新型网络犯罪攻防技术研究教学文档

前言

本教学文档旨在深入探讨针对新型网络犯罪（特别是博彩诈骗类站点）的渗透测试技术和方法。与传统渗透测试不同，此类渗透的核心目标在于获取关键数据而非单纯发现安全隐患。关键数据包括：代理身份、后台管理员身份、受害人信息、后台数据和消费凭证等。

攻击初识

目标站点特征分析

客服系统分析：
- 常见使用美洽客服系统
- 客服与财务通常为同一团队
- 客服机常存有大量受害人及下级代理信息
- 突破方式：钓鱼攻击（人是最薄弱环节）
移动端APP分析：
- 优先反编译审计目标APP
- 重点关注敏感信息：URL、AK/SK、数据库凭证等
- 推荐工具：ApkAnalyser
- 关键词搜索：Password、id、accessKeyId、Username、accessKeySecret、mysql、redis等
OSS对象存储：
- 常被用于存储受害人信息
- 获取AK/SK后可控制云服务
- 阿里云API命令执行参考：https://api.aliyun.com/#/?product=Ecs&version=2014-05-26&api=RunCommand&tab=DEMO&lang=JAVA

渗透案例研究

攻击流程

主站渗透受阻 → 转向客服系统
发现自研聊天工具 → 利用Apache Shiro漏洞获取权限
扩大攻击面：
- 根据页面Title特征提取52条结果
- 验证存活并渗透，拿下20+台主机
内网渗透：
- 发现多台root权限服务器
- 内网扫描发现mysql、redis、oracle等服务
- 发现JumpServer堡垒机（尝试利用已知RCE漏洞未果）
数据库渗透：
- 通过配置文件获取数据库凭证
- 密码复用攻击内网redis/mysql服务
- 使用冰蝎管理webshell和数据库
- 端口转发工具：Neo-Regeorg、NPS
发现运维机：
- Windows Server主机
- 通过certutil下载webshell获取权限
- 提取SecureCRT管理密码获取主站权限

关键点总结

信息收集的全面性决定渗透成功率
密码复用是内网横向移动的有效手段
运维机往往是关键突破口
攻击路径需要根据实际情况灵活调整

目标关联技术

使用Kunyu（坤舆）进行资产关联

关联特征：
- 证书序列号
- favicon图标hash码
- 前端代码段
- 服务连接banner
关联方法：
- 单因素匹配（如特定URL路径）
- 多因素组合匹配（提高精准度）
- 结果自动保存为Excel格式
应用场景：
- 快速关联同一团伙的多个站点
- 分析服务器分布和特征
- 为封禁处理提供依据

伪造网站案例

通过修改的国徽favicon图标关联93个伪造政府网站
分析服务器分布和更新时间线
推断存在国内软件开发公司提供支持

高级指纹技术

水坑攻击中的指纹采集

传统XSS采集的局限：
- IP地址和设备信息杂乱不稳定
- 无法准确追踪同一设备在不同地点的使用
高级指纹技术：
- 采集要素：WebGL 3D图像、Canvas图像、GPU渲染、基础硬件信息
- 要求：差异化、不可篡改、设备稳定性
- 跨浏览器设备指纹唯一性
实战价值：
- 准确统计嫌疑人设备数量
- 追踪设备移动轨迹（即使不使用公共交通）
- 解决传统追踪方法的局限性

反诈工作思考

当前犯罪团伙特点

技术部署：
- 开始采用前后端分离架构
- 主要目的为快速转移业务而非安全防护
- 服务器多位于境外（香港、东南亚）
人员特点：
- 活动于缅甸、柬埔寨、马来西亚、菲律宾等地
- 使用国内人员开发的软件系统
- 密码习惯：常用名字拼音+生日
取证难点：
- 服务器时效性低，快速更换
- 使用境外服务器增加取证难度
- 人员反侦察意识逐步提升

渗透注意事项

APP渗透安全：
- 必须使用模拟器或专用手机
- 防止APP收集通讯录等敏感信息
- 注意权限控制
密码收集：
- 全面收集所有相关密码
- 分析密码规律可能关联到个人身份
- 提交有价值线索协助溯源

总结与建议

技术总结：
- 信息收集是渗透成功的基础
- 关联分析能力决定研判效率
- 高级指纹技术提升追踪准确性
防御建议：
- 加强人员安全意识培训
- 实施多因素认证
- 定期审计和更新系统
研究方向：
- 自动化资产关联技术
- 高级指纹技术的实战应用
- 黑产团伙行为模式分析

工具与资源

推荐工具：
- ApkAnalyser：APP敏感信息提取
- Kunyu（坤舆）：资产收集与关联
- Neo-Regeorg/NPS：端口转发
- 冰蝎：webshell管理
参考资源：
- 阿里云API文档
- 常见漏洞利用库
- 黑产团伙特征库

