案例内容
【案情简介】
2017年年底,某州市区一家公司的网站被恶意攻击,警方在梳理该案电子勘验数据时,发现了一个隐匿在背后的黑客徐某,是一个黑客QQ群的群主,其在黑客圈非常活跃,涉嫌犯罪。侦查发现,徐某通过网络认识了各类不法分子,并形成了黑产圈子,其本人发挥核心连接作用。通过黑产圈子,徐某获取了黑客软件,通过这些软件工具对他人电脑实施控制,进而进行数字货币挖矿、发动DDOS攻击、盗取电脑资料等多种犯罪行为,从中非法牟利。已查明,这一团伙共租赁20余台服务器远程控制了5000余台“肉鸡”,非法挖矿1000余枚数字货币。警方没有停止侦查脚步,追挖源头不放弃。经过深入调查,发现了提供上述黑客软件工具的源头阳某、吕某等十余人,以及架设黑客攻击网站与代理黑客攻击网站的刘某等人。至此,整个网络犯罪黑色产业链浮出水面。4月,网安部门组织警力在8省13市实施集中抓捕行动,抓获犯罪嫌疑人12人,扣押涉案电脑15台、手机17部,查获涉案服务器20余台,缴获数字货币1000余枚,成功破获一黑客攻击破坏案,并追踪其下游犯罪,从而对该黑色产业链实施了全链条打击。该案被公安部列为“净网2018”专项行动第一批快侦快破的部督案件。
【鉴定过程】
依据GA/T 976-2012《电子数据法庭科学鉴定通用方法》、GA/T 828-2009《电子物证软件功能检验技术规范》,使用电子物证工作站、vmware workstation 14 Pro对检材进行检验。 1.配置鉴定环境 启动杀毒软件对电子物证工作站系统进行杀毒,确保工作站系统安全。 打开环境模拟软件“vmware workstation 14 Pro”,分别创建操作系统为“Windows Server 2003 Enterprise Edition”、“Windows Server 2003 Enterprise Edition(克隆)”、“Windows 7X64”的虚拟机。 2.安装软件 进入虚拟机系统“Windows Server 2003 Enterprise Edition”,检查系统环境、网络环境,确保系统的安全性。 送检的检材文件“大灰狼后台管理”格式为zip,大小1.93MB,计算文件的SHA256值为“049b58690d69102c7c831951b89003928f4593e7015aa1cf10308cef8aff9d98”。将其复制至虚拟机系统“Windows Server 2003 Enterprise Edition”中,计算该文件的SHA256值为“049b58690d69102c7c831951b89003928f4593e7015aa1cf10308cef8aff9d98”,与送检的文件SHA256值一致。将文件解压后获得程序目录。 查看虚拟机系统“Windows Server 2003 Enterprise Edition”的IP地址为“192.168.245.134”。运行程序“大灰狼后台管理.exe”,界面显示服务器未连接,将“连接地址”一栏内容修改为本地ip地址“http://192.168.245.134/”后点击服务器连接选项。服务器连接成功后,界面显示账户有25个,在线0个。发现有账户、密码等详细账户信息。 进入虚拟机系统“Windows Server 2003 Enterprise Edition(克隆)”,检查系统环境、网络环境,确保系统的安全性。 送检的检材文件“大灰狼远程管理8.62(127.172.137.36)”格式为zip,大小7.23MB,计算文件的SHA256值为“d77cbac44edbb27c5a39c26416a9bb68325fd7ae7cdd4f7034bca54a3a60ddd6”。将其复制至虚拟机系统“Windows Server 2003 Enterprise Edition(克隆)”中,计算该文件的SHA256值为“d77cbac44edbb27c5a39c26416a9bb68325fd7ae7cdd4f7034bca54a3a60ddd6”,与送检的文件SHA256值一致。将文件解压后获得程序目录。 在虚拟机系统“Windows Server 2003 Enterprise Edition”中打开程序“大灰狼后台管理.exe”,点击选项“数据加密”,将“主控件地址”一栏内容修改为“http://192.168.245.134/1.jpg”、将“(普通)DAT地址”一栏内容修改为“http://192.168.245.134/DHLDAT.dat”、将“(VIP)DAT地址”一栏内容修改为“http://192.168.245.134/DHLDAT.dat”、将“DAT控件地址”一栏内容修改为“http://192.168.245.134/4.dll”,在“原始数据”一栏输入“http://192.168.245.134”后点击选项“数据加密”获得“加密数据”为“qbELV2Co4rjJCctfZ2EutXlBQ7mqmeq==”。 在虚拟机系统“Windows Server 2003 Enterprise Edition(克隆)”中运行程序“大灰狼远程管理.exe”,弹出登录界面,在“服务器地址”一栏输入“加密数据”(qbELV2Co4rjJCctfZ2EutXlBQ7mqmeq==),根据登录用户账户名“Mask”,输入密码“4546289870.0”后点击登录。 登录成功后点击选项“服务生成”,根据查询虚拟机系统“Windows Server 2003 Enterprise Edition(克隆)”的IP地址为“192.168.245.128”,将“域名IP(1)”一栏内容修改为“192.168.245.128”后点击选项“测试”,提示成功后点击选项“自定义控件地址”,将“控件地址”一栏内容修改为“http://192.168.245.134/4.dll”后点击选项“测试”,提示测试成功后点击选项“绿色安装”,点击选项“生成”。