首頁

2014年8月10日 星期日

** Rogue rogue, sucks it, pretend Kuni God Choi Hong website creed, as well as people's QQ website, Jiong 'too cold too poor to it ~ ~! - Is' Anonymous'' Mr. put it 'ugly skills effortlessly, shrewd layers expose ~ ~ ~ * Title: together for the domestic enterprises OA system,, orchestrated massive phishing attacks * - article entry: * Anonymous *,, editor: admin * - - update: 2014-7-16-- **無賴流氓,太遜吧,假装香港六合神彩網站信條,還有國人的QQ網站,冏'',太寒太窮麼??!-也是''佚名''先生把它''的醜技不費吹灰之力,精明的層層揭破~~~*標題:一起针对国内企业OA系统,,精心策划的大规模钓鱼攻击事件*--文章录入:*佚名*,,责任编 辑:admin*---更新时间: 2014-7-16 -- ** 로그 불량 Jiong '그것은 너무 차가운 너무 가난 ~ ~, 그것은 짜증, 쿠니 하나님 최 홍콩 웹 사이트 신조 척뿐만 아니라 사람들의 QQ 웹 사이트! * 익명 *,, 편집기 : 관리자 - 문서 항목 국내 기업 OA 시스템 함께,, 조율 된 대규모 피싱 공격 * : -가 '익명'씨는 '못생긴 기술을 쉽게, 날카로운 층 ~ ~ ~ * 제목을 노출 넣어 * - - 업데이트 : 2014-7-16-- ** Voyous Rogue, suce, semblant Kuni Dieu Choi Hong site croyance, ainsi que QQ le site Web de gens, trop froid trop pauvres pour elle ~ ~ Jiong! - Est 'Anonymous' 'M. le mettre «compétences laides effort, couches astucieux exposer ~ ~ ~ * Titre: ensemble pour le système d'OA entreprises nationales,, orchestré des attaques massives de phishing * - article entrée: * Anonyme *,, éditeur: admin * - - mise à jour: 2014-7-16-- ** Розбійник Розбійник, смокче його, робити вигляд, Куні Бога Чой Хонг сайта кредо, а також QQ сайт народний, Jiong 'занадто холодно занадто бідні, щоб його ~ ~! - Чи є "Анонімні '' Г-н покласти це потворні навички легко, проникливі шари піддавайте ~ ~ ~ * назва: разом для вітчизняних підприємств О.А. системи,, оркеструвати масованих атак фішингу * - стаття запис: * Анонімний *,, редактора: Admin * - - оновлення: 2014-7-16-- **ローグローグjiongが'それへの寒すぎるあまりにも貧弱な〜〜、それを吸う、クニ神チェ·ホンウェブサイト信条をふりだけでなく、人のQQのウェブサイト、! *匿名*,,エディタ:管理者 - 記事エントリ国内企業OAシステムのため一緒に,,画策大規模なフィッシング攻撃*: - は '匿名'氏は、それは醜いスキルが楽に、抜け目のない層が〜〜〜*タイトルを公開置く - * - アップデート:2014-7-16-- ** Rogue Rogue, e de rahat ea, pretinde Kuni Dumnezeu Choi Hong site-credință, precum și site-ul QQ oamenilor, Jiong "prea rece prea săraci ca să-l ~ ~! - Este 'Anonymous' domnul a pus-o "abilități urâte efort, straturi perspicace expune ~ ~ ~ * Titlu: împreună pentru întreprinderile autohtone sistemul de agricultura ecologica,, orchestrat atacurile masive de tip phishing * - intrare articol: * Anonymous *,, editor: admin * - - actualizare: 2014-7-16-- ** Rogue fripono, sucks ĝin, ŝajnigi Kuni Dio Choi Hong retejo kredo, tiel kiel popola QQ retejo, Jiong 'tro malvarma tro malriĉa por gxi ~ ~! - Ĉu 'Anonymous' 'sinjoro metis' malbela lertecojn senpene, sagaca manteloj elmontri ~ ~ ~ * Titolo: kune por la hejma entreprenoj OA sistemo,, instrumentado amasa phishing atakoj * - artikolo entry: Anonima *,, redaktanton interfacon * - - ĝisdatigo: 2014-7-16-- **USA/UK/TW/MACAU(FDZ)/KOREN/FR/UKN/JP/ROMA/.....International lauguage**

*** Rogue rogue, sucks it, pretend Kuni God Choi Hong website creed, as well as people's QQ website, Jiong 'too cold too poor to it ~ ~! - Is' Anonymous'' Mr. put it 'ugly skills effortlessly, shrewd layers expose ~ ~ ~ * Title: together for the domestic enterprises OA system,, orchestrated massive phishing attacks * - article entry: * Anonymous *,, editor: admin * - - update: 2014-7-16--

**無賴流氓,太遜吧,假装香港六合神彩網站信條,還有國人的QQ網站,冏'',太寒太窮麼??!-也是''佚名''先生把它''的醜技不費吹灰之力,精明的層層揭破~~~*標題:一起针对国内企业OA系统,,精心策划的大规模钓鱼攻击事件*--文章录入:*佚名*,,责任编
辑:admin*---更新时间: 2014-7-16 --
** 로그 불량 Jiong '그것은 너무 차가운 너무 가난 ~ ~, 그것은 짜증, 쿠니 하나님 최 홍콩 웹 사이트 신조 척뿐만 아니라 사람들의 QQ 웹 사이트! * 익명 *,, 편집기 : 관리자 - 문서 항목 국내 기업 OA 시스템 함께,, 조율 된 대규모 피싱 공격 * : -가 '익명'씨는 '못생긴 기술을 쉽게, 날카로운 층 ~ ~ ~ * 제목을 노출 넣어 * - - 업데이트 : 2014-7-16--
** Voyous Rogue, suce, semblant Kuni Dieu Choi Hong site croyance, ainsi que QQ le site Web de gens, trop froid trop pauvres pour elle ~ ~ Jiong! - Est 'Anonymous' 'M. le mettre «compétences laides effort, couches astucieux exposer ~ ~ ~ * Titre: ensemble pour le système d'OA entreprises nationales,, orchestré des attaques massives de phishing * - article entrée: * Anonyme *,, éditeur: admin * - - mise à jour: 2014-7-16--
** Розбійник Розбійник, смокче його, робити вигляд, Куні Бога Чой Хонг сайта кредо, а також QQ сайт народний, Jiong 'занадто холодно занадто бідні, щоб його ~ ~! - Чи є "Анонімні '' Г-н покласти це потворні навички легко, проникливі шари піддавайте ~ ~ ~ * назва: разом для вітчизняних підприємств О.А. системи,, оркеструвати масованих атак фішингу * - стаття запис: * Анонімний *,, редактора: Admin * - - оновлення: 2014-7-16--
**ローグローグjiongが'それへの寒すぎるあまりにも貧弱な〜〜、それを吸う、クニ神チェ·ホンウェブサイト信条をふりだけでなく、人のQQのウェブサイト、! *匿名*,,エディタ:管理者 - 記事エントリ国内企業OAシステムのため一緒に,,画策大規模なフィッシング攻撃*: - は '匿名'氏は、それは醜いスキルが楽に、抜け目のない層が〜〜〜*タイトルを公開置く - * - アップデート:2014-7-16--
** Rogue Rogue, e de rahat ea, pretinde Kuni Dumnezeu Choi Hong site-credință, precum și site-ul QQ oamenilor, Jiong "prea rece prea săraci ca să-l ~ ~! - Este 'Anonymous' domnul a pus-o "abilități urâte efort, straturi perspicace expune ~ ~ ~ * Titlu: împreună pentru întreprinderile autohtone sistemul de agricultura ecologica,, orchestrat atacurile masive de tip phishing * - intrare articol: * Anonymous *,, editor: admin * - - actualizare: 2014-7-16--
** Rogue fripono, sucks ĝin, ŝajnigi Kuni Dio Choi Hong retejo kredo, tiel kiel popola QQ retejo, Jiong 'tro malvarma tro malriĉa por gxi ~ ~! - Ĉu 'Anonymous' 'sinjoro metis' malbela lertecojn senpene, sagaca manteloj elmontri ~ ~ ~ * Titolo: kune por la hejma entreprenoj OA sistemo,, instrumentado amasa phishing atakoj * - artikolo entry: Anonima *,, redaktanton interfacon * - - ĝisdatigo: 2014-7-16--
**USA/UK/TW/MACAU(FDZ)/KOREN/FR/UKN/JP/ROMA/.....International lauguage**


*

**--Please use Google with a large family of God translator to translate your country / language city Oh ^ ^
--請各位用家善用谷歌大神的翻譯器,來翻譯你們的國家/城市的語言喔^^
--Por favor, use o Google com uma grande familia de Deus tradutor para traduzir sua cidade pais / idioma Oh ^ ^
--** - 국가 / 언어 번역하는 하나님 번역기 가족과 함께 구글을 사용하십시오 ^ ^
--S'il vous plait utilisez Google avec une grande famille de Dieu traducteur pour traduire votre ville de pays / langue Oh ^ ^
--Bitte verwenden Sie Google mit einer grosen Familie Gottes Ubersetzer zu Ihrem Land / Sprache ubersetzen Stadt Oh ^ ^
--*** - あなたの国/言語の街を翻訳する神トランスレータの大きなファミリーでGoogleを使用してくださいああ^ ^
** - Sila gunakan Google dengan keluarga besar penterjemah Tuhan untuk menterjemahkan bandar negara / bahasa anda Oh ^ ^
--** - Utilice Google con una gran familia de Dios traductor para traducir tu ciudad país / idioma Oh ^ ^
** - Si prega di utilizzare Google con una grande famiglia di Dio traduttore per tradurre la tua città paese / lingua Oh ^ ^
--Sila gunakan Google dengan keluarga besar penterjemah Tuhan untuk menterjemahkan bandar negara / bahasa anda Oh ^ ^
--Bonvole uzu Google kun granda familio de Dio tradukisto traduki via lando / lingvo urbon Ho ^ ^
 

 http://www.ourlove520.com/Article/netsafe/Website/201407/287153.html

Large-scale phishing attacks against domestic enterprises OA system together orchestrated


