介绍：

本文将揭秘地下行业最常见的扫号产业链，包括从收号、代理抓包、扫号、洗号、变现的完整流程。本文主要讲YY直播的扫号产业链

无意中发现账户扫描黑客

近日，在蜜罐中发现了一个特殊的腾讯云IP。 这个IP经常通过我们蜜罐的匿名代理端口向几个特定的​​IP发送数据包。 不过，数据包的内容看起来并不异常，只是正常的TCP链接。

该IP的80端口上有一个hfs。 奇怪的是，这个hfs中存储的并不是木马远程控制样本，也不是挖矿样本，而是一堆IP和端口组合。

这些都勾起了我们的好奇心。 正好他的hfs是有漏洞的版本，所以他写了下面这篇长文：

控制黑客机器

使用hfs代码执行直接下载黑客的vps并直接进入管理员桌面。 乍一看，机器上一切似乎都很正常。

打开面前名为“Save Data xxx”的文件夹，你会看到大量已分类型的账号和密码文件。

根据类别名称推测，这应该是YY直播的账号密码。

所以为了验证这些账号的真实性，我们尝试登录了几个账号。 成功率几乎是100%。

如下所示：

这些机密文件里的账户都可以登录，有的账户还剩下Y币或者钻石。

粗略计算，这个文件夹里有15000多个账号和密码。

然后我在机器上发现了几个YY真人账户扫描仪。

我用mimikatz抓取了管理员密码并切换到了他的桌面。 帐户扫描程序疯狂运行。

我尝试运行其中一款账户扫描工具，导入他的vps扫描过的账户，发现都可以登录。这个账户扫描工具效率极高。

有趣的是，从数据包来看，这些账户扫描软件并不是直接通过Web界面扫描账户。 从他们的文件命名来看，他们的账号扫描是通过YY直播客户端的通信协议完成的。 ，推测这样做的目的是为了提高账号扫描的速度，因为初步看来给YY直播协议的登录是直接通过tcp协议完成的。 不需要再经过一层http。

我在同一个目录下找到了config配置文件。 该文件配置了之前黑客的hfs地址。 这就解决了之前的疑惑。 事实上，他hfs中的IP列表是他收集的一些免费匿名代理IP。 将号码批量导入扫号软件，开始扫号。

横财

我们在该黑客的vps上发现了“百度云盘软件”。 当他打开百度云软件时，他居然记住了密码，所以我们顺着这条路深入挖掘。

他的百度云账号包含大量的插件、账号数据以及一些账号扫描的源代码。

在文件夹编号400万的文件夹中发现包含超过380万个YY帐号和密码的文件。

初步怀疑这些账户密码是YY此前泄露的账户密码的一部分。

这些账户密码排列得非常整齐，随机选择的账户都可以登录。 这些应该是账号扫描的基本数据源。 后来证实这确实是yy泄露的旧数据（这部分稍后再写）

至此，我们已经找到了黑客的账户扫描数据来源、账户扫描工具以及账户扫描方法。 不过，我们仍然对他的380万个账户的来源以及他后续将如何将这些账户货币化非常感兴趣，因此进行了一系列后续操纵。

轻松追溯

为了了解他们的整个产业链yy刷礼物软件教程，我决定加他的qq。 在加入他之前我们对他进行了深入的了解。 正如前面所说，这个黑客确实粗心。 他在他的vps百度云里记住了密码yy刷礼物软件教程，所以我们追查来源就容易多了。

看到酷炫的OPPO r7s，这明显是他手机上传的。

这就是小黑客的样子。 他还是个可爱的小鲜肉。 他在山东潍坊的一所学校上学。

终于，他在自己的位置地图上找到了自己就读的学校，潍坊XX学院

这个黑客太粗心了，还继续翻他的相册

我找到了他的两个QQ号，分别是281********和3338********。

然后通过他的百度云账号，我们可以帮助确定他最常用的QQ号码，就是2开头的QQ号码

黑客本人还成立了一家名为“良芯科技”的公司（但经调查并未注册）

仍在做自由流动业务

对了，他的QQ空间里暴露了他的年龄，他还是个多愁善感的年轻人。

在他使用的校园互联网软件中也发现了他的名字。

通过和他vps的3389密码对比，发现他的vps密码开头是他名字的首字母。

也从侧面证实了这个名叫张某涛的人就是扫描账户的黑客。

经过汇总，信息总结如下：

姓名：张*涛

年龄：18