2023/05/12 18:30:54
随着全国各地公安机关加大力度打击互联网违法犯罪,各类涉网犯罪团伙开始出现了反侦察与技术对抗的情况。以基于网站或APP类的诈骗案件为例,此类网站搭建技术成本低、更新快、隐秘性高,整体呈流水线作业模式,并且会定期切换服务器、域名。网站存活周期极短导致在此类案件侦办中,对线索的关联追踪分析难度极大。
本文将以实际案例对分析线索延续工作进行展开讲解,适用于对已经下线的违法网站线索延续的场景。
案例:涉案网站下线、域名无法访问
任务:支持某监管单位完成拓线
通过受害人提供的线索,已获知一个涉嫌违法网站的域名,然而当从犯案域名诈骗到受害人报案提交的短期时间发现该违法网站突然下线了,域名也无法访问了,导致案件侦办分析流程停滞。
然而,这样的下线并不代表犯罪团伙已经收手,从过往的经验判断该网站可能已经转移到其他服务器上继续运营。我们也将通过FOFA根据涉嫌违法网站的域名进行拓线,并追踪到新的存活的违法网站。
1.什么是FOFA?
FOFA是一款网络空间测绘的搜索引擎,旨在帮助用户以搜索的方式查找公网上的互联网资产。https://fofa.info,网络空间测绘可以被认为是网络空间的“地图”。就像谷歌地图或高德地图通过卫星图像对地形进行测绘,网络空间测绘也是通过技术探针对全球网络资产进行探测。(https://mp.weixin.qq.com/s/F3SXMv9ui8PqUCy1siGFRg)
2、使用FOFA进行拓线的基本思路
1.起手式:查询资产提取特征
在正式进行拓线前,我们需要根据已经下线的网站https://www.xinshi*****.com,提取有效特征。网站已经下线,通过浏览器打开已经无法获得任何有效信息。
下面我们通过样本域名定位到FOFA中的历史资产,查询规则:host="www.xinshi*****.com"(host=的作用是从网站的Url中搜索)
打开查询到的网站,同样也已经不能访问。此时我们要进行跟踪分析,只要该团伙还在进行诈骗,那么就绝不会彻底销声匿迹!
-提取Icon(网站或APP图标)
违法网站通常会使用同一套模板开发,只会对部分字符做出修改,核心代码组件不会变动,因此Icon很有可能成为拓展目标资产范围的关键!
回到本次案例中:
当前网站使用了一个Icon,这时我们就可以把这个图标当做特征。
Icon提取技巧
1.如出现多个Icon时,可以把每一个Icon都点开查看一遍, 打开网站分析当前资产和目标网站的相似度。
2.查看资产数,如果资产数几万,几十万,大概率是通用组件Icon(非特殊唯一的Icon),那基本就可以排除掉这个Icon。
3.如报案类型为APP类型也可以提取APP图标作为查询特征(可以使用其他APP类调证程序设备提取Url或者Icon)
确认Icon后,通过这个特征查询资产。
通过分析资产的网站正文发现,网站相似度很高,由此得出这个特征正确。
-提取Title(网站或APP标题)
即便是违法网站也会想让用户更容易记住他们的网站,所会使用相同的Title,让用户更容易找到他们的网站,因此可以通过Title拓展目标资产的范围。
当前网站的Title是“新**”,这时我们就可以把这个“新**”当做特征。
提取思路:
1.看左侧的网站标题排名,排除掉无效标题,如:网站状态码(所有网站都有的属性)之类
(1)404 - Not Found(在浏览网页时,服务器无法正常提供信息)
(2)301 Moved Permanently(永久重定向,说明请求的资源已经不存在了)。
2.根据标题去搜索资产,打开网站分析当前资产和目标网站的相似度。
3.这里最好用”title”语法查询网站标题完全等于”==”,这里意思完全匹配,可以帮我们减少误报的资产。
完整语法: title==”xxxx”
确认Title后,通过这个特征查询资产。
这些网站相似度极高,由此得出这个特征是准确的。诈骗分子的“品牌商标”,现在是他们无处遁形的“马脚”。
-提取Body(网站正文)中的唯一字符
前文提到了不法网站的流水线作业,这种高效严重依赖相同的网站模板,可能只是修改了部分文字标题等内容,但是核心的框架代码还是同一套,因此它们的Body也会相同。同样因为使用了相似的HTML标签、关键字等,我们也可以通过HTML标签或关键字拓展目标资产的范围。
当前网站正文中有一个可能是关键字的参数。
例如:
“/uploadfile/room/20230327/1679895756_SzCPUg.png”(图片路径)