Article entry: Anonymous Editor: admin Updated: 2014-7-16

 0x00 Foreword

The following written on June 26, 2014 morning, due to the time and energy relations, then wrote a half only, aside half a month, and later found exactly the same behavior of large-scale fishing in the dark clouds of a post (see bottom of post content ).
Under the clouds mad, it is strongly recommended that long-short and other friends, will sort out this article, as over half a month, some of the details, logic has gradually blurred, confused, after finishing a period of time (you can see the text interspersed There are different times of reviews), were a perfect ending.
This is a well-planned, large-scale, for domestic enterprises OA system volume phishing attacks!
Also, this is for domestic enterprises mailbox, OA system as an early warning of large-scale phishing attack!
See specific warning after zero-day Xian Network Technology Co., company network security expert nuclear attack (nuclear total) Joint clouds vulnerability report published early warning content platform.
Event Analysis:
1, anglers collected in advance on the internet a lot of companies, webmasters, government websites personnel mail address. 2, anglers prior existence of the Internet to scan a large number of weak passwords corporate mailbox, extensive fishing mailing (can not enter the trash). 3, E-mail phishers use these email addresses collected to carry out a large number of phishing e-mail blasts, basically the same content. 4, anglers registered several domain names, dedicated as fishing receivers. 5, this was for the domestic enterprises OA system of large-scale phishing attacks orchestrated. (APT attack?) 6, it is not clear what purpose anglers. (Caesar big net to catch fish in the rhythm?)
From the above analysis, Xi'an Zero Day Network Technology Co., company network security expert nuclear attack (nuclear total).
0x01 windfall

Nuclear morning received a phishing e-mail total actually able to receive a lot of phishing e-mail every day, get bored, but this message is more interesting, simply follow the nuclear overall analysis it ~
Let's look at the contents of phishing e-mail:
enter image description here
Mail explicit content:
About EMIS mail notification service upgrades
1 According to the relevant users and staff to reflect: mailbox capacity is not enough for everyday use, the mailbox login using presence Caton phenomenon! 2.-mail system to ensure the stable operation and proper use, now need to be upgraded on the part of the mailbox test ! 3 employees received this message, please send your personal information to OA-mail system maintenance-mail: admin@seveice.cn.com admin@seveice.cn.com
Format is as follows:
Name:
Position:
Number of employees:
Login Address:
E-mail account:
E-mail Password:
Original password:
Phone and cornet:
Note: This upgrade is detected for a period of 7-15 days, for the inconvenience brought you a place, please understand. To ensure a smooth upgrade before the end of the notification is received, please do not modify the account password, thanks!

Privacy Statement: This email and any attachments sent only to specific recipients. They may contain A company's internal information, confidential information, proprietary information or other information subject to legal protection. Without permission, no person shall be transmitted, distributed or copied. This declaration as confidential business requirements A logo. If you mistakenly received this message, please delete it immediately or send e-mail to contact person.
CONFIDENTIALITY NOTICE: This e-mail and any attachments are intended for the addressee and may contain information belonging to *** | \ * | which is privileged, confidential, proprietary, or otherwise protected by law Without permission, any dissemination, distribution,. or copying is prohibited This notice serves as marking as CONFIDENTIAL information of *** |. \ * |. If you have received this communication in error, please delete immediately or contact the original sender.
Seriousness of what the content looks pretty fishing information collected quite full of it, in parentheses laugh ~
0x02 unraveling

To facilitate understanding, we analyze down sequentially from the right (note the contents of the red box).
1, service @ 2014-6-26.net, is a date named, forged domain name does not exist. 2, ** 354 @ \ ** | \ ** | .com, Baidu a little domain, is: \ *** | \ *** |
enter image description here
A visual Guaren and the wood has any business relationship, visual anglers look Guaren screen name is a nuclear attack, they broke A corporate mail enhancements authenticity (also possible just to use a normal name, so the message does not go into the trash? ) (2014-7-14 18:10:08 added: prove this conjecture is correct) (A company does not rule out the domain name has been under analysis to see behind ~)!
Continue to see ~
3, admin @ seveice.cn.com, looks pretty formal name what, huh, first collected and later analyzed parentheses laugh ~
4, the contents of the red box: "...... This upgrade is detected for a period of 7-15 days ...... before the end of the notification is received, please do not modify the account password, thanks!", Please do not modify the account password? Just Oh ~ You're working late infiltration, action is also slow it, actually need 7-15 days, at most twelve days Guaren get away ~
5, the contents of the bottom of the red box "...... they may contain A company's internal information, secret information ......" should be the mail system or footer template comes with additional content, regularization sent.
Let's look at the message text (raw data):
Received: from Web . senseEmailSecurity.com (Unknown [219 ... 227]) by bizmx6 QQ .com (NewMx) with SMTP ID for root@lcx.cc ; Thu, 26 Jun 2014 07:40:26 +0800 X QQ-SSF: 005000000000000000K000010420600 X-QQ-mid: bizmx6t1403739626t7xszqhfx X-QQ-CSender: 354 @ *** | \ * | .com X QQ -FEAT: h0yizCkM5mMZ / tU / FDOZge7cwU1MZMYVkeLy / yM35Sk = Received: from GH-ML 05.snpdri.com (Unknown [172.17.1.9]) by Web Sense Email Security Gateway with ESMTPS ID D2940D569E7 for root@lcx.cc ; Thu, 26 Jun 2014 07:40:24 +0800 (CST) Sender: <354 @ *** | \ * | .com> Message-ID: <887BFDC27B5F3D02FFFD3DFAF7A4B300 @ jyiia> From: service@2014-6-26.net To: root@lcx.cc Subject: = UTF-8 B 5YWz5LqOT0HnmbvpmYbljYfnuqfnmoTpgJrnn6U =???? = Date: Thu, 26 Jun 2014 07:40:08 +0800 MIME-Version: 1.0 Content-Type: multipart / alternative; boundary = "--- | - = _ NextPart_000_0957_01B53497.13B65610" X-Priority: 3 X-MSMail- priority: Normal X-Mailer: Microsoft Outlook E XP ress 6.00.2900.5512 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5512 X-Originating-IP: [113.111.200.115]
--- | --- | = _NextPart_000_0957_01B53497.13B65610 Content-Type: text / plain; charset = "utf-8" Content-Transfer-Encoding: base64
5YWz5LqORU1JU + mCruS7tuacjeWKoeWNh + e6p + eahOmAmuefpQ0KDQoxLuagueaNruebuOWFs + eU ...... ...... ...... dD4NCjwvYm9keT4NCjwvaHRtbD4NCg ==
--- | --- | = _NextPart_000_0957_01B53497.13B65610--
From the mail header text can extract a lot of valuable information, such as e-mail sender's IP address:
219. ***. ***. 227 Beijing China Telecom
After IP Lookup, confirm that the IP address for "A business' mail server 's IP address:. mx *** | \ * | .com (219 ... 227), the IP address can now Ping Tong ~
(Tip: A business domain name, www *** | \ * | .com (219 ... 225), as well as video conferencing server: 219 ... 232, and mail servers are in a c section.)
In other words, bears children paper using A corporate mail server to send, So, the server will log on and send logs, So ~ door burst chrysanthemum arrest people ~ you know ~
Preliminary ventured 0x03

Looked at the official website, found a little A corporate network basic framework:
<a href='http://219.***.***.232/' class='bt_link' title='视频会议' target=_blank> </a> <a href = 'http: // www ****** com:.. 8001 / 'class =' ​​bt_link 'title =' Jobs 'target = _blank> </a> <a href =' https: //mail.****** .com / 'class =' ​​bt_link 'title =' Mail 'target = _blank> </a> <a href =' https: //vpn.******.com/ 'class =' ​​bt_link 'title = 'mobile office' target = _blank> </a> 219. ***. ***. 225 (www. ******. com), the official website of 219. ***. ***. 226 ( mail. ******. com), E-mail 219. ***. ***. 227 (mx. ******. com), mail server 219. ***. *** 230 (vpn. ******. com), mobile office 219. ***. ***. 232 (219. ***. ***. 232), video conferencing
E-mail domain name can be seen landing, So, if you use paper bear children Account "**354@******.com" landing-mail will be?
So always been in front of the A nuclear enterprise network basic framework Mopai smoothly into A landing page E-mail (mail *** | \ * | .com.):
enter image description here
And hair pieces before using the account (** 354 @ \ *** | \ *** | .co) and password (123456) (2014-7-14 18:12:59 added: now the password has been modified!) successful landing!
(Aside: login password is the core of the total shot in the dark, broke character, is not it ~)
(2014-7-14 19:10:14 add: Later this also proves a point: the gang may scan the Internet in large-scale enterprise email weak passwords, and use, and large-scale mass-mailing as described above! Mail will not go into the trash!)
enter image description here
Found that this is just an ordinary employee, "Zhang *" (may have to leave, account no cancellation) of the E-mail (2014-7-14 18:19:31 Added: E-mail is a pit, the major domestic manufacturers is long overdue attention to this matter up!), and the password is weak passwords, looked under the use of the log, to close / Outbox, has long useless ~
https: //mail.*** | \ * | .com /
Account: ** 354 @ \ *** | \ *** | .com Password: 123456
Account Information:
Zhang
Account Information - Zhang *
General information
Display Name: Zhang * E-mail address: ** 354 @ \ *** | \ *** | .com
Contact Number
Work Phone: Mobile Phone:
The total has been used nuclear export all messages. (See Annex after data download )
0x04 come not a waste of effort

While large-scale nuclear always found thousands of phishing emails sent within the employee mailbox! ! !
enter image description here
enter image description here
After careful review of nuclear total, found that these are the recipient address does not exist or failed to send a variety of other causes bounce, or the recipient auto-reply!
(Aside: Nuclear total package has all the messages downloaded to provide information for future research tracking!)
Quantity enough to have thousands of letters, this is just within a few hours of receiving the amount!
From the time interval, the bounce rate and auto-reply ratio calculation, a conservative estimate, the gang used to send this email at least tens of thousands of copies of phishing e-mail!
After speculation that the criminal gangs possession weak passwords E-mail should be far more than this one, after a simple calculation, it sends the number should be very huge! High frequency!
After inspection bounce message content is distributed to various webmasters found a variety of employees, various government websites mailbox variety.
enter image description here
After analysis, suggesting that the criminal gangs sending e-mail address list, it should be the search of certain keywords from search engines batch capture.
Send so many phishing emails, the purpose is not known.
Mail analysis, let us come to an end, and then look at the phishing e-mail to receive mail (admin@seveice.cn.com) is the story behind.
0x05 Behind Enemy Lines

