iT邦幫忙

15

乳房大軍的鑑識與情資蒐索

#我是玩情資安全的新手
#各位大神鞭小力一點
#也歡迎指教~
#有閒時間再來挖的更深

IG不知道從什麼時候出現了一堆乳房大軍拔山倒樹而來
通常都是出現在一些粉專下方的留言
而且留言速度之快
但那些乳房大軍真的只是要鬧粉專嗎
還是有其他意圖呢

乳房大軍示意圖

https://ithelp.ithome.com.tw/upload/images/20210803/20138806a6rwNqUI9y.png


話不多說
調查開始

先透過沙箱(virustotal、riskIQ)來針對url做情資分析

https://ithelp.ithome.com.tw/upload/images/20210803/20138806QvPTHIJiyM.png

https://ithelp.ithome.com.tw/upload/images/20210803/20138806pUfMm0ZdIY.png

好像沒有什麼特別的東西
但發現他的subdomain有3K,判斷可能是dynamic domain(動態網域)
dynamic domain的特點就是DNS跟WHOIS沒有太大的關聯
於是再針對WHOIS做查找

WHOIS information

https://ithelp.ithome.com.tw/upload/images/20210803/201388068t0v0lUpjt.png

WHOIS一個出來,好像也沒有什麼奇怪的地方
這就開始有點好奇,那個網站到底是什麼
不多說了
https://ithelp.ithome.com.tw/upload/images/20210803/201388065ASjAOzImp.jpg

因為怕連結還是帶有病毒,所以打算用虛擬機來開

用virtual machine開連結

哭啊!什麼鬼啊......
搞了老半天結果是堂堂正正的色情網站......
https://ithelp.ithome.com.tw/upload/images/20210803/20138806MsXWKxQDhS.jpg

不過為了研(單)究(純)用(好)途(奇)
我繼續往下開裡面的連結(箭頭旁那個)
https://ithelp.ithome.com.tw/upload/images/20210803/201388064EwWtOSdcM.png

出現了J個

https://ithelp.ithome.com.tw/upload/images/20210803/20138806FjOvfN7pP8.png

仔細一看上面的URL就是剛才virustotal裡面的link
https://ithelp.ithome.com.tw/upload/images/20210803/20138806GLpkBrnpWK.png

再繼續挖

啊ㄏㄚˋ 終於又來到了另一個Domain下了
https://ithelp.ithome.com.tw/upload/images/20210803/2013880613r8DMo5T1.png

把這串url再放到沙箱看看囉

virustotal

(1)

https://ithelp.ithome.com.tw/upload/images/20210803/20138806ZApFLMD8v8.png

(2)

https://ithelp.ithome.com.tw/upload/images/20210803/20138806XMtAKfGuZp.png

好吧QQ 看來我誤會你了
我以為你是釣魚網站
結果你真的是一個堂堂正正的色情網站

conclusion

雖然目前看來乳房大軍沒有什麼惡意,只是想叫你註冊他的網站,再用你色色的、變態的、壞壞的想法來賺一波
但之前也是有案例,這種網站還是有web安全性的問題
即使web的server端很乖
但駭客還是壞壞的想偷走你的個資喔!!~~


2
phantom_0
iT邦新手 5 級 ‧ 2021-08-04 14:56:22

有趣

jonafk55 iT邦新手 5 級 ‧ 2021-08-07 12:32:20 檢舉

謝謝支持~~

男人的浪漫就是要有乳房

2
EN
iT邦研究生 4 級 ‧ 2021-08-07 12:08:47

笑死,邊笑邊看 XDDD

jonafk55 iT邦新手 5 級 ‧ 2021-08-07 12:33:08 檢舉

感謝~哈哈哈~~

cj044 iT邦新手 5 級 ‧ 2021-08-08 18:34:11 檢舉

真的好好笑喔~XD

笑死,超認真研究 XDDD

我要留言

立即登入留言