网站研判
在网络犯罪活动中,犯罪分子常常利用各类网站作为实施犯罪行为的工具或平台。在案件侦查中,如何有效地分析涉案网站、提取关键证据,进而锁定潜在犯罪嫌疑人,是取得重大突破的关键。
大狗涉网线索分析平台(以下简称“大狗平台”)凭借庞大的反网络犯罪知识图谱,提供网站涉诈类型识别、SDK解析、涉案信息关联、扩线排查等功能,让网站研判更加高效。
1. 提交研判
- 如果分析少量网站,请通过大狗平台-线索研判-快捷研判分析
- 如果分析大量网站,请通过大狗平台-线索研判-批量上传分析
如果涉案网站仍然在运行,我们将获得一份相对完整的网站专业分析报告。接下来我们逐步讲解网站专业报告应该如何研判。
- 为了最大程度地获取更多信息,建议在案发后及时上传网站进行分析。
- 如果网站已关闭,信息将受限。可以根据现有信息进行分析,或使用研判图谱寻找关联线索(这部分内容将在后续的进阶篇中分享)。
2. 网站专业报告的研判方法
对于网站专业报告,我们需要特别关注四类信息:基础信息、SDK信息、涉案信息以及调证线索。
2.1. 基础信息
基础信息包含三个维度:网站部署信息、注册信息、备案信息。
2.1.1. 检查服务器部署是否在境内
检查分析报告【网站信息】中的【IP-ASN】是否为境内,如果在境内,可以根据该ASN内容找到对应的公司,然后拿IP进行调证(图1)。
2.1.2. 查看域名注册信息(WHOIS)中是否有可调证线索
WHOIS查询可以提供域名的注册信息,包括注册人、注册机构、注册时间、注册到期时间、注册联系信息等。
2.1.3. 检查域名备案和工商信息是否有进一步侦查必要
由于在国内经营的网站都要求在工信部进行备案,部分涉案网站为了增强器欺骗性,或是为了绕开国内网络对未备案网站的封禁措施,会在对其网站进行备案以方便运维管理。
这类已备案的网站常见于两种情况:
-
在国内运营的经济类涉案网站,为了增强其可信性以自身公司信息进行备案;
-
一些明显的涉案网站如诈骗或色情网站,也会使用已有的备案来进行伪装,这类备案网站通常是通过黑灰产渠道购买或抢注已备案域名的方式获得,未使用其真实信息进行备案。
第一种情况,网站的备案信息有直接的侦查意义。第二种情况,只有通过备案域名销售的供应链一侧进行侦查,明确销售备案域名的人员。 -
如果备案时间在域名注册时间后,更新时间前,那么说明该域名注册人可能是自行购买域名并进行备案,此类线索重要性高。
-
如果备案时间在域名注册时间前,那么说明该域名注册人购买的是已备案域名,此时顺着备案、工商信息进行调查取证可能会偏离当前诈骗案件。
-
如果备案时间在域名更新时间后,那么说明该域名注册人可能购买的是专门提供备案服务的域名,调证时注意同时获取该域名交易前后人员的信息,交易前是提供非法域名买卖的,交易后的人是专门买来做诈骗的。
工商信息
在诈骗网站中,备案公司大多为空壳公司,空壳公司会呈现出以下特征:
- 注册资本和实缴资本通常不大,实缴资本为0;参保人数为0;
- 成立时间较短,还没有长期发展;
- 注册地址不是办公园区,疑似居民小区或其他非商业地点;
引用
可再进一步利用其他工商信息平台,查询该公司的股东信息、经营信息等维度评估: - 股东只有一人,虽然为有限责任公司但是由个人全资控股;
- 除了网站备案以外,没有其他经营信息如商标、软著、专利、招投标、招聘、新闻舆情等内容。
引用
综合以上信息,可考虑是否对该公司的法定代表人和注册人进一步侦查。
2.2. SDK信息
各类网站为了快速实现网站中的通用功能,会在网站中引入诸如客服、站点统计、云服务等类型的SDK。只要属于国内的SDK提供商,几乎都可以通过数据调证的方式,获取引用该SDK的开发者账户的注册和订单信息,从而引导进一步的研判。
要分析网站中是否存在SDK,有两个主要方法:源码分析和网络请求分析。大狗平台的网站研判会对网站中的SDK进行自动提取和分析,列举所有已知的SDK信息,并提供对应可用于调证的关键ID
2.3. 涉案信息
如果当前网站存在已知漏洞,平台会自动尝试反制,获取网站后台管理员登录IP,通过分析登录IP地址,可以追踪嫌疑人的地理位置,进一步结合其他数据,如网络活动模式、设备信息等,有助于确认嫌疑人的身份。相关信息可在网站报告【涉案信息】中查看(图6)。
同时,也可以关注网站报告【反制信息】中的【专家服务】图标是否亮起,当您提交至大狗平台的涉案网站与无糖信息多年积累的“专家服务经验”高度匹配时,系统将点亮该线索的“专家服务”图标(图7)。表明该线索具有极高成功概率获取后台数据,如有需要,可以联系人工客服咨询专家团队提供的专案人工研判服务。
2.4. 调证线索