International practice, take a look at phishing mail receiving mail (admin@seveice.cn.com) name resolution occurs first ~
enter image description here
C:> nslookup seveice.cn.com Server: UnKnown Address: 218.30.19.50 non-authoritative answer: Name: seveice.cn.com Address: 103.243.25.92 C:> nslookup www.seveice.cn.com Server : UnKnown Address: 218.30 .19.50 non-authoritative answer: Name: www.seveice.cn.com Address: 103.243.25.92
IP address: 103.243.25.92, attribution:
1, Hong Kong SAR
2, Hong Kong, Shanghai game situation companies in Hong Kong node
3, the Asia-Pacific region
The IP address of the very special, in many places the query are not attributable to the recording.
Look at ns resolution records:
enter image description here
C: \> nslookup -qt = ns seveice.cn.com server : UnKnownAddress: 218.30.19.50 non-authoritative answer: seveice.cn.com nameserver = f1g1ns1.dnspod.net seveice.cn.com nameserver = f1g1ns2.dnspod.net f1g1ns2 .dnspod.net internet address = 180.153.162.150 f1g1ns2.dnspod.net internet address = 182.140.167.188 f1g1ns2.dnspod.net internet address = 122.225.217.191 f1g1ns2.dnspod.net internet address = 112.90.143.29 f1g1ns1.dnspod.net internet address = 122.225.217.192 f1g1ns1.dnspod.net internet address = 183.60.52.217 f1g1ns1.dnspod.net internet address = 119.167.195.3 f1g1ns1.dnspod.net internet address = 182.140.167.166
As can be seen, the domain name resolution authority hosted DNSPod, tried to grab the man, looking Tencent! (DNSPod created by WU Sheng, Tencent in 2011 was wholly acquired ~)
Mx mail to see server parse record:
enter image description here
C: \> nslookup -qt = mx seveice.cn.com server : UnKnownAddress: 218.30.19.50 non-authoritative answer: seveice.cn.com MX preference = 10, mail exchanger = mxdomain.qq.com mxdomain.qq.com internet address = 183.60.62.12 mxdomain.qq.com Internet address = 183.60.61.225 mxdomain.qq.com Internet address = 183.62.125.200 mxdomain.qq.com Internet address = 112.95.241.32 mxdomain. QQ .com Internet address = 112.90.142.55
As can be seen, Tencent domain mail using the domain name, then again, tried to grab the man, looking Tencent!
Look at the history of the domain name resolved IP address records (IP reverse lookup sites stand beside interface IP check domain name query history records check to resolve the IP address to check room number AS):
enter image description here
Site: http: //seveice.cn.comDomain: seveice.cn.com Netblock Owner: 26C, No.666, Gonghexin road, Shanghai, China (Shanghai Gonghexinlu Turkey Building, 666 26C (Shanghai Information Technology Co., E Jia Company)) Nameserver: f1g1ns1.dnspod.net IP address: 103.243.25.92DNS admin: freednsadmin@dnspod.comHosting History Netblock owner: 26C, No.666, Gonghexin road, Shanghai, China (Shanghai Gonghexinlu Turkey Building No. 666 26C (Shanghai Information Technology Co., Hubei good company )) IP address: 103.243.25.92 OS: Windows Server 2003 Web Server: Netbox Refresh v3.0 201005 Last Seen: 3-Jul-2014Last Seen Refresh: 26-Jun-2014 Last Seen Refresh : 14-Jul-2014
You can see the resolve of this domain and record basic information, as shown above.
Web Server actually using Netbox v3.0 201005?
Direct access to the IP address look
enter image description here
enter image description here
Suspected a QQ phishing sites?
Direct access to the domain and then take a look at:
enter image description here
enter image description here
enter image description here
enter image description here
Found to be a fake QQ Security Center phishing site.
(Nuclear total tucao: Surprisingly, with the Asp + Netbox v3.0 201005, too amateur it ~)
0x06 continue to pursue

Finally, take a look at the domain name Whois information:
Domain ID: CNIC-DO2659321 Domain Name: SEVEICE.CN.COM Created On: 2014-05-16T08: 44: 41.0Z Last Updated On: 2014-05-28T04: 00: 35.0ZE XP iration Date: 2015-05-16T23 : 59: 59.0Z Status: clientTransferProhibited Status: serverTransferProhibited
Registrant ID: TOD-43669078 Registrant Name: wu haitao Registrant Organization: wu haitao Registrant Street1: zhongqiangquanququa Registrant City: shizonggonghui Registrant State / Province: Henan Registrant Postal Code: 808080 Registrant Country: CN Registrant Phone: +86.1083298850 Registrant Fax: +86.1083298850 Registrant Email: 5777755 @ QQ .com
Admin ID: TOD-43669079 Admin Name: wu haitao Admin Organization: wu haitao Admin Street1: zhongqiangquanququa Admin City: shizonggonghui Admin State / Province: Henan Admin Postal Code: 808080 Admin Country: CN Admin Phone: +86.1083298850 Admin Fax: +86.1083298850 Admin Email: 5777755 @ QQ .com
Tech ID: TOD-43669080 Tech Name: wu haitao Tech Organization: wu haitao Tech Street1: zhongqiangquanququa Tech City: shizonggonghui Tech State / Province: Henan Tech Postal Code: 808080 Tech Country: CN Tech Phone: +86.1083298850 Tech Fax: +86.1083298850 Tech Email: 5777755 @ QQ .com
Billing ID: TOD-43669081 Billing Name: wu haitao Billing Organization: wu haitao Billing Street1: zhongqiangquanququa Billing City: shizonggonghui Billing State / Province: Henan Billing Postal Code: 808080 Billing Country: CN Billing Phone: +86.1083298850 Billing Fax: +86.1083298850 Billing Email: 5777755 @ QQ .com
Sponsoring Registrar ID: H3245827 Sponsoring Registrar IANA ID: 697 Sponsoring Registrar Organization: ERANET INTERNATIONAL LIMITED Sponsoring Registrar Street1: 02 7 / F TRANS ASIA CENTRE 18 KIN HONG STREET KWAI CHUNG NT Sponsoring Registrar City: Hongkong Sponsoring Registrar Postal Code: 999077 Sponsoring Registrar Country : CN Sponsoring Registrar Phone: +85.235685366 Sponsoring Registrar Fax: +85.235637160 Sponsoring Registrar Web site: HTTP: //www.now.cn/ Referral URL: HTTP: //www.now.cn/ WHOIS Server: whois.now.cn Name Server: F1G1NS1.DNSPOD.NET Name Server: F1G1NS2.DNSPOD.NET DNSSEC: Unsigned
Last update of WHOIS database: 2014-07-14T11: 42: 10.0Z <<<
This whois service is provided by CentralNic Ltd and only contains information pertaining to Internet domain names we have registered for our customers. By using this service you are agreeing (1) not to use any information presented here for any purpose other than determining ownership of domain names, (2) not to store or reproduce this data in any way, (3) not to use any high-volume, automated, electronic processes to obtain data from this service. Abuse of this service is monitored and actions in contravention of these terms will result in being permanently blacklisted. All data is (c) CentralNic Ltd https://www.centralnic.com/
You can extract a lot of important information, that the domain name registrant is:
Domain: SEVEICE.CN.COM Created: 2014-05-16T08: 44: 41.0Z Last updated: 2014-05-28T04: 00: 35.0Z Expires: 2015-05-16T23: 59: 59.0Z Name: wu haitao (? Wu Haitao) Organization: wu haitao (? Wu Haitao) Address: zhongqiangquanququa (shot in the region to go ah?) City: shizonggonghui (? Municipal Federation of Trade Unions) State / Province: Henan (Henan) Postal Code: 808080 country: CN Phone: +86.1083298850 (Baidu, there will be surprises) Fax: +86.1083298850 (Baidu, there will be surprises) E-mail: 5777755@qq.com ( QQ : 5,777,755, numbers good)
It seems that the registered domain name did not take long, just full of multi-January ~
QQ : 5777755, No good:
enter image description here
Baidu a moment: 1083298850
enter image description here
Search a bit www.hk6h.net, found a Hong Kong Mark Six gambling sites .
0x07 iron-clad

They love the station were Whois Lookup, found also registered another domain:
(2014-7-14 20:27:02 Added: who later found a lot of variety of domain name registration, various black production are doing, and interested friends can self-discovery ~)
Domain: tccmtce.com resolve the address: 142.0.135.52 (United States)
Name Server: F1G1NS1.DNSPOD.NET name server : F1G1NS2.DNSPOD.NET
Created: 2014-05-17 T 16: 17: 38Z Expires: 2015-05-17 T 16: 17: 38Z Update Time: 2014-06-02 T 10: 51: 35Z
City: shizonggonghui State: CN E-mail: 5777755 @ QQ .com Fax: 86.1083298850 Product Name: wu haitao (Wu Haitao) Organization: wu haitao (Wu Haitao) Phone: 86.1083298850 Postal Code: 808080 State / Province: shizonggonghui Street: zhongqiangquanququa
Complaints Contact Email: abuse@72e.net complaints Tel: +86.75788047236 Introduction Website: http: //www.72e.net Whois service: whois.72dns.com registration: Foshan YiDong Network Co.LTD (Foshan Yidong Network limited company )
You can see that the domain name registration information and exactly the same as before the domain name, registration time is also very close ~
After confirmed, the domain name is also used to receive bulk mail is a phishing mail (admin@tccmtce.com) (from the dark clouds of a post, for details see underneath).
Due to limited time and energy, for the time being tracked here, and interested friends can dig deep.
From the above analysis, Xi'an Zero Day Network Technology Co., company network security expert nuclear attack (nuclear total).
Clouds found fishing post content:
This is a well-furnished "wide net to catch big fish" attack?
Related Downloads :
2014 E-Commerce Security Technology Summit .rar (see them: those things ten anti-leak - Wu Struga .pdf)


 ==============================================================
 http://www.ourlove520.com/Article/netsafe/Website/201407/287153.html
一起针对国内企业OA系统精心策划的大规模钓鱼攻击事件


文章录入:佚名 责任编辑:admin 更新时间: 2014-7-16


0x00 前言

以下内容撰写于2014年6月26日上午,由于时间精力关系,当时只写了一半,搁置了大半个月,后来在乌云的一个帖子中发现了一模一样的大规模钓鱼行为(帖子内容见底下)。
在乌云疯狗、长短短等朋友的强烈建议下,将这篇文章整理了出来,由于过了大半个月,有些细节、逻辑已渐渐模糊、混淆,经过了一段时间的整理(可以看到文中穿插有不同时间的点评),进行了收尾完善。
这是一个精心策划的、大规模的、针对国内企业OA系统的批量钓鱼攻击行为!
同时,这也是对国内企业邮箱、OA系统大规模钓鱼攻击的一个预警!
具体预警见之后西安零日网络科技有限公司网络安全专家核攻击(核总)联合乌云漏洞报告平台发布的预警内容。
事件分析:
1、钓鱼者事先在互联网采集了大量企业、网站管理员、政府网站人员的邮箱地址。 2、钓鱼者事先在互联网扫描了大量存在弱口令的企业邮箱,进行大量钓鱼邮件群发(可以不进入垃圾箱)。 3、钓鱼者使用这些企业邮箱对采集到的邮箱地址进行大量钓鱼邮件群发,内容基本一致。4、钓鱼者注册了几个域名,专门用作钓鱼收信。 5、这是一起针对国内企业OA系统精心策划的大规模钓鱼攻击事件。(APT攻击?)6、目前尚不明确钓鱼者目的何在。(撒大网钓大鱼的节奏?)
以上分析来自西安零日网络科技有限公司网络安全专家核攻击(核总)。
0x01 意外收获

核总早上收到一封钓鱼邮件,实际上每天都能收到一大堆钓鱼邮件,烦不胜烦,但是这封邮件比较有意思,跟随核总简单的分析一下它~
先来看看钓鱼邮件内容:
enter image description here
邮件明文内容:
关于EMIS邮件服务升级的通知
1.根据相关用户和员工反映:邮箱容量不够日常使用,邮箱登录使用存在卡顿的现象! 2.为保证邮箱系统的稳定运行和正常使用,现在需要对部分邮箱进行升级测试! 3.请收到此邮件的员工将个人信息发送到OA邮箱系统维护邮箱:admin@seveice.cn.comadmin@seveice.cn.com
格式如下:
姓名:
职位:
员工编号:
登陆地址:
邮箱账号:
邮箱密码:
原始密码:
电话和短号:
备注:本次升级检测为期7-15天,为此给你带了不便的地方,敬请理解。为保证顺利升级,在接受到结束通知之前,请不要修改账号密码,谢谢配合!