法律与道德声明

本文所述技术仅用于合法安全研究和防御目的。未经授权的渗透测试行为可能违反法律，使用者应确保获得适当授权并遵守相关法律法规。

新型网络犯罪攻防技术研究教学文档前言本教学文档旨在深入探讨针对新型网络犯罪（特别是博彩诈骗类站点）的渗透测试技术和方法。与传统渗透测试不同，此类渗透的核心目标在于获取关键数据而非单纯发现安全隐患。关键数据包括：代理身份、后台管理员身份、受害人信息、后台数据和消费凭证等。攻击初识目标站点特征分析客服系统分析：常见使用美洽客服系统客服与财务通常为同一团队客服机常存有大量受害人及下级代理信息突破方式：钓鱼攻击（人是最薄弱环节）移动端APP分析：优先反编译审计目标APP 重点关注敏感信息：URL、AK/SK、数据库凭证等推荐工具：ApkAnalyser 关键词搜索：Password、id、accessKeyId、Username、accessKeySecret、mysql、redis等 OSS对象存储：常被用于存储受害人信息获取AK/SK后可控制云服务阿里云API命令执行参考：https://api.aliyun.com/#/?product=Ecs&version=2014-05-26&api=RunCommand&tab=DEMO&lang=JAVA 渗透案例研究攻击流程主站渗透受阻 → 转向客服系统发现自研聊天工具 → 利用Apache Shiro漏洞获取权限扩大攻击面：根据页面Title特征提取52条结果验证存活并渗透，拿下20+台主机内网渗透：发现多台root权限服务器内网扫描发现mysql、redis、oracle等服务发现JumpServer堡垒机（尝试利用已知RCE漏洞未果）数据库渗透：通过配置文件获取数据库凭证密码复用攻击内网redis/mysql服务使用冰蝎管理webshell和数据库端口转发工具：Neo-Regeorg、NPS 发现运维机： Windows Server主机通过certutil下载webshell获取权限提取SecureCRT管理密码获取主站权限关键点总结信息收集的全面性决定渗透成功率密码复用是内网横向移动的有效手段运维机往往是关键突破口攻击路径需要根据实际情况灵活调整目标关联技术使用Kunyu（坤舆）进行资产关联关联特征：证书序列号 favicon图标hash码前端代码段服务连接banner 关联方法：单因素匹配（如特定URL路径）多因素组合匹配（提高精准度）结果自动保存为Excel格式应用场景：快速关联同一团伙的多个站点分析服务器分布和特征为封禁处理提供依据伪造网站案例通过修改的国徽favicon图标关联93个伪造政府网站分析服务器分布和更新时间线推断存在国内软件开发公司提供支持高级指纹技术水坑攻击中的指纹采集传统XSS采集的局限： IP地址和设备信息杂乱不稳定无法准确追踪同一设备在不同地点的使用高级指纹技术：采集要素：WebGL 3D图像、Canvas图像、GPU渲染、基础硬件信息要求：差异化、不可篡改、设备稳定性跨浏览器设备指纹唯一性实战价值：准确统计嫌疑人设备数量追踪设备移动轨迹（即使不使用公共交通）解决传统追踪方法的局限性反诈工作思考当前犯罪团伙特点技术部署：开始采用前后端分离架构主要目的为快速转移业务而非安全防护服务器多位于境外（香港、东南亚）人员特点：活动于缅甸、柬埔寨、马来西亚、菲律宾等地使用国内人员开发的软件系统密码习惯：常用名字拼音+生日取证难点：服务器时效性低，快速更换使用境外服务器增加取证难度人员反侦察意识逐步提升渗透注意事项 APP渗透安全：必须使用模拟器或专用手机防止APP收集通讯录等敏感信息注意权限控制密码收集：全面收集所有相关密码分析密码规律可能关联到个人身份提交有价值线索协助溯源总结与建议技术总结：信息收集是渗透成功的基础关联分析能力决定研判效率高级指纹技术提升追踪准确性防御建议：加强人员安全意识培训实施多因素认证定期审计和更新系统研究方向：自动化资产关联技术高级指纹技术的实战应用黑产团伙行为模式分析工具与资源推荐工具： ApkAnalyser：APP敏感信息提取 Kunyu（坤舆）：资产收集与关联 Neo-Regeorg/NPS：端口转发冰蝎：webshell管理参考资源：阿里云API文档常见漏洞利用库黑产团伙特征库法律与道德声明本文所述技术仅用于合法安全研究和防御目的。未经授权的渗透测试行为可能违反法律，使用者应确保获得适当授权并遵守相关法律法规。