此时弹出界面“另存为”,将名为“SB360”的保存至桌面。最小化程序后发现桌面有文件“SB360.exe”,计算该文件SHA256值为“da0d1df01158a5c72ee384a52016b919614c8144937af28951c20f89c3df3036”。 将生成的运行程序“SB360.exe”复制至虚拟机系统“Windows Server 2003 Enterprise Edition”中并计算该文件的SHA256值为“da0d1df01158a5c72ee384a52016b919614c8144937af28951c20f89c3df3036”,与生成的文件SHA256值一致。运行该程序,此时在虚拟机系统“Windows Server 2003 Enterprise Edition(克隆)”的程序“大灰狼远程管理.exe”中显示“主机上线:[192.168.245.134]→分组:[Win2003]→区域:[局域网 对方和您在同一内部网]”。 3.检验软件功能 在虚拟机系统“Windows Server 2003 Enterprise Edition(克隆)”中打开程序“大灰狼远程管理.exe”,右键后点击选项“主机操作”中的“屏幕控制”,此时跳出名为“\192.168.245.134 -远程桌面(分辨率:1492X928→第 帧)[右键控制]”的系统界面,与虚拟机系统“Windows Server 2003 Enterprise Edition”中的实时界面进行比对,显示内容一致。 在虚拟机系统“Windows Server 2003 Enterprise Edition(克隆)”中打开程序“大灰狼远程管理.exe”,右键后点击选项“主机操作”中的“键盘记录”,此时跳出名为“\192.168.245.134-键盘记录(离线记录已开启)”的界面,无内容显示;进入虚拟机系统“Windows Server 2003 Enterprise Edition”中新建文本文档,在文档中输入“abcdefg ok”后并保存。进入虚拟机系统“Windows Server 2003 Enterprise Edition(克隆)”,发现“\192.168.245.134-键盘记录(离线记录已开启)”的界面内容显示为:[窗口:]新建 文本文档.txt-记事本、[时间:]2014-7-12 16:22:46、[内容:]abcdefg[Enter]123[Backspace][Backspace][Backspace]ok。 在虚拟机系统“Windows Server 2003 Enterprise Edition(克隆)”中打开程序“大灰狼远程管理.exe”,右键后点击选项“主机操作”中的“远程交谈”,此时跳出名为“\192.168.245.134-远程交谈(正在交谈中)”的界面;在该界面的输入框中输入“hello”后点击发送;进入虚拟机系统“Windows7 x64”中发现跳出名为“Remote Text Chat”的界面,内容显示为“==>>Message received:(2014-07-12 16:23:35)hello”,在输入框中输入“??”点击发送。发现在“\192.168.245.134-远程交谈(正在交谈中)”的界面中聊天记录内容显示为“<<==发送消息(SendOut):(2014-07-12 16:24:05) hello”、“==>>接收消息 Received:(2014-07-12 16:24:11) ??”。 在虚拟机系统“Windows Server 2003 Enterprise Edition(克隆)”中打开程序“大灰狼远程管理.exe”,右键后点击选项“主机操作”中的“文件管理”,此时跳出名为“\192.168.245.134-文件管理”的界面;点击查看目录“C:”下的文件,与虚拟机系统“Windows Server 2003 Enterprise Edition”中“本地磁盘(C:)”下的文件进行比对,发现文件一致。 在虚拟机系统“Windows Server 2003 Enterprise Edition(克隆)”中打开程序“大灰狼远程管理.exe”,右键后点击选项“主机操作”中的“CMD终端”,此时跳出名为“\192.168.245.134-远程终端”的界面;输入指令“ipconfig”,IP地址为“192.168.16.134”。 在虚拟机系统“Windows Server 2003 Enterprise Edition(克隆)”中打开程序“大灰狼远程管理.exe”,右键后点击选项“消息发送”,此时跳出名为“消息发送”的界面;在该界面中的“图标”一栏选择“红色交叉”图样、“按钮”一栏选择“确定|取消”、“标题”一栏输入“嘿!你好!”、“内容”一栏输入“你的电脑已经被我锁定不要反抗,否则电脑立即损坏!”,点击发送。进入虚拟机系统“Windows Server 2003 Enterprise Edition”中,发现跳出“嘿!你好!”框界面,内容显示为“你的电脑已经被我锁定不要反抗,否则电脑立即损坏!”。 在虚拟机系统“Windows Server 2003 Enterprise Edition(克隆)”中打开程序“大灰狼远程管理.exe”,右键后点击选项“打开网页”中的“显示打开网页”,此时跳出名为“\192.168.245.134-打开网址”的界面;在该界面中的“请输入要(显示)访问的网址:”一栏中输入“http://www.baidu.com”后点击确定。