保密声明:本邮件及其所有附件仅发送给特定收件人。它们可能包含A企业的内部信息,秘密信息,专有信息或受到法律保护的其他信息。未经许可,任何人不得进行传播、分发或复制。此声明视为A企业的保密要求标识。若您误收本邮件,请立即删除或与邮件发送人联系。
CONFIDENTIALITY NOTICE: This e-mail and any attachments are intended for the addressee and may contain information belonging to ***|\*| which is privileged, confidential, proprietary, or otherwise protected by law. Without permission, any dissemination, distribution, or copying is prohibited. This notice serves as marking as CONFIDENTIAL information of ***|\*|. If you have received this communication in error, please delete immediately or contact the original sender.
内容看起来挺一本正经的么,钓鱼收集的信息挺全的么,括弧笑~
0x02 抽丝剥茧

为了方便理解,我们从上往下按顺序分析吧(注意红框中的内容)。
1、service@2014-6-26.net,是一个以日期命名的、伪造的、不存在的域名。 2、**354@\**|\**|.com,百度了一下域名,是:\***|\***|
enter image description here
目测寡人和这个A企业木有任何关系,目测钓鱼者看寡人网名是核攻击,就弄了个A企业的邮箱增强真实性(也有可能只是为了用个正常域名,让邮件不进入垃圾箱?)(2014-7-14 18:10:08 补充:证明这个猜想正确!)(不排除A企业域名已被搞下,见后边的分析~)
继续看~
3、admin@seveice.cn.com,域名看起来挺正规的么,呵呵,先收集起来稍后分析,括弧笑~
4、红框中的内容:“……本次升级检测为期7-15天……在接受到结束通知之前,请不要修改账号密码,谢谢配合!”,请不要修改账号密码?Just 呵呵~你这后期渗透工作,动作也太慢了吧,居然需要7-15天,寡人一般最多一两天就完事了~
5、最底下的红框中的内容“……它们可能包含A企业的内部信息,秘密信息……” ,应该是邮件系统模板自带或页脚附加内容,制式化发送。
再来看看邮件原文(原始数据):
Received: from WebsenseEmailSecurity.com (unknown [219...227]) by bizmx6.QQ.com (NewMx) with SMTP id for root@lcx.cc; Thu, 26 Jun 2014 07:40:26 +0800 X-QQ-SSF: 005000000000000000K000010420600 X-QQ-mid: bizmx6t1403739626t7xszqhfx X-QQ-CSender: 354@***|\*|.com X-QQ-FEAT: h0yizCkM5mMZ/tU/FDOZge7cwU1MZMYVkeLy/yM35Sk= Received: from GH-ML-05.snpdri.com (unknown [172.17.1.9]) by Websense Email Security Gateway with ESMTPS id D2940D569E7 for root@lcx.cc; Thu, 26 Jun 2014 07:40:24 +0800 (CST) Sender: <354@***|\*|.com> Message-ID: <887BFDC27B5F3D02FFFD3DFAF7A4B300@jyiia> From: service@2014-6-26.net To: root@lcx.cc Subject: =?utf-8?B?5YWz5LqOT0HnmbvpmYbljYfnuqfnmoTpgJrnn6U=?= Date: Thu, 26 Jun 2014 07:40:08 +0800 MIME-Version: 1.0 Content-Type: multipart/alternative; boundary="---|-=_NextPart_000_0957_01B53497.13B65610" X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2900.5512 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5512 X-Originating-IP: [113.111.200.115]
---|---|=_NextPart_000_0957_01B53497.13B65610 Content-Type: text/plain; charset="utf-8" Content-Transfer-Encoding: base64
5YWz5LqORU1JU+mCruS7tuacjeWKoeWNh+e6p+eahOmAmuefpQ0KDQoxLuagueaNruebuOWFs+eU …… …… …… dD4NCjwvYm9keT4NCjwvaHRtbD4NCg==
---|---|=_NextPart_000_0957_01B53497.13B65610--
从邮件原文头中能提取到很多有价值的信息,比如邮件发送者的IP地址:
219.***.***.227 中国北京市 电信
经过 IP 反查,确认这个 IP 地址为 “A企业” 邮件服务器的IP地址:mx.***|\*|.com(219...227),该 IP 地址目前可以 Ping 通~
(提示:A企业域名,www.***|\*|.com(219...225),以及视频会议服务器:219...232,和邮件服务器都在一个c段的。)
也就是说,熊孩纸使用A企业的邮件服务器发送的,So,该服务器上会有登陆及发送日志,So~上门爆菊抓人~你懂的~
0x03 初探虎穴

在官网看了看,发现了一点A企业网络基本构架:
<a href='http://219.***.***.232/' class='bt_link' title='视频会议' target=_blank></a> <a href='http://www.******.com:8001/' class='bt_link' title='人才招聘' target=_blank></a> <a href='https://mail.******.com/' class='bt_link' title='企业邮箱' target=_blank></a> <a href='https://vpn.******.com/' class='bt_link' title='移动办公' target=_blank></a> 219.***.***.225(www.******.com),官网219.***.***.226(mail.******.com),企业邮箱 219.***.***.227(mx.******.com),邮件服务器219.***.***.230(vpn.******.com),移动办公 219.***.***.232(219.***.***.232),视频会议
可以看到企业邮箱登陆域名,So,如果使用熊孩纸的账户“**354@******.com”登陆邮箱会如何呢?
于是核总经过前边的A企业网络基本构架摸排,顺利进入A企业邮箱登陆页面(mail.***|\*|.com):
enter image description here
并使用之前的发件账号(**354@\***|\***|.co)与密码(123456)(2014-7-14 18:12:59 补充:现在密码已被修改!)成功登陆!
(旁白:登陆密码是核总瞎猜的,人品爆发,是吧~)
(2014-7-14 19:10:14 补充:事后这也证明一个观点:该犯罪团伙可能大规模扫描互联网中的企业邮箱弱口令,并进行利用,进行大规模邮件群发!而且如上边所述,邮件不会进入垃圾箱!)
enter image description here
发现这只是一个普通员工“张*”(可能已经离职,账户没有注销)的企业邮箱(2014-7-14 18:19:31 补充:企业邮箱是个大坑,国内各大厂商早该注意这个事情了!),而且密码是弱口令,看了下使用日志、收/发件箱,已经很久没用了~
https://mail.***|\*|.com/
账户:**354@\***|\***|.com 密码:123456
账户资料:
张仝
帐户信息 - 张*
一般信息
显示名称: 张* 电子邮件地址: **354@\***|\***|.com
联系号码
工作电话: 移动电话:
核总已使用将所有邮件导出。(见之后的附件资料下载
0x04 得来全不费工夫

同时核总在该员工邮箱内发现数以千计的已发送的大规模钓鱼邮件!!!
enter image description here
enter image description here
经过核总细细查阅,发现这些都是收件人地址不存在或其它各种原因导致发送失败的退信,或者收件人自动回复的邮件!
(旁白:核总已经所有邮件打包下载,为以后追踪提供资料研究!)
数量足有上千封,这仅仅只是几个小时内的接收量!
从时间间隔、退信比率以及自动回复比率计算,保守估计,该犯罪团伙已使用这个邮箱发送了至少上万份钓鱼邮件!
经过推测,该犯罪团伙所掌握的弱口令企业邮箱应该远远不止这一个,经过简单计算,其发送数量应该十分巨大!频率极高!
经过查阅退信邮件内容,发现都是发给各种网站管理员、各种企业员工、各类政府网站邮箱,种类繁多。
enter image description here
经过分析,推测该犯罪团伙的邮件发送地址名单,应该是从搜索引擎搜索某类关键词批量采集的。
发送如此多的钓鱼邮件,目的不得而知。
邮件分析,暂且告一段落,再看看这个钓鱼邮件接收邮箱(admin@seveice.cn.com)是何方神圣。
0x05 深入敌后

