Websec

近期，我们接到客户寻求帮助。客户在GitHub上下载了一个开源项目，并在本地环境编译其中的代码。然而，在运行该项目后不久，客户察觉到计算机出现后台进程异常运行。经过初步分析，我们确认该项目存在明显的恶意行为。攻击者伪装成红队开源开发者，在GitHub上发布了一个精心构造的恶意代码库。再进一步溯源时，我们发现该恶意行为并非个例，而是一起大规模的针对渗透测试人员的APT攻击活动，其中涉及到38个GitHub账户均存在恶意后门，且至少该攻击活动已持续一年之久。

何谓杀猪盘，指的是诈骗分子利用网络交友 ，获取受害人充分信任后，诱导受害人投资赌博的一种电信诈骗方式。“杀猪盘”是“从业者们”（诈骗团伙）自己起的名字，是指放长线“养猪”诈骗，养得越久，诈骗得越狠。金融投资、网络盘口等诈骗团伙自己研发的系统且可获取高额回报的投资产品为工具，自己有内部消息或者认识内部员工为借口，诱导被害人前期小额投资；，在社交平台 完成账号注册后需要对账号身份进行包装，常见身份标签：阳光帅气、高学历海龟、企业高管、军人世家、生活自律喜爱健身读书；

最终我们在config.php文件中发现是以白名单的方式来限制我们访问后台的，大致看了下管理员设置的白名单IP地址（香港、越南、菲律宾、法国），基本可以确定为代理，通过Web日志文件确定确实如此，所以这里我们只需要将我们本地/代理IP地址添加进去后即可访问后台。不过在测试中发现exec()、passthru()、system()、shell_exec()等命令执行函数被限制了，猜测应该是用宝塔搭建的，默认就禁止了这些常见危险函数，所以暂时没办法直接反弹shell。

1，竞价（搜索引擎），误导客户为真正官方钱包从而完成下载使用。📣1，实时监控刷新助记词地址的余额（所有币种价值相加）📣这是市面上较为普遍的推广获客方式，仅提供建议。3，线下推广，一手交易所料，短信或邮箱或电销。📣6，售后服务+包更新（非常稳定，不报风险）三，活动吸引，如存币反息，挖矿，注册送币等。📣2，谷歌验证码+操作日志（更安全的保护）📣3，助记词ID，地址搜索，备注功能搜索。📣8，单条鱼苗阈值预警，达到即持续警报。例如：一，火币清退引导使用钱包。📣7，金额排序，由高到低排序。📣4，代理模式，代理搜索。

波场靓号

还有现在盘子安全性也是越来越高，后台和域名不止没有关系，而且找到后大概率有IP白名单及其谷歌验证码，更难的是搭建环境基本都是在docker容器中，拿到权限也是docker容器的权限，要想搞到主机权限，还要学习研究docker逃逸等技术，种种限制都在提醒我们，不学习新东西新思路，慢慢的我们就会被淘汰。刚开始只是翻来覆去，没找到啥好东西，后来仔细一想，这么多后台地址，账户密码，你总要存在一个地方吧，然后查看了一下进程信息，发现3306端口是开的，但是我不知道数据库root账户的密码。现在万事俱备，只欠登录。

本篇主要整理互联网行业的黑灰产行业的各种产业链及推广模式。图：黑色产业链示意图。

我们注意到，这个假冒应用程序的签名信息非常简单，几乎是空的，并且所有者和发布者都被标记为“CN”。通过分析网络流量数据包，运行假冒的Skype应用程序后，修改后的okhttp3开始请求访问文件、相册等的权限。通过此分析，并通过关联钓鱼域名、后端接口路径以及日期和时间，我们将此案例与对 2022 年 11 月 8 日发布的假冒币安应用程序的分析联系起来，标题为“李逵还是李鬼？目前，通过向其他账户发送地址的方式测试假冒Skype时，发现不再发生地址替换，并且钓鱼接口的​​后端已被关闭，不再返回恶意地址。

由于它们的广泛使用以及它是一个安装和运行相对简单的系统这一事实，因此有如此多的人和公司采用它是有道理的。在某些情况下，电话欺骗是合法的，例如显示其免费回电号码的企业或医生使用他们的手机并显示其办公室号码。然后他们拨打服务提供商提供的号码，输入他们的密码，输入拨出电话号码，然后输入他们希望作为来电显示的号码。然后呼叫被桥接或转移，并显示在接收者的电话上，并带有呼叫者选择的欺骗号码。上接到与您的电话区号相同的电话，或者来自与您自己的电话号码仅相差几位数的号码的电话。最流行的欺骗方式之一是通过 VoIP。

1、基于实际案例和数据看2021年黑灰产变化和趋势1.1、黑灰产底层资源：租盗用真人资源正在逐渐成为主流1.2 作弊手段：真人作弊平台爆发增长，给恶意流量识别带来新挑战1.3 变现方式：变现转向真人账号，不再死磕账号及支付提现风控2、以营销活动为例，攻击的生命周期2.1、攻击生命周期的四个阶段及黑产行为和特征2.2、发育阶段：长期关注者试验攻击流程、工具2.3 传播阶段：圈子...

