重磅：「黑進」黑產人員電腦，大佬挖出直播行業洗號產業鏈

本文將揭露地下黑產中最常見的掃號產業鏈，包括從賬號收集、代理抓取、掃號、洗號、變現的完整過程。本次主要講述針對YY直播的掃號產業鏈

1

大佬蜜罐中

偶然發現黑產「掃號」

大佬近日在蜜罐中發現了一個特別的騰訊雲的ip，這個ip通過大佬蜜罐的匿名代理埠對幾個特定的ip頻繁發包，但是數據包內容看著並無異常，就是些常規tcp鏈接。在這個ip的80埠部著一個hfs，奇怪的是它這個hfs中存的不是木馬遠控樣本，也不是挖礦樣本，而是一堆ip和埠組合：

這些勾起了大佬的好奇心。正好黑產人員的hfs是有漏洞的版本，於是就有了下面漫長的文章。

2

施展「中老年上網衝浪技術」

大佬控制黑產人員電腦

利用hfs的代碼執行直接打下黑產人員的vps，直接去到管理員桌面，第一眼看著機器似乎一切正常：

打開前面名字為「保存數據xxx」的文件夾，呈現在面前是大量的已經分好類型的賬號和密碼文件。

根據分類名，猜測這些應該都是YY直播的賬號密碼。

於是為了驗證這些賬戶的真實性，大佬嘗試登陸了幾個賬號。成功率幾乎百分之百。 如下圖:

這些分類文件裡面的賬號，都是能登陸的，而且有些賬號裡面的還剩餘有Y幣或者鑽等。粗略的計算了下，就在這一個文件夾中的賬密就有15000多條。然後在機器上發現了好幾款YY直播的掃號器。

嘗試運行其中的一款掃號工具，導入黑產人員vps已經掃出來的賬號，發現全部等能登錄， 這個掃號工具效率還是極其高的。

有意思的是，從數據包來看，這些掃號軟體並不是直接通過web的介面來進行掃號的，從黑產人員的文件命名來看他們的掃號都是通過YY直播客戶端的通信協議來完成的，猜測這樣做的目的是增加掃號的速度，因為初步來看給予YY直播協議的登陸是直接通過tcp協議完成的。不用再走一層http

在同目錄發現了config配置文件，這個文件配置的就是前面黑產人員的hfs地址，這就解開了之前的疑問，其實他hfs裡面的ip列表都是他收集的一些免費的匿名代理ip，用來批量導入掃號軟體中軟體開始掃號。

3

意外收穫

在這位黑產人員的vps上面發現了「百度雲盤的軟體」，打開他的百度雲軟體，他居然記住了密碼，大佬也就順著這條路深挖了一下。

初步懷疑這些賬號密碼是之前YY泄露過的一部分

這些賬密都是十分整齊的排列，隨機挑選其中的賬號也是有能夠登陸的，這些應該就是掃號的的基礎數據來源了。後來也證實了這的確是是之前YY泄漏的老數據（這部分後面會寫）

到此已經找到這個黑產人員的掃號的數據源、掃號工具、掃號方式。

但是，大佬依然對他這380萬的賬號來源和他後續這些賬號怎麼變現非常感興趣，於是就有了後續一系列的操作。

4

輕鬆的溯源

為了了解整個黑色產業鏈，大佬決定加黑產人員的qq。當然，在加他之前，已對他進行了深入了解。前面說這個黑產人員確實大意了，在他的vps百度雲是記住密碼的，於是乎大佬的溯源就容易多了。

最後在他的自己的定點陣圖發現了他讀的學校，濰坊某某學院。

發現了他的兩個qq號，分別是281********、3338******* 然後通過他的從百度雲賬號，大佬能夠輔助的判斷他最常用的qq大號，就是這個2開頭的qq號。這位黑產人員自己還成立一個叫「涼心科技的」公司（然而經過查詢並沒有註冊在案）還在做免流的生意。

信息匯總後，總結如下：

5

洗號變現

後來成功加了黑產人員微信，從他這裡也了解到YY直播怎麼洗號變現的，他其實並不是整個鏈條的最後一環節，他只是其中一環，他只把掃出來的賬號，賣給下家，自己就不管了。行情大概是100元1萬個普通的yy賬號。

而那些沒有錢的YY賬號，這些人就會用批量挂號軟體，批量進入主播瀕道，為主播增加觀看人數從而達到刷人氣的目的。（有些主播可能是洗號的人自己開的，也可能是和一些主播合作然後分成）

通過這位黑產人員介紹，找到了洗號的下家，有序是熟人介紹，這個人對大佬很是信任，從他那裡也證實了這位黑產人員之前說的，大佬說自己有大量的YY賬號找他合作。

黑產人員直接仍給大佬一個批量刷禮物的軟體，說是測試版本，以證明他的實力。

6

大佬總結

1、人在做天在看，幹壞事總會留下痕迹的，當然這肯定只是掃號產業中很小的一部分；

2、掃號這種產業一直都是伴隨著整個互聯網的，針對這些掃號的黑客，企業的風控壓力確實不小，要和這些黑產對抗，企業的要走的路還很長；

3、順帶說一句現在各大的雲計算平台真的是成了各種黑客的保護地，上面什麼樣的黑產都有，也許要打擊這些黑產，這些雲平台也許應該負點責任了。

素材來源：360雲影實驗室

如何避免數字貨幣平台被攻擊，極驗已有成熟解決方案

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！