国际惯例,看看钓鱼邮件接收邮箱(admin@seveice.cn.com)的域名解析情况先~
enter image description here
C:>nslookup seveice.cn.com 服务器: UnKnown Address: 218.30.19.50 非权威应答: 名称: seveice.cn.com Address: 103.243.25.92 C:>nslookup www.seveice.cn.com 服务器: UnKnown Address: 218.30.19.50 非权威应答: 名称: www.seveice.cn.com Address: 103.243.25.92
IP地址:103.243.25.92,归属地:
1、香港特别行政区
2、香港, 上海游戏风云公司香港节点
3、亚太地区
这个 IP 地址挺特别的,在很多地方查询都没有归属地记录。
再看看 ns 解析记录:
enter image description here
C:\>nslookup -qt=ns seveice.cn.com服务器: UnKnownAddress: 218.30.19.50 非权威应答:seveice.cn.com nameserver = f1g1ns1.dnspod.net seveice.cn.com nameserver = f1g1ns2.dnspod.net f1g1ns2.dnspod.net internet address = 180.153.162.150 f1g1ns2.dnspod.net internet address = 182.140.167.188 f1g1ns2.dnspod.net internet address = 122.225.217.191 f1g1ns2.dnspod.net internet address = 112.90.143.29 f1g1ns1.dnspod.net internet address = 122.225.217.192 f1g1ns1.dnspod.net internet address = 183.60.52.217 f1g1ns1.dnspod.net internet address = 119.167.195.3 f1g1ns1.dnspod.net internet address = 182.140.167.166
可以看出,该域名解析权限托管在 DNSPod,想抓人,找腾讯!(DNSPod由吴洪声创建,在2011年被腾讯全资收购~)
在看看 mx 邮件服务器解析记录:
enter image description here
C:\>nslookup -qt=mx seveice.cn.com服务器: UnKnownAddress: 218.30.19.50 非权威应答:seveice.cn.com MX preference = 10, mail exchanger = mxdomain.qq.com mxdomain.qq.com internet address = 183.60.62.12 mxdomain.qq.com internet address = 183.60.61.225 mxdomain.qq.com internet address = 183.62.125.200 mxdomain.qq.com internet address = 112.95.241.32 mxdomain.QQ.com internet address = 112.90.142.55
可以看出,该域名使用的腾讯域名邮箱,还是那句话,想抓人,找腾讯!
再看看该域名历史解析的IP地址记录(IP反查网站接口 旁站查询 IP查域名 域名历史解析记录查询 IP地址查机房AS号):
enter image description here
Site: http://seveice.cn.comDomain: seveice.cn.com Netblock Owner: 26C,No.666,Gonghexin road,Shanghai,China (上海共和新路666号中土大厦26C(上海鄂佳信息科技有限公司))Nameserver: f1g1ns1.dnspod.net IP address: 103.243.25.92DNS admin: freednsadmin@dnspod.comHosting History Netblock owner: 26C,No.666,Gonghexin road,Shanghai,China (上海共和新路666号中土大厦26C(上海鄂佳信息科技有限公司))IP address: 103.243.25.92 OS: Windows Server 2003Web server: Netbox v3.0 201005 Last seen Refresh: 3-Jul-2014Last seen Refresh: 26-Jun-2014 Last seen Refresh: 14-Jul-2014
可以看到该域名的解析记录以及基本信息,如上所示。
Web Server 居然用的是 Netbox v3.0 201005?
直接访问这个 IP 地址看看
enter image description here
enter image description here
疑似一个QQ钓鱼站点?
再直接访问这个域名看看:
enter image description here
enter image description here
enter image description here
enter image description here
发现是一个假冒 QQ 安全中心的钓鱼站点。
(核总吐槽:居然还是用的 Asp + Netbox v3.0 201005,太业余了吧~)
0x06 继续追查

最后看看该域名的 Whois 信息:
Domain ID:CNIC-DO2659321 Domain Name:SEVEICE.CN.COM Created On:2014-05-16T08:44:41.0Z Last Updated On:2014-05-28T04:00:35.0Z Expiration Date:2015-05-16T23:59:59.0Z Status:clientTransferProhibited Status:serverTransferProhibited
Registrant ID:TOD-43669078 Registrant Name:wu haitao Registrant Organization:wu haitao Registrant Street1:zhongqiangquanququa Registrant City:shizonggonghui Registrant State/Province:Henan Registrant Postal Code:808080 Registrant Country:CN Registrant Phone:+86.1083298850 Registrant Fax:+86.1083298850 Registrant Email:5777755@QQ.com
Admin ID:TOD-43669079 Admin Name:wu haitao Admin Organization:wu haitao Admin Street1:zhongqiangquanququa Admin City:shizonggonghui Admin State/Province:Henan Admin Postal Code:808080 Admin Country:CN Admin Phone:+86.1083298850 Admin Fax:+86.1083298850 Admin Email:5777755@QQ.com
Tech ID:TOD-43669080 Tech Name:wu haitao Tech Organization:wu haitao Tech Street1:zhongqiangquanququa Tech City:shizonggonghui Tech State/Province:Henan Tech Postal Code:808080 Tech Country:CN Tech Phone:+86.1083298850 Tech Fax:+86.1083298850 Tech Email:5777755@QQ.com
Billing ID:TOD-43669081 Billing Name:wu haitao Billing Organization:wu haitao Billing Street1:zhongqiangquanququa Billing City:shizonggonghui Billing State/Province:Henan Billing Postal Code:808080 Billing Country:CN Billing Phone:+86.1083298850 Billing Fax:+86.1083298850 Billing Email:5777755@QQ.com
Sponsoring Registrar ID:H3245827 Sponsoring Registrar IANA ID:697 Sponsoring Registrar Organization:ERANET INTERNATIONAL LIMITED Sponsoring Registrar Street1:02 7/F TRANS ASIA CENTRE 18 KIN HONG STREET KWAI CHUNG N.T Sponsoring Registrar City:Hongkong Sponsoring Registrar Postal Code:999077 Sponsoring Registrar Country:CN Sponsoring Registrar Phone:+85.235685366 Sponsoring Registrar Fax:+85.235637160 Sponsoring Registrar Website:http://www.now.cn/ Referral URL:http://www.now.cn/ WHOIS Server:whois.now.cn Name Server:F1G1NS1.DNSPOD.NET Name Server:F1G1NS2.DNSPOD.NET DNSSEC:Unsigned
Last update of WHOIS database: 2014-07-14T11:42:10.0Z <<<
This whois service is provided by CentralNic Ltd and only contains information pertaining to Internet domain names we have registered for our customers. By using this service you are agreeing (1) not to use any information presented here for any purpose other than determining ownership of domain names, (2) not to store or reproduce this data in any way, (3) not to use any high-volume, automated, electronic processes to obtain data from this service. Abuse of this service is monitored and actions in contravention of these terms will result in being permanently blacklisted. All data is (c) CentralNic Ltd https://www.centralnic.com/
可以提取出很多重要信息,得知该域名注册者为:
域名:SEVEICE.CN.COM创建时间:2014-05-16T08:44:41.0Z最后更新:2014-05-28T04:00:35.0Z 过期时间:2015-05-16T23:59:59.0Z姓名:wu haitao(吴海涛?)组织:wu haitao(吴海涛?) 地址:zhongqiangquanququa(中枪全区去啊?)城市:shizonggonghui(市总工会?)州/省:Henan(河南)邮政编码:808080 国家:CN电话:+86.1083298850(百度一下会有惊喜)传真:+86.1083298850(百度一下会有惊喜) 电子邮箱:5777755@qq.com(QQ:5777755,号码不错)
看来域名该注册没多久,刚刚满一月多~
QQ:5777755,号码不错:
enter image description here
百度了一下:1083298850
enter image description here
搜索了一下 www.hk6h.net,发现是个香港六合彩赌博网站
0x07 铁证如山

又在爱站进行了 Whois 反查,发现还注册了另外一个域名:
(2014-7-14 20:27:02 补充:后来发现此人注册了一大堆各种域名,各类黑产都做,感兴趣的朋友可以自行搜索~)
域名:tccmtce.com 解析地址:142.0.135.52(美国)
名称服务器:F1G1NS1.DNSPOD.NET 名称服务器:F1G1NS2.DNSPOD.NET
创建时间:2014-05-17 T 16:17:38Z 过期时间:2015-05-17 T 16:17:38Z 更新时间:2014-06-02 T 10:51:35Z
城市:shizonggonghui 国家:CN 电子邮箱:5777755@QQ.com 传真:86.1083298850 产品名称:wu haitao(吴海涛) 组织:wu haitao(吴海涛) 电话:86.1083298850 邮编:808080 州/省:shizonggonghui 街道:zhongqiangquanququa
投诉联系邮箱:abuse@72e.net 投诉联系电话:+86.75788047236 介绍网址:http://www.72e.net Whois服务:whois.72dns.com 注册地:Foshan YiDong Network Co.LTD (佛山市屹东网络有限公司
可以看出来这个域名的注册信息和之前的域名一摸一样,注册时间也十分相近~
后经证实,这个域名也是用来群发邮件的一个钓鱼接收邮箱(admin@tccmtce.com)(出自乌云的一个帖子,具体内容见底下)。
由于时间精力有限,暂且追踪到这里,感兴趣的朋友可以深挖。
以上分析来自西安零日网络科技有限公司网络安全专家核攻击(核总)。
乌云发现的钓鱼帖子内容:
这是一次精心布置的“广撒网钓大鱼”攻击么?
相关下载
2014电子商务安全技术峰会.rar (见其中的:十年防泄密的那些事儿-吴鲁加.pdf)




==================================================================
 http://www.ourlove520.com/Article/netsafe/Website/201407/287153.html

국내 기업 OA 시스템에 대한 대규모 피싱 공격 함께 조율


기사 입력 : 익명 편집기 : 관리자 업데이트 : 2014년 7월 16일

 0X00 서문

이 만, 옆 반 개월 반을 쓴 시간과 에너지의 관계로 인해 2014년 6월 26일 아침에 작성하고, 나중에 게시물의 어두운 구름에서 대규모 낚시의 정확히 같은 행동을 발견 다음 (게시물 내용의 하단을 참조 ).
구름 미친에서 강하게 반 달, 몇 가지 세부 사항이, 논리가 점차 혼란 흐리게 것처럼 긴 짧고 다른 친구가이 문서를 분류 할 것을 권장 시간의 기간을 마친 후 (당신은 텍스트가 산재 볼 수 있습니다 리뷰의 다른 시간이)가 있으며, 완벽한 결말이었다.
이는 국내 기업 OA에 대한 잘 계획된 대규모이며, 시스템 볼륨이 피싱 공격!
또한, 이는 국내 기업 사서함, OA 용을위한 시스템 대규모 피싱 공격의 조기 경보로!
제로 데이 (zero-day) 시안 (西安) 네트워크 기술 유한 한 후 특정 경고를 참조하십시오, 회사 네트워크 보안 전문가 핵 공격 (핵 총) 공동 구름 취약성 보고서 발표 조기 경보 콘텐츠 플랫폼입니다.
이벤트 분석 :
한, 인터넷에서 사전에 회사, 웹 마스터, 정부의 많은 수집 낚시꾼 웹 사이트 담당자 메일 주소를. 인터넷이, 낚시꾼 전에 존재는 약한 암호의 많은 수의 기업 메일, 광범위한 낚시 메일 링 (쓰레기를 입력 할 수 없습니다) 스캔합니다. 3, E-메일 피싱은 피싱 이메일 폭발 다수, 기본적으로 동일한 내용을 수행하는 수집이 이메일 주소를 사용한다. 4, 낚시꾼은 낚시 수신기로 전용 여러 도메인 이름을 등록했다. 도 5는,이 OA에 대한 국내 기업이었다 시스템 대규모 피싱 공격을 조율. (APT 공격?) 6, 그것은 어떤 목적 낚시꾼 명확하지 않다. (시저 큰 그물 리듬에 물고기를 잡는 방법?)
위의 분석, 서안 제로 데이 (Zero Day) 네트워크 기술 유한 회사에서 회사 네트워크 보안 전문가 핵 공격 (핵 총).
0x01로 횡재

~ 핵 아침, 매일 피싱 이메일을 많이받을 지루해 할 수 실제로 피싱 전자 메일 전체를 받았지만,이 메시지는 단순히 핵 전반적인 분석에게 그것을 따라 더 재미있다
의 피싱 전자 메일의 내용을 살펴 보자 :
여기에 이​​미지 설명을 입력
노골적인 내용을 메일 :
EMIS 메일 알림 서비스 업그레이드에 대하여
한 관련 사용자 및 직원에 따르면 반영하기 : 사서함 용량은 일상적인 사용을 위해 충분하지 않습니다, 현재 Caton 현상을 사용하여 사서함에 로그인! 2-메일 시스템은 안정된 동작 및 적절한 사용을 보장 해주기 사서함의 부분 업그레이드해야 할 시험 ! 세 직원, OA-메일로 개인 정보를 보내 주시기 바랍니다이 메시지를 수신 시스템 유지 보수 - 메일 : admin@seveice.cn.com admin@seveice.cn.com
다음과 같은 형식이다 :
이름 :
위치 :
직원 수 :
로그인 주소 :
E-메일 계정 :
E-메일 비밀번호 :
원래 암호 :
전화 및 코넷 :
참고 :이 업그레이드가 불편 당신에​​게 장소를 가져 들어, 양해 바랍니다 7-15일의 기간 동안 검출된다. 통지의 끝이 수신되기 전에 원활한 업그레이드를 보장하기 위해, 덕분에 계정 암호를 변경하지 마십시오!