网站专业报告中【调证线索】信息栏会自动归集该网站中发现的可用于调证的线索内容,包含SDK、备案主体、云服务器信息等维度(图8)。这类线索可根据实际的调证难度和关联度进行调证,发现深入的侦查线索。
3. “失活网站”的研判思路
首先,需要弄清楚这个网站之前是干什么的,有哪些功能。针对不同功能的涉诈网站,侦查侧重点会有不同(如图1)
3.1. 对失活网站同源信息进行研判
网站来源信息包含部署信息(服务器、IP地址等)、域名注册信息(注册人、注册邮箱等)、备案信息等(备案号、备案主体等)我们可以针对这些信息进行直接调证,或者关联出相同来源的其它网站进行研判,挖掘背后的犯罪团伙。
3.2. 对失活网站程序模板进行扩线研判
除了网站的来源信息,我们还可以根据网站使用的程序模板特征线索( 页面sha256 、页面hash 、网站标题、网站SDK等)进行扩线分析,找同团伙样本网站中的存活网站和有效线索。
4. 失活网站具体研判方法
4.1. 同源信息-WHOIS信息研判
WHOIS查询可以提供域名的注册信息,包括注册人、注册机构、注册时间、注册到期时间、注册联系信息等。根据WHOIS信息解析出域名注册人、注册邮箱信息后可以使用研判图谱(入口见图2)查找同注册人/注册邮箱的其它域名注册网站进行拓扑分析,挖掘线索网站(图3)。
4.2. 同源信息-备案信息研判
部分涉案网站为了增强器欺骗性,或是为了绕开国内网络对未备案网站的封禁措施,会在对其网站进行备案以方便运维管理。备案信息相同的网站,有极大可能性背后是由同一犯罪团伙运营。我们可以根据已失活网站的备案号、备案主体等信息,使用研判图谱关联出该团伙的其他可能存活或者有可调证线索的网站(如图4)。
4.3. 同源信息-网站IP研判
网站当前已经不可访问时,可通过DNS记录找到历史绑定的IP地址。解析出网站IP后,如果IP-ASN位于境外,直接调正难度较大。我们可以根据研判图谱对同IP的其他网站进行研判,进一步查找线索
4.4. 同源信息-其它同源信息研判
还可以利用同网站命名规则、同C段服务器网站、以及同网站标题等特征来扩大同源网站的关联范围,为案件调查提供更多线索的可能性。
以网站命名规则为例:
- 同团伙样本中的域名有时候会包含某些规律。比如 6573675.cc、2762872.cc、1827542.cc 这几个域名我们可以发现它们都是由7位数字加上顶级域名".cc"构成。
- 根据这一命名规则,我们可以利用脚本或域名生成工具,随机生成大量符合规则的同类型网站(建议大于1万条)。
- 然后,利用大狗平台的网站批量研判功能,对它们进行自动化分析,筛选出潜在的线索网站。
需要强调的是,根据这些同源信息关联到的相似网站,指向同一犯罪团伙的可能性相对于网站部署、备案、IP等信息要低一些。因此,在筛选线索网站时,还需要综合考虑网站内容、域名注册时间等信息初步判断是否属于同一犯罪团伙。
4.5. 同程序模板-页面sha256扩线研判
页面的sha256是一种哈希算法,用于将页面的原始数据(如HTML、CSS、JavaScript等)转换成固定长度的字符串,即哈希值。通常,页面sha256被用来验证整个页面内容的完整性,以确保在传输过程中页面没有遭到篡改。
由于每个页面的sha256值是唯一的,如果两个页面sha256相同,那说明页面源码内容完全一致。因此,在涉网线索分析中,可以利用页面的sha256值来查找相似样本,从而发现同一犯罪团伙中其他样本网站(如图6)。
4.6. 同程序模板-页面hash扩线研判
页面hash是页面源码DOM树的hash值,可以理解为源代码的结构内容。如果两个网站的页面hash一致说明这两个网站的页面源代码结构相同。同页面sha256与同页面hash的区别在于,前者表示内容完全一致,后者表示结构相同。因此,我们也可以利用页面hash值来查找相似样本,进行扩线研判(如图7)。
4.7. 同程序模板-网站SDK扩线研判
为了快速实现网站的通用功能,各类网站会引入各种SDK,如客服、站点统计、云服务等。国内的SDK提供商可以通过数据调证的方法获取引用该SDK的开发者的注册和订单信息,从而引导进一步的研判。
为了实现个性化服务、数据分析和广告定向等功能,SDK提供商通常会为不同的用户创建一个唯一的标识(User ID或Tracking ID)。例如:使用对象存储类SDK需要Access Key和Secret Key进行身份验证,使用开发工具类SDK则常需要绑定用户的账号信息作为用户身份的唯一标识。
这些唯一用户标识在数据调证中扮演重要角色,不仅可以作为直接调证的关键ID,还能通过研判图谱识别出关联的同团伙样本,在目标网站失活时进行扩线分析,有效提升研判效果(如图8)。