1、概念随着物联网发展和人工智能的应用技术的不断提高，犯罪分子攻破系统 并窃取数据的渠道更多样化。其中， IoT 设备和应用会存有大量的个人数据、 运营数据和企业数据，必须特别关注安全连接、设备强化、威胁监控和安全 状况管理，以及保护云中后端数据的安全。2、现状物联网（IoT）的快速发展催生出了多种联网设备。2020 年全球活跃的 物联网设备数量将达到 100 亿台，到 2025 年将达到 220 亿台。同时，物联网 设备也将进一步智能化，甚至具备自己的意识。万物互联的背后是所有联网 设备都可.

1、概念Web应用攻击是指扫描探测器、WebShell上传与通信、跨站点请求伪造 （CSRF）、 SOL注入攻击、跨站脚本攻击（XSS攻击）、钓鱼网站等所有网络上 存在的攻击合集，简称Web攻击。2、现状近年来，黑灰产对Web信息系统的攻击事件频发。不法分子利用Web系统 的安全漏洞，实施网站篡改、数据窃取、执行指令、安装木马、传播病毒等 破坏性行为，给企业安防造成了极大困难，威胁到企业自身的经济利益。就目前的Web攻击种类而言，扫描器探测占比最大，是网络黑灰产常用 的攻击手段，其次是We..

1、概念DDoS 攻击(Distributed Denial of Service，简称分布式拒绝服务攻击) 是指将多台计算机联合起来作为攻击平台，通过远程连接利用恶意程序，对 一个或多个目标发起通信请求，消耗目标服务器性能或网络带宽，从而造成 服务器无法正常地提供服务。一次完整的 DDoS 攻击体系由攻击者、主控端、 代理端和攻击目标四部分组成。2、现状以前，DDoS攻击的主要承受者主要是自行搭建服务器的运营商和诸如美国Dyn之类的网络基础设施提供者。近年来随着云计算的兴起，云服务商也 .

1、概念恶意注册是指不以正常使用为目的，违反国家规定和平台注册规则，利 用非法或虚假信息，批量注册平台账号的行为。恶意注册离不开 “卡商/号 商”和“接码/打码平台”这两个角色的帮助。2、现状目前我国网络账号按照实名制原则进行管理，但各种互联网产品存在强 实名制和弱实名制的差异。恶意注册由于使用的是非实名的手机号码或邮箱， 身份绑定环节也多使用的是虚假的或者非法获取的公民信息，完全规避了实 名制原则，造成账号的注册信息与实际使用人信息不对应。这样的行为不但 突破了互联网行业的安全策略、增加了安.

1、概念网络水军是指在网络中针对特定内容发布特定信息的、被雇佣的网络写 手。网络水军广泛活跃在电子商务网站、论坛、微博等社交网络平台，从事 着批量发帖和顶帖引流等工作。他们伪装成普通网民或消费者，通过发布、 回复和传播博文等手段对正常用户产生影响。2、现状网络水军已从单纯的大 V 引导和付费删帖，发展成为大 V 发文引导，批 量发帖控评，压制不同意见的全方位舆论控制方式。有组织的水军行为和大 规模的批量发帖不仅危害正常的网络内容秩序，而且这种编造虚假信息、诽 谤攻击、大量刷帖控评、黑公关、非法.

1、流量劫持概念流量是指用户访问网站、打开 APP、下载安装包等使用互联网的行为。 对互联网公司而言，用户的相关行为意味着使用量和关注度，公司能够转化 为商业价值。所谓流量劫持是指通过技术手段改变用户访问对象、访问路径 或者改变用户获取的数据的违法行为。流量劫持的具体形式可以分为终端劫持、链路劫持、服务端劫持。终端劫持指的是黑客通过攻击 DNS 服务器或者网民的 Wi-Fi 设备，使网 民对特定网站的访问请求被错误解析到其他地址或者使请求失去响应，其效 果就是对特定的网络不能反应或访问的是假网..

1、恶意点击概念恶意点击是通过伪造点击量、播放量、下载量等各种流量假象，谋取不 当利益的黑灰产。在数字化浪潮下，各行业都朝着线上发展，数字营销也成 为广告行业的热点和趋势。由于数字营销供应链的复杂化与不透明，在面临 KPI 压力及企图最大化变现的情况下，部分供应商会选择流量作弊，雇佣黑 灰产进行恶意点击已经成为常见手段。近年来，流量造假、恶意刷量等事件 层出不穷，不仅吞噬着企业的利润，也极大扰乱了互联网行业的秩序。以广 告刷量为代表的恶意点击行为，不仅严重破坏计算机系统的安全性，而且成 为企业不正当竞争

Qq引流之伪装红包系列注意:只能在安卓手机上使用，且需安装Qnotified辅助模块。安装太极框架使用手机百度【太极】，安装太极框架太极框架上添加qq应用下载Qnotified辅助模块百度网盘地址:链接：https://pan.baidu.com/s/18t47Axp-RwVQR871GDPatg提取码：lcs3太极框架上添加Qnotified辅助模块特别注意，添加完Qnotified模块之后，长按Qno...

涉及人员:勒索病毒作者、传播渠道商 、勒索者 、代理人勒索病毒处置流程