개인 정보 보호 정책 :이 이메일과 특정받는 사람에게 전송 된 첨부 파일. 그들은 회사에게 내부 정보, 기밀 정보, 독점 정보 또는 법적 보호에 대한 다른 정보 제목을 포함 할 수있다. 허가없이 어떤 사람이 전송되지 배포하거나 복사해야한다. 기밀 비즈니스 요구 사항이 선언 로고. 실수로이 메시지를받은 경우 즉시 삭제하거나 담당자에게 문의하는 이메일을 보내 주시기 바랍니다.
기밀주의 사항 :이 이메일과 첨부 파일은 수취인을위한 것이며, ***에 속하는 정보를 포함 할 수있다 | \ * |, 비밀을 유지하기로 한 독점적 인 또는 기타 허가없이 법에 의해 보호를 임의의 보급, 유통 ,. 또는 복사는이 통지서는 ***의 기밀 정보를 표시하는 역할을 금지 |를 \ *. |.이 잘못 통신을받은 경우 즉시 삭제하거나 원래 보낸 사람에게 문의하십시오.
어떤 내용의 심각성 ~ 괄호 안에 웃음, 그것은 꽤 전체 수집 된 꽤 낚시 정보를 찾습니다
는 0x02의 해결되어 나감

이해를 돕기 위해, 우리는 오른쪽 (빨간색 박스의 내용을 참고)에서 순차적으로 아래로 분석한다.
하나는, 서비스 2014-6-26.net @라는 날짜입니다, 위조 도메인 이름이 존재하지 않습니다. 이 ** 354 @ \ ** | \ ** | .COM, 바이 약간 도메인입니다 : \ *** | \ *** |
여기에 이​​미지 설명을 입력
시각 Guaren와 나무가 어떤 사업 관계가 시각적 낚시꾼 Guaren 룩 화면 이름을 핵 공격으로, 그들은 회사 메일 향상 진위 (수도 메시지가 쓰레기로 전환되지 않도록 그냥 일반 이름을 사용하는 파산? ) (2014년 7월 14일 18시 10분 8초 추가 :이 추측이 정확한지 증명) (A 회사는 도메인 이름) ~ 뒤에보고 분석을 받고있다 배제하지 않는다!
보고 계속 ~
3 관리자 @ seveice.cn.com는 ~ 응 첫번째 수집 된 것을 꽤 공식 명칭을 보이는 이상 괄호 웃음 분석
빨간색 상자의 네, 내용 : 계정 암호를 변경하지 마십시오! "......이 업그레이드 통지의 끝, 덕분에 계정 암호를 변경하지 마십시오 수신되기 전에 7-15일의 기간 ...... 감지된다"? 그냥 아 ~ 당신이 늦은 침투를 작업하고, 작업도 ~ 실제로 대부분의 십이일에서 도망 Guaren, 7-15일 필요를 느리게한다
5, 빨간색 상자의 하단의 내용이 "...... 그들이 회사의 내부 정보를 포함 할 수 있습니다, 비밀 정보 ......"해야 메일 시스템 또는 바닥 글 템플릿 추가 콘텐츠, 전송 정규화와 함께 제공됩니다.
의 메시지 텍스트 (원시 데이터)를 살펴 보자 :
수신 :에서 . senseEmailSecurity.com (알 수없는 [219 ... 227]) bizmx6에 의해 QQ .COM (NewMx) SMTP ID에 대한 root@lcx.cc , 2014년 6월 26일 (목)에게 7시 40분 26초 0800 X QQ-SSF : 005000000000000000K000010420600 X-QQ-중반 : bizmx6t1403739626t7xszqhfx X-QQ-CSender : *** @ 354 | \ * | .COM X의 QQ의 -FEAT : h0yizCkM5mMZ / TU / FDOZge7cwU1MZMYVkeLy / yM35Sk = 수신 : GH-ML에서 에 의해 05.snpdri.com (알 [172.17.1.9]) 에 대한 ESMTPS ID D2940D569E7와 감지 이메일 보안 게이트웨이 root@lcx.cc , 2014년 6월 26일 (목) 7시 40분 24초 0800 (CST) 보낸 사람 : <354 @ *** | \ * | .COM> 메시지 ID : <887BFDC27B5F3D02FFFD3DFAF7A4B300 @ jyiia> 시작 : service@2014-6-26.net 으로 : root@lcx.cc의 제목 : = UTF-8 B 5YWz5LqOT0HnmbvpmYbljYfnuqfnmoTpgJrnn6U = ???? = 일시 : 목, 2014 7시 40분 8초 0800 MIME 버전 6 월 26 일 : 1.0 콘텐츠 형식 : 다중 / 대안, 경계 = "--- | - = _ NextPart_000_0957_01B53497.13B65610"X-우선 순위 : 3 X-MSMail- 우선 순위 : 일반 X-메일 서버 : Microsoft Outlook 전자 XP RESS 6.00.2900.5512 X-MimeOLE : 마이크로 소프트 MimeOLE V6.00.2900.5512 X 원산지-IP에 의해 제작 : [113.111.200.115]
--- | --- | = _NextPart_000_0957_01B53497.13B65610의 콘텐츠 형식 : 텍스트 / 일반 캐릭터 세트 = "UTF-8"콘텐츠 전송 인코딩 : base64로
5YWz5LqORU1JU + mCruS7tuacjeWKoeWNh + e6p + eahOmAmuefpQ0KDQoxLuagueaNruebuOWFs + 이는 EU ...... ...... ...... dD4NCjwvYm9keT4NCjwvaHRtbD4NCg ==
--- | --- | = _NextPart_000_0957_01B53497.13B65610--
메일 헤더에서 텍스트는 이메일 발신자의 IP 주소와 같은 유용한 정보를 많이 추출 할 수있다 :
219 ***. ***. 227 중국 베이징 텔레콤
IP 조회 한 후, 확인하는 "비즈니스의 메일의 IP 주소를 서버 의 IP 주소 :. MX *** | \ * | .COM (219 ... 227), IP 주소 이제 핑 통 ~
(TIP : 비즈니스 도메인 이름, WWW *** | \ * | .COM (219 ... 225),뿐만 아니라 화상 회의 서버 219 ... (232) 및 메일 서버는 C 부분에있다.)
즉, 보낼 회사 메일 서버를 사용하여 아이들이 종이 곰, 그래서 서버는 ~에 로그온 및 로그를 보내, 그래서 ~ 문 버스트 국화 체포 사람 ~ 당신은 알 것이다
예비 모험은 0x03

공식 웹 사이트에서 보았다, 작은 기업 발견 네트워크 기본 프레임 워크를 :
<a href='http://219.***.***.232/' class='bt_link' title='视频会议' target=_blank> </A> <HREF = 'HTTP : // www가 ****** COM : .. 8001 / '클래스 ='bt_link '제목 ='잡스의 대상 = _blank> </A> <HREF = 'HTTPS : //mail.****** .COM / '클래스 ='bt_link '제목 ='메일 '대상 = _blank> </A> <HREF ='HTTPS : //vpn.******.com/ '클래스 ='bt_link '제목 = '모바일 오피스'대상 = _blank> </A> 219 ***. ***. 225 (WWW. ******. com), 219의 공식 웹 사이트 ***. ***. 226 ( 메일. ******. com), E-메일 219 ***. ***. 227 (MX. ******. com), 메일 서버 (219) ***. *** 230 (VPN을. ******. com), 모바일 오피스 219 ***. ***. 232 (219 ***. ***. 232), 화상 회의
E-메일 도메인 이름은 당신이 종이 곰 아이들이 계정 사용하는 경우 "**354@******.com"착륙 메일이 될 것입니다, 방문 볼, 그래서 할 수 있는가?
그래서 항상 핵 기업의 앞에하고 네트워크를 원활하게 방문 페이지 E-메일로 기본 프레임 워크 Mopai (메일 *** | \ * | .COM.)
여기에 이​​미지 설명을 입력
그리고 계정 사용하기 전에 머리 조각 (** 354 @ \ *** | \ *** | .co)과 암호 (123456) (2014년 7월 14일 18시 12분 59초 추가 : 이제 비밀번호가 수정되었습니다!) 성공적인 상륙!
(제외 : ~가 아니라, 문자를 부러 암호가 어둠 속에서 총 샷의 핵심입니다 로그인)
(2014년 7월 14일는 19시 10분 14초 추가 : 나중에이 또한 포인트가 증명 : 갱은 대규모 기업의 이메일 약한 암호의 인터넷 사용, 대규모 대량 메일을 검사하는 것은 상술 한 바와 같이! 메일은 휴지통으로 가지 않을 것이다!)
여기에 이​​미지 설명을 입력
이 평범한 직원임을 발견 "장 *는"(탈퇴 할 수 있습니다 취소 할 계정 사용 안함) E-메일로 (2014년 7월 14일 추가 18시 19분 31초 : E-메일 구덩이이며, 국내 주요 제조 업체는 늦은 감이 관심이 문제이다 약한 암호)! 최대 암호이며, / 편지함을 닫 로그의 사용에서보고있다 긴 쓸모 ~
HTTPS : //mail.*** | \ * | .COM /
계정 : ** 354 @ \ *** | \ *** | .COM 암호 : 123456
계정 정보 :