进入虚拟机系统“Windows Server 2003 Enterprise Edition”中,发现跳出软件“Windows Internet Explorer”的界面框,内容显示正在连接“http://www.baidu.com”。 在虚拟机系统“Windows Server 2003 Enterprise Edition(克隆)”中打开程序“大灰狼远程管理.exe”,右键后点击选项“会话管理”中的“注销”。进入虚拟机系统“Windows Server 2003 Enterprise Edition”中,发现该系统显示注销界面。 进入虚拟机系统“Windows 7X64”,检查系统环境、网络环境,确保系统的安全性。查询虚拟机系统“Windows 7X64”的IP地址为“192.168.245.131”并查看“Windows任务管理器”中的“性能”。进入虚拟机系统“Windows Server 2003 Enterprise Edition(克隆)”中打开程序“大灰狼远程管理.exe”,点击选项“DDOS攻击”,在弹出的“DDOS攻击”界面中将“目标”一栏内容修改为“192.168.245.131”,“模式”一栏选择选项“[01]SYN Flood”后点击添加任务。进入虚拟机系统“Windows 7X64”,再次查看“Windows任务管理器”中的“性能”,与攻击前作比对。 4.提取数据库信息 打开“大灰狼后台管理”软件目录下“Registerfile”文件夹,将“mdb.asp”文件后缀修改为“.mdb”,使用“Microsoft Access 2007”打开该文件,将表文件另存为“reguser.xlsx”,SHA256值为“763948449d13273a2a9cb075b0db25379b7e7efda58e80121c74f7580a9f3ab4”。 5.将送检的检材文件和导出的“reguser.xlsx”打包压缩至文件“DZ18086JC01.rar”,并以封盘形式刻录至专用的数据光盘中,光盘编号为“浙千司鉴中心[2018]电鉴字第86号-GP”。光盘内文件SHA256值为“0a4e58616720d49fdb9b7b45ea45d660b20a75313d3faf6eda4e16fcb0a37a28”。
【分析说明】
经上述检验发现,“大灰狼远程管理”软件需连接服务器端的“大灰狼后台管理”软件,并根据服务器端的账号、密码进行登录。登录后生成“SB360.exe”程序,在目标主机运行该软件生成的““SB360.exe”程序后,“大灰狼远程管理”软件可对目标主机进行以下操作: 1.在使用“屏幕控制”功能时,程序“大灰狼远程管理.exe”中显示的系统界面与虚拟机系统“Windows Server 2003 Enterprise Edition”中的界面一致。 2.在使用“键盘记录”功能时,程序“大灰狼远程管理.exe”能记录在虚拟机系统“Windows Server 2003 Enterprise Edition”中使用键盘的操作。 3.在使用“远程交谈”功能时,程序“1ndy V1.0.exe”能与虚拟机系统“Windows Server 2003 Enterprise Edition实现聊天功能。 4.在使用“文件管理”功能时,程序“大灰狼远程管理.exe”能查看在虚拟机系统“Windows Server 2003 Enterprise Edition”中“本地磁盘(C:)”的所有文件。 5.在使用“CMD终端”功能时,程序“大灰狼远程管理.exe”能查看在虚拟机系统“Windows Server 2003 Enterprise Edition”的IP地址信息。 6.在使用“消息发送”功能时,程序“大灰狼远程管理.exe”能向虚拟机系统“Windows Server 2003 Enterprise Edition”发送消息弹窗。 7.在使用“打开网页”中的“显示打开网页”功能时,程序“大灰狼远程管理.exe”能使虚拟机系统“Windows Server 2003 Enterprise Edition”访问指定的网址。 8.在使用“会话管理”中的“注销”功能时,程序“大灰狼远程管理.exe”能使虚拟机系统“Windows Server 2003 Enterprise Edition”进入注销界面。 9.在使用“DDOS攻击”功能时,程序“大灰狼远程管理.exe”能使虚拟机系统“Windows7 x64”受到攻击。 综上所述,送检的程序“大灰狼远程管理8.62”软件在与服务器端的“大灰狼后台管理”程序连接后,输入服务器端的账号、密码可成功登录;登录后“大灰狼远程管理.exe”生成 “SB360.exe”程序并在目标主机运行“SB360.exe”程序,即可对目标主机远程实现“屏幕控制”、“键盘记录”、“远程交谈”、“文件管理”、“CMD终端”、“消息发送”、“显示打开网页”、“注销”、“注销”功能。
【鉴定意见】
1.程序“大灰狼远程管理8.62”软件在与服务器端的“大灰狼后台管理”程序连接后,输入服务器端的账号、密码可成功登录;登录后“大灰狼远程管理.exe”生成 “SB360.exe”程序并在目标主机运行“SB360.exe”程序,即可对目标主机远程实现“屏幕控制”、“键盘记录”、“远程交谈”、“文件管理”、“CMD终端”、“消息发送”、“显示打开网页”、“注销”、“注销”功能。 2.将“大灰狼后台管理”软件中的数据库导出,可导出文件名“reguser.xlsx”,SHA256为“763948449d13273a2a9cb075b0db25379b7e7efda58e80121c74f7580a9f3ab4”。
