从一次溯源窥探地下YY直播洗号产业链

本文将揭露地下黑产中最常见的扫号产业链，包括从账号收集、代理抓取、扫号、洗号、变现的完整过程。本次主要讲述针对YY直播的扫号产业链

近日在蜜罐中发现了一个特别的腾讯云的ip，这个ip通过我们蜜罐的匿名代理端口对几个特定的ip频繁发包，但是数据包内容看着并无异常，就是些常规tcp链接。

在这这个ip的80端口部着一个hfs，奇怪的是它这个hfs中存的不是木马远控样本，也不是挖矿样本，而是一堆ip和端口组合

这些勾起了我们的好奇心。正好他的hfs是有漏洞的版本，于是就有了下面漫长的文章

 利用hfs的代码执行直接打下黑客的vps，直接去到管理员的桌面，第一眼看着机器似乎一切正常

打开前面名字为“保存数据xxx”的文件夹，呈现在面前是大量的已经分好类型的账号和密码文件。

根据分类名，猜测这些应该都是YY直播的账号密码。 

于是为了验证这些账户的真实性，我们尝试登陆了几个账号。成功率几乎百分之百。

如下图:

这些分类文件里面的账号，都是能登陆的，而且有些账号里面的还剩余有Y币或者钻等。粗略的计算了下，就在这一个文件夹中的账密就有15000多条。然后在机器上发现了好几款YY直播的扫号器。

用mimikatz抓取了管理员密码，切换到他的桌面，扫号的程序正在疯狂工作