这时我们就可以把这个当做特征,核心思路就是找到非通用型字符作为查询特征。
提取思路:
1.像上面说的,相似Body的网站,可能用了同一个标签,或关键字,如:
(1)js文件路径(/assets/layui/layui.js)
(2)图片Url(/uploadfile/Lfi.jpg)
(3)自定义的关键字(欢迎来到“新**”)
2.根据Body去搜索资产,打开网站分析当前资产和目标网站的相似度。
3.查询的资产数,排除资产数过多的,大概率是一个通用字符,资产数少的,并且前几页资产都是和目标网站相似度较高的,那这个特征就是这个网站唯一条件。
通过分析资产的网站正文发现,都是比较相似的网站,由此得出这个特征是准确的。
2.根据特征规则进行拓线
根据上面说的特征提取方法提取如:Icon,Ip,Title,Cert,Body中的唯一字符等信息,作为拓线依据,可以灵活使用逻辑语句组合技巧:
前文已经提到我们的目标网站已经下线,域名无法访问。但是现在,我们已经拥有了Icon、Title、Body中的唯一字符三种不同的特征。
Icon:
想要使用Icon进行拓线,我们可以查询规则:
icon_hash="-645612690"(icon_hash=作用是搜索使用此Icon的资产)
在FOFA里面我们可以直接点击Icon进行搜索。
通过Icon我们查询到了400多条新的资产,依次打开网站查看,其中一些资产是和我们样本域名的网站相似度较低的,现在我们需要缩小资产范围以达到拓线准确资产的效果。
这里我使用了样本网站的Title进行再次拓线:
查询语句:icon_hash="-645612690" && title="新时代"
(icon_hash=&& title=的作用是搜索使用此Icon并且同时使用此Title的资产)
再次查询后我们得到了10条资产,我们现在可以根据网站正文的相似度来分析新的资产是不是和样本域名属于同一个站,这时我们发现有一个18.166.**.**的网站正文和样本域名的网站正文是一样的,说明它俩是同一个站,并且这个站是可以打开的。
根据这个拓现思路我们根据不能访问的网站查询到了它新的能够访问的网站。
-正文中的唯一字符
首先我对当前网站正文进行分析,发现了一个可能是唯一字符的线索:
/uploadfile/room/20230327/1679895756_SzCPUg.png(图片路径)
我们根据这个唯一字符进行拓线,看看能不能发现同类网站。
查询语句:body="/uploadfile/room/20230327/1679895756_SzCPUg.png"
(网站正文中搜索“/uploadfile/room/20230327/1679895756_SzCPUg.png”资产)
这次我们通过Body中的唯一条件查询到了10条资产,我们现在可以根据网站正文的相似度来分析新的资产是不是和样本域名属于同一个站,这时我们发现有一个18.166.**.**的网站正文和样本域名的网站正文是一样的,说明它俩是同一个站,并且这个站是可以打开的。
根据这个拓现思路我们根据不能访问的网站查询到了它新的能够访问的网站。
总结
涉案网站下线,不代表该团伙的违法行为已经终止,更不代表他们从此便可以销声匿迹。上述案例中,我们介绍了当一个网站下线时,还可以根据Icon(图标),Title(标题),Body(正文)等特征,利用FOFA平台拓线新的资产,并且可以通过组合使用不同特征缩小范围,让线索关联分析工作更加高效聚焦,最终拓线到存活的新站。希望本文能对您的后续工作有帮助!
如果您觉得这样的方式过于繁琐,我们也为您准备了我们的全新平台FO-OCTRA - 涉网打击系统。
FO-OCTRA (明索·涉网打击支撑系统)是一款全新的产品,以固化网络犯罪线索研判流程的最佳实践为目标,为执法人员提供常用技能栈工具,并配备持续化发现和监控涉网线索的功能,提高工作效率。
使用FO-OCTRA 体验自动化拓线资产
导入想要查寻资产的IP或域名
FO-OCTRA会根据内置的查询语法自动化提取线索进行拓线,将在FOFA查询到的资产导入至资产中心
资产导入后FO-OCTRA会自动提取资产的所有特征
并且会自动化关联资产来源的线索链
关于FO-OCTRA
在FO-OCTRA的技术栈中,我们还提供了网站真实IP探测、线索推送、调证线索查询、IP画像查询等工具。以固化网络犯罪线索研判流程的最佳实践为目标,FO-OCTRA希望为办案人员提供实用可靠的技能栈工具,成为配备持续化发现和监控涉网线索功能的效率工具。
