0×03 洗號變現 從他這裡也瞭解到YY直播怎麼洗號變現的，他其實不是整個鏈條的最後一環節，他只是其中一環，他只把掃出來的賬號，賣給下家，自己就不管了。行情大概是100元1萬個普通的yy賬號

32.png

有YY幣的賬號另算。大概是按10：4賣給下家，下家就直接給主播刷禮物，然後主播從YY的官方把禮物按比列體現成錢，到此yy幣就變百花花銀子了。

33.png

而那些沒有錢的YY賬號，這些人就會用批量掛號軟體，批量進入主播瀕道，為主播增加觀看人數從而達到刷人氣的目的。（有些主播可能是洗號的人自己開的，也可能是和一些主播合作然後分成）

通過這位黑客介紹，找到了洗號的下家，有序是熟人介紹，這個人對我很是信任，從他那裡也證實了這位黑客之前說的，我說我有大量的YY賬號找他合作。

34.png

他直接仍給我一個批量刷禮物的軟體，說是測試版本，證明他的實力。

35.png

36.png

從這個軟體資料包來看，當要查詢幣數量和批量送禮物的時候就需要走http協議了。

至此整個產業鏈，也就完整的呈現出來了

37.jpg

0X04 彩蛋：螳螂捕蟬黃雀在後 有趣的是，當我們在追蹤前面個黑客的時候，他還被別的人盯上了。在他的vps的回收站目錄下發現了下面的東西

38.png

很明顯的是個指令碼是從遠端伺服器下載一個bj.exe可執行程式，執行。這個bj.exe證實的確是個遠控。

0×05 總結 1、人在做天在看，幹壞事總會留下痕跡的，當然這肯定只是掃號產業中很小的一部分。

2、掃號這種產業一直都是伴隨著整個網際網路的，針對這些掃號的黑客，甲方的風控壓力確實不小，要和這些黑產對抗，甲方的要走的路還很長

3、順帶說一句現在各大的雲端計算平臺真的是成了各種黑客的保護地，上面什麼樣的黑產都有，也許要打擊這些黑產，這些雲平臺也許應該負點責任了