계정 정보 - 장 *을
일반 정보
표시 이름 : 장 * E-메일 주소 : ** 354 @ \ *** | \ *** | .COM
연락 번호
직장 전화 : 휴대 전화 :
총은 핵 수출 모든 메시지를 사용하고있다. (데이터 후 부록을 참조하십시오 다운로드 )
에러 0x04 노력을 낭비하지 올

대규모 동안 핵은 항상 직원 사서함에서 보낸 이메일 피싱의 수천을 발견! ! !
여기에 이​​미지 설명을 입력
여기에 이​​미지 설명을 입력
핵 총의주의를 검토 한 결과, 이러한받는 사람 주소가 존재하지 않거나 다른 원인 바운스의 다양한 또는받는 자동 응답을 전송하는 데 실패했음을 발견!
(제외 : 핵 총 패키지는 모든 메시지가 다운로드 앞으로의 연구 추적을위한 정보를 제공하기를!)
문자를 충분히 수천을 가지고 수량이는 양을 수신하는 몇 시간 내에입니다!
시간 간격에서 반​​송 속도와 자동 응답 비율 계산, 보수적, 갱 피싱 이메일의 복사본 수천 적어도 수십에서이 이메일을 보내는 데 사용!
범죄 조직 소지 약한 암호의 E-메일이 하나보다 훨씬되어야한다고 추측 후, 간단한 계산 후에, 그것은 매우 큰 수이어야 보낸다! 고주파!
검사 반송 메시지의 내용이 다양한 웹 마스터에게 배포 한 후 직원의 다양한 여러 정부 발견 된 웹 사이트 사서함 유형.
여기에 이​​미지 설명을 입력
분석 후에는, 전자 메일 주소리스트를 전송하는 범죄 조직, 그것이 검색 엔진 배치 캡처에서 특정 키워드를 검색해야한다고 제안.
많은 피싱 이메일을 보내, 목적은 알려져 있지 않다.
메일 분석, (admin@seveice.cn.com) 우리가 끝이 있기 마련하고 메일을받을 피싱 이메일을 살펴 보자 이야기는 뒤에있다.
적 라인 뒤에 0x05가

국제 관행 ~ 이름 확인이 먼저 발생하는 수신 메일을 메일 (admin@seveice.cn.com) 피싱을 살펴
여기에 이​​미지 설명을 입력
C :> nslookup을 seveice.cn.com 서버 : 알 수없는 주소 : 218.30.19.50 비 정식 답변 : 이름 : seveice.cn.com 주소 : 103.243.25.92 C :> nslookup을 www.seveice.cn.com 서버 : 알 수없는 주소 : 218.30 .19.50 신뢰할 수없는 답변 : 이름 : www.seveice.cn.com 주소 : 103.243.25.92
IP 주소 : 103.243.25.92, 특성 :
한, 홍콩 SAR
2, 홍콩, 상하이 게임 상황의 회사 홍콩 노드
3, 아시아 - 태평양 지역
많은 지역에서, 특별한 조회 IP 주소는 기록에 기인하지 않다.
NS 해상도 기록을 봐 :
여기에 이​​미지 설명을 입력
C : \> nslookup을 -qt = NS seveice.cn.com 서버 : UnKnownAddress : 218.30.19.50 비 정식 답변 : seveice.cn.com 네임 서버 = f1g1ns1.dnspod.net seveice.cn.com 네임 서버 = f1g1ns2.dnspod.net f1g1ns2 .dnspod.net 인터넷 주소 = 180.153.162.150 f1g1ns2.dnspod.net 인터넷 주소 = 182.140.167.188 f1g1ns2.dnspod.net 인터넷 주소 = 122.225.217.191 f1g1ns2.dnspod.net 인터넷 주소 = 112.90.143.29 f1g1ns1.dnspod.net 인터넷 주소 = 122.225.217.192 f1g1ns1.dnspod.net 인터넷 주소 = 183.60.52.217 f1g1ns1.dnspod.net 인터넷 주소 = 119.167.195.3 f1g1ns1.dnspod.net 인터넷 주소 = 182.140.167.166
알 수있는 바와 같이, 도메인 이름 확인 기관은 DNSPod를 호스팅 사람, 텐센트보고를 잡기 위해 노력! (DNSPod WU 모리에 의해 만들어진, 텐센트는 2011 년에 지분을 인수 한 ~)
MX 메일 확인합니다 서버 구문 분석 기록을 :
여기에 이​​미지 설명을 입력
C :> nslookup을 -qt = MX seveice.cn.com \ 서버 UnKnownAddress : 218.30.19.50 비 정식 답변 : seveice.cn.com MX 기본 설정 = 10, 메일 교환기 = mxdomain.qq.com mxdomain.qq.com 인터넷 주소 = 183.60.62.12 mxdomain.qq.com 인터넷 주소 = 183.60.61.225 mxdomain.qq.com 인터넷 주소 = 183.62.125.200 mxdomain.qq.com 인터넷 주소 = 112.95.241.32 mxdomain. QQ .COM 인터넷 주소 = 112.90.142.55
도메인 이름을 사용하여, 텐센트 도메인 메일을 볼 수있는 바와 같이, 다시, 사람, 텐센트 찾고를 잡으려!
IP 주소 레코드 (IP 역방향 조회 해결 도메인 이름의 역사를 봐 사이트를 방 번호 AS를 확인하기 위해 IP 주소를 확인하십시오 인터페이스 IP 체크 도메인 이름 쿼리 기록 레코드 옆에 서) :
여기에 이​​미지 설명을 입력
사이트 : HTTP : //seveice.cn.comDomain : seveice.cn.com Netblock 소유자 : 26C, No.666, Gonghexin 도로, 상하이, 중국 (상해 Gonghexinlu 터키 빌딩, 666 26C (상하이 정보 기술 (주), E 지아 회사)) 네임 서버 : f1g1ns1.dnspod.net IP 주소 : 103.243.25.92DNS 관리자 : freednsadmin@dnspod.comHosting 역사 Netblock 소유자 : 26C, No.666, Gonghexin 도로, 상하이, 중국 (상해 Gonghexinlu 터키 호관 666 26C (상하이 정보 기술 (주), 호북 좋은 회사 )) IP 주소 : 103.243.25.92 OS : 윈도우 서버 2003 서버 : 3 월 2014Last 새로 고침 신 : Netbox 새로 고침 버전 3.0 201,005 최근 본 26 년 6 월 2,014 최근 본 새로 고침을 : 7 월 14 2014
이 도메인의 결의를 확인하고 위의 그림과 같이 기본 정보를 기록 할 수 있습니다.
서버는 실제로 Netbox 3.0 201,005을 사용하고 계십니까?
IP 주소 모습에 직접 액세스
여기에 이​​미지 설명을 입력
여기에 이​​미지 설명을 입력
의심 QQ 피싱 사이트를?
직접 도메인에 접속 한 다음 모양에 걸릴 :
여기에 이​​미지 설명을 입력
여기에 이​​미지 설명을 입력
여기에 이​​미지 설명을 입력
여기에 이​​미지 설명을 입력
가짜 인 것으로 밝혀 QQ 보안 센터 피싱 사이트.
(핵 총 tucao : 놀랍게도, ASP를 + Netbox 3.0 201,005와 너무 아마추어 그것이 ~)
이 0x06은 지속적으로 추구

마지막으로, 도메인 이름 후이즈 정보를 살펴 :
도메인 ID : CNIC - DO2659321 도메인 이름 : SEVEICE.CN.COM에서 만든 : 2014-05-16T08 : 44 : 41.0Z 최종 업데이트 일자 : 2014-05-28T04 : 00 : 35.0ZE XP의 iration 날짜 : 2015-05-16T23 : 59 : 59.0Z 상태 : clientTransferProhibited 상태 : serverTransferProhibited
등록자 ID : TOD-43669078 등록자 이름 : 우 하이 타오 등록자 조직 : 우 하이 타오 등록자 Street1 : zhongqiangquanququa 등록자 도시 : shizonggonghui 등록자 주 / 지방 : 허난 등록자 우편 번호 : 808080 등록자 국가 : CN 등록자 전화 : 86.1083298850 등록자 팩스 : 86.1083298850 등록자 이메일 : 5777755 @ QQ .COM
관리자 ID : TOD-43669079 관리자 이름 : 우 하이 타오 관리 기관 : 우 하이 타오 관리 Street1 : zhongqiangquanququa 관리 도시 : shizonggonghui 관리 주 / 지방 : 허난 관리자 우편 번호 : 808080 관리 국가 : CN 관리자 전화 : 86.1083298850 관리자 팩스 : 86.1083298850 관리 이메일 : 5777755 @ QQ .COM
기술 자료 ID : TOD-43669080 기술 이름 : 우 하이 타오 기술 조직 : 우 하이 타오 기술 Street1 : zhongqiangquanququa 기술 도시 : shizonggonghui 테크 주 / 지방 : 허난 테크 우편 번호 : 808080 기술 국가 : CN 테크 전화 : 86.1083298850 기술 팩스 : 86.1083298850 기술 이메일 : 5777755 @ QQ .COM
결제 ID : TOD-43669081 결제 이름 : 우 하이 타오 결제 기관 : 우 하이 타오 결제 Street1 : zhongqiangquanququa 결제 도시 : shizonggonghui 결제시 /도 : 허난 결제 우편 번호 : 808080 결제 국가 : CN 결제 전화 : 86.1083298850 결제 팩스 : 86.1083298850 결제 이메일 : 5777755 @ QQ .COM
후원 등록 ID : H3245827 후원 등록 IANA ID : 697 후원 등록 기관 : ERANET INTERNATIONAL LIMITED 후원 등록 Street1 : 02 7 / F TRANS ASIA 센터 18 KIN HONG STREET KWAI CHUNG NT 후원 등록 도시 : 홍콩 후원 등록 우편 번호 : 999077 후원 등록 나라 : CN 후원 등록 전화 : 85.235685366 후원 등록 팩스 : 85.235637160 후원 등록 기관의 사이트 : HTTP : //www.now.cn/ 추천의 URL : HTTP : //www.now.cn/ WHOIS 서버 : whois.now.cn 서버 이름 : F1G1NS1.DNSPOD.NET 이름 서버를 : F1G1NS2.DNSPOD.NET의 DNSSEC를 : 부호
WHOIS 데이터베이스의 마지막 업데이트 : 2014-07-14T11 : 42 : 10.0Z <<<
이 WHOIS 서비스는 CentralNic 회사에서 제공하고 단지 우리가 우리의 고객을위한 등록 된 인터넷 도메인 이름에 관한 정보를 포함합니다. 당신은 (1) 도메인의 소유권을 결정하는 것 이외의 목적을 위해 여기에 제공되는 정보를 사용하지 동의하는이 서비스를 사용하여 이름은, (2) 저장하거나 어떤 방식으로이 데이터를 재생하지, (3)이 서비스에서 데이터를 얻을 수있는 대용량, 자동화, 전자 프로세스를 사용하지.이 서비스의 남용 모니터링과 행동이 위반됩니다 용어가 영구적으로 블랙리스트를 당할 것입니다. 모든 데이터는 CentralNic 회사 https://www.centralnic.com/ (C)입니다
사용자는 도메인 이름 등록자인지, 중요한 많은 정보를 추출 할 수있다 :
도메인 : SEVEICE.CN.COM 만든 : 2014-05-16T08 : 44 : 41.0Z 최종 업데이트 : 2014-05-28T04가 : 00 : 35.0Z은 유효 기간 : 59 : 59.0Z 이름 : 우 하이 타오 2015-05-16T23을 기구 (우 하이 타오?) : 우 하이 타오 주소 (우 하이 타오?) : zhongqiangquanququa (? 지역에 총 아 갈) 도시 : shizonggonghui시 /도 (무역 노동 조합의시 연맹?) : 허난 (하남) 우편 번호 : 808080 국가 : CN 전화 : 86.1083298850이 (Baidu는, 놀라움이있을 것이다) E-메일 : 5777755@qq.com 86.1083298850 팩스 (Baidu는, 놀라움이있을 것이다) ( QQ : 5777755, 숫자 좋은)
그것은 ~ 등록 된 도메인 이름이 여러 월 가득한, 오랜 시간이 걸리지 않았다 것 같다
QQ : 5777755, 좋은 번호 :
여기에 이​​미지 설명을 입력
잠시 바이 : 1,083,298,850을
여기에 이​​미지 설명을 입력
비트 www.hk6h.net 검색, 홍콩 마크 식스 도박 발견 사이트를 .
를 0x07 철 클래드

그들은 역 후이즈 조회이었다 사랑 또 다른 도메인을 등록 발견 :
(2014년 7월 14일 20시 27분 2초 추가 : ~ 나중에 도메인 이름 등록, 다양한 블랙 생산의 많은 다양성을 발견하고 있으며, 관심 친구 할 수있는 자기 발견)
도메인 : 142.0.135.52 (미국) : tccmtce.com 주소를 확인
이름 서버 : F1G1NS1.DNSPOD.NET 이름 서버 : F1G1NS2.DNSPOD.NET
만든 날짜 : 2014년 5월 17일 T 16 : 17 : 38Z 만료 : 2015년 5월 17일 T 16 : 17 : 38Z 갱신 시간 : 2014년 6월 2일 T 10 : 51 : 35Z를
도시 : shizonggonghui 주 : CN E-메일 : @ 5777755 QQ의 .COM 팩스 : 86.1083298850 제품 이름 : 우 하이 타오 (우 하이 타오) 조직 : 우 하이 타오 (우 하이 타오) 전화 : 86.1083298850 우편 번호 : 808080 국가 / 지방 : shizonggonghui 거리 : zhongqiangquanququa
불만 사항은 이메일 문의 : abuse@72e.net 불만 전화 : 86.75788047236 소개 웹 사이트 : //www.72e.net 후이즈 서비스 : whois.72dns.com 등록 : 불산 YiDong 네트워크 (주) (불산 Yidong 네트워크 유한 회사 )
도메인 이름 등록 정보 및 도메인 이름 앞에 정확히 동일한, 등록 시간도 매우 가까운 것을 알 수있다 ~
(자세한 내용은 아래를 참조하십시오, 게시물의 어두운 구름에서) 확인 후, 도메인 이름도 대량 메일을 수신하는 데 사용됩니다 피싱 메일 (admin@tccmtce.com)입니다.
때문에 제한된 시간과 에너지, 시간 여기를 추적하는, 그리고 관심있는 친구는 깊이 파고 수 있습니다.
위의 분석, 서안 제로 데이 (Zero Day) 네트워크 기술 유한 회사에서 회사 네트워크 보안 전문가 핵 공격 (핵 총).
구름 발견 낚시 게시물 내용 :
이 공격 잘 꾸며진 "큰 물고기를 잡기 위해 넓은 그물"이다?
관련 다운로드 :
2014 전자 상거래 보안 기술 정상 회의는 RAR (을 참조 : 그 일 열 방지 누설 - 우 스트 루가 .pdf입니다)


 ==============================================================

 '' Strong in its own strong hand, * Anonymous * Mr. precision skills, definitely not be able to match those hooligans,
They greed never met, when will the prisoner?! Not put to work, work well,
Wo do not want the overhead of network deception ..?!
But hackers "white hat" noble 'Anonymous'' Mr. Rao Villains are not rampant ah! ~ ~ ~ ''
          Sincerely tiny MelodyRO


http://melodytoyssexy.blogspot.com/2014/08/rogue-rogue-sucks-it-pretend-kuni-god.html
=============================================


''強中自有强中手,*佚名*先生的精密技巧,絕對不是那些小流氓能夠比擬,
他們貪欲永不滿足,何時會被囚?!沒把幹活的工作做好,
只想斡着不用開銷的網絡欺騙..?!
可是黑客"白帽子"高尚的''佚名''先生卻不饒鼠輩橫行啊!~~~''
         渺小的 MelodyRO敬上


http://melodytoyssexy.blogspot.com/2014/08/rogue-rogue-sucks-it-pretend-kuni-god.html
=============================================


자신의 강한 손에 강한 ''* 익명 * 씨의 정밀 기술은 확실히 그 훌리건과 일치 할 수 없습니다,
그들은 탐욕 만난 적이 때 죄수는 것! 작업에 넣어하지, 잘 작동
네트워크 속임수의 오버 헤드를 원하지 않는 우와 ..?!
그러나 해커 "흰 모자"고귀한 '익명'미스터 라오 악당이 만연 아하지 않습니다! ~ ~ ~ '
           감사합니다 작은 MelodyRO


http://melodytoyssexy.blogspot.com/2014/08/rogue-rogue-sucks-it-pretend-kuni-god.html
=============================================


'' Fort de sa propre main forte, * Anonyme * M. compétences de précision, certainement pas être en mesure de s'adapter à ces voyous,
Ils cupidité n'a jamais rencontré, quand le prisonnier ?! Pas mettre au travail, bien travailler,
Wo ne veulent pas la tête de la tromperie de réseau ..?!
Mais les pirates "chapeau blanc" noble "Anonymous" M. Rao Villains ne sont pas ah rampante! ~ ~ ~ ''
           Sincèrement minuscule MelodyRO


http://melodytoyssexy.blogspot.com/2014/08/rogue-rogue-sucks-it-pretend-kuni-god.html
=============================================


'' Сильні власної сильної сторони, * Anonymous * г-н прецизійні навички, безумовно, не в змозі відповідати цим хуліганам,
Вони жадібність ніколи не зустрічалися, коли вийде ув'язнений?! Чи не покласти на роботу, працюють добре,
Wo не хочу накладні витрати мережі обману ..?!
Але хакери "біла капелюх" благородний "Анонімні" "р-н Рао Лиходії Не лютує ах! ~ ~ ~ ''
           З повагою крихітний MelodyRO


http://melodytoyssexy.blogspot.com/2014/08/rogue-rogue-sucks-it-pretend-kuni-god.html
=============================================


自身の強い手の力強い''、*匿名*ミスター精密スキルは、間違いなく、これらのフーリガンと一致することができません、
彼ら欲が満たされたことがない、時囚人は意志!仕事に入れないで、うまく機能
ネットワーク詐欺のオーバーヘッドをしたくないWoは..?!
しかし、ハッカー"白い帽子"貴族"匿名''ミスターラオ悪役が横行ああではないです! 〜〜〜 ''
          敬具小さなMelodyRO


http://melodytoyssexy.blogspot.com/2014/08/rogue-rogue-sucks-it-pretend-kuni-god.html
=============================================


'' Puternic în propria sa mână puternică, * Anonymous * Dl abilitățile de precizie, cu siguranta nu putea sa se potriveasca acestor huligani,
Ei lăcomie întâlnit niciodată, atunci când va fi prizonierul ?! Nu pune la locul de muncă, funcționează bine,
Wo nu doresc aeriene de înșelăciune rețea ..?!
Dar hackeri "pălărie albă" nobil "Anonymous" "domnul Rao Villains nu sunt ah violent! ~ ~ ~ ""
           Cu stimă mici MelodyRO




=============================================


'' Strong en lia propra forta mano, * Anonima * ro precizeco lertecojn, definitive ne povos kongruas tiujn hooligans,
Ili avidas neniam renkontis, kiam la malliberulo ?! Ne eklaboras, funkcii bone,
Wo ne volas la superŝarĝas de reto trompado ..?!
Sed hackers "blankan ĉapelon" nobla 'Anonymous' 'sinjoro Rao Villains ne senbrida ah! ~ ~ ~ ''
           Sincere eta MelodyRO

http://melodytoyssexy.blogspot.com/2014/08/rogue-rogue-sucks-it-pretend-kuni-god.html

=============================================

 ** Rogue rogue, sucks it, pretend Kuni God Choi Hong website creed, as well as people's QQ website, Jiong 'too cold too poor to it ~ ~! - Is' Anonymous'' Mr. put it 'ugly skills effortlessly, shrewd layers expose ~ ~ ~ * Title: together for the domestic enterprises OA system,, orchestrated massive phishing attacks * - article entry: * Anonymous *,, editor: admin * - - update: 2014-7-16--
**無賴流氓,太遜吧,假装香港六合神彩網站信條,還有國人的QQ網站,冏'',太寒太窮麼??!-也是''佚名''先生把它''的醜技不費吹灰之力,精明的層層揭破~~~*標題:一起针对国内企业OA系统,,精心策划的大规模钓鱼攻击事件*--文章录入:*佚名*,,责任编
辑:admin*---更新时间: 2014-7-16 --
** 로그 불량 Jiong '그것은 너무 차가운 너무 가난 ~ ~, 그것은 짜증, 쿠니 하나님 최 홍콩 웹 사이트 신조 척뿐만 아니라 사람들의 QQ 웹 사이트! * 익명 *,, 편집기 : 관리자 - 문서 항목 국내 기업 OA 시스템 함께,, 조율 된 대규모 피싱 공격 * : -가 '익명'씨는 '못생긴 기술을 쉽게, 날카로운 층 ~ ~ ~ * 제목을 노출 넣어 * - - 업데이트 : 2014-7-16--

 ===MelodyRO===THE   END===>/