域名备案查询香港网站_玖色直播安全情报报告

据中国互联网络信息中心（CNNIC）发布的第45次《中国互联网络发展状况统计报告》显示，截至今年3月，我国网民规模已达9.04亿。不法分子利用网络直播平台传播淫秽色情信息，以牟取非法利益的现象屡见不鲜。国家六部门联合发布《关于加强网络直播服务管理的通知》。针对此类问题，恒安嘉信影子安全实验室专门成立了移动互联网“黄赌毒”专项研究小组，持续研究“黄赌毒”黑色产业链。在国家互联网应急中心发布的《中国移动互联网安全报告（2019）》中，更是发布了移动互联网“黄赌毒”黑色产业专项研究报告。

近日，恒安嘉信影子安全实验室接到用户投诉，一款名为“九色直播”的应用涉嫌“黄赌毒诈骗”。安全研究人员第一时间开展研究分析，发现该应用是一款含有色情内容的直播软件，同时还存在网络赌博、网络私彩、网络小说（色情）等行为，同时该软件还用于招募网络主播。本文主要对“九色直播”的传播方式、盈利模式、来源分析、情报挖掘等进行披露，防止更多网民受骗。

图1 应用程序安装图标

1. 样本基本信息

2. 应用传播方式及盈利模式

在对样本内容进行测试时，我们发现应用程序本身就包含“发展下级代理”的功能，即除了软件本身利用网络进行传播外，软件使用者作为另一个传播源，一人传十，十人传百，如下图所示：

图 2 应用程序传播方法

经测试，这款直播软件的盈利模式非常清晰，包括与主播、经纪人分成等，在线赌博、在线私彩以及用户给主播赠送的礼物、道具等都需要充值购买。

图3 应用盈利模型

3. 追踪关系逻辑图

图4 应用追溯关系逻辑图

4.4.1 服务器交互信息

4.1.1 主机地址

通过分析该应用程序的抓包，我们发现以下URL有较高的可疑性：

**//。

图 5 主控制器 1

经查看该域名的注册信息和whois信息，发现此域名并未被注册，whois上也没有有效的注册人信息；经查看IP​​地址，发现该域名对应7个IP地址，物理地址分别位于香港、台湾和韩国。

图6 对应IP

IP 地址列表：

**.com:8888/:

通过上面**//返回的信息发现，跳转到了**.com:8888/。

图 7 2

查询该域名注册信息后，自动过滤到二级域名：**.com，得到网站注册人“*”，在网上搜索后，并未查到与此人相关的信息。

图8 2备案信息

IP查询：通过查询，此域名有且仅有一个对应的IP

IP地址：183.**.145

实际地址：浙江省嘉兴电信

图9 对应IP

4.1.2 软件功能交互地址

通过软件功能的抓包分析，可以追溯到一些地址信息如下：

快乐的**：

**.com/.json?v=0.

图10 “快乐**”对应链接

经域名注册局查询，其所有者为“”。

图11 “开心**”对应的域名注册

该公司还注册了另外三个域名：.com、.com和**.com。

图12 企业相关域名

查询公司信息，该公司法人为“*陶”。

图13：记录的企业信息

通过天眼查，我们得到以下信息：

图14 天眼查注册企业信息

查询该公司预留手机号，该号码为辽宁铁岭号码，由该公司预留，若要修改需上传营业执照、法人*等信息，未查询到同一手机号下有微信和支付宝账号。

图15 预留手机号码

免费色情小说：

*.ltd/?-token=-.

图16：“色情小说”对应的链接

域名注册信息查询自动过滤到二级域名**.ltd，域名所有者为*稀祥，最新注册人为。

图17 域名注册信息

图18 域名注册信息

通过搜索网站所有者“西乡”，我们发现他还注册了另外两个域名**.ltd和*.ltd，网站名称均为“阿菁之旅”

图19 网站所有者其他域名信息

图20 网站所有者其他域名信息

发起支付宝付款：

*.org/Home/Pay?id=3&=101.0&=&=47466&=2.

图21 发起“支付宝”支付链接

注册查询，未注册，IP地址182.**.110，物理地址：.

图22 域名对应IP

连接后，上述链接将重定向到以下链接：

**.cn/pay/?order=.

图23 支付跳转链接

IP地址124.**.1，物理地址：湖南省长沙市电信IDC机房。

图24 IP对应的跳转链接

c**.cn备案信息如下：

图25 域名注册信息

该公司还注册了以下三个域名：**.cn、*.cn、*.cn。

图26 企业其他域名信息

通过天眼查查看公司信息。

图27 天眼查注册企业信息

图28 天眼查注册企业信息

手机号157**5100可以在同号的微信和支付宝账号中搜索到，通过支付宝账号可以得知，这个手机号属于“*chao”。

图29 手机号对应的微信和支付宝信息

4.1.3 客服互动地址

通过对客服功能进行抓包分析，确认其采用的是**云客服系统：

**.com/.json

**.ink/聊天.html

图30 客服域名注册信息

图31 客服域名注册信息

客服公司介绍：

成立于2017年，自主研发基于SaaS模式的云客服系统，注册后即可开通使用，用于企业与客户之间的在线对话与沟通，可以帮助企业客服团队更好的协作和管理，同时为企业客户提供更加便捷的对话渠道和优雅的对话体验，让企业更好的服务客户。

图32 客服官网介绍

5. 付款追踪

这款直播软件的充值支付系统大致分为三种：银行转账、支付宝、微信支付。

图33 充值支付方式

1. *付款：**

银行转账只能选择转入中国农业银行，收款人只能是“*春华”。

图 34 银行转账

2.微信支付：

微信发起支付有两种方式，一种是微信转账到*，一种是微信支付码支付，目前微信支付码支付功能显示“您所在地区暂无支付码”。

图35 微信支付方式一

选择微信前往*，会弹出一个二维码页面，这个二维码不需要扫描，而是提示你“点击”。

图36 微信支付方式2

在测试微信发起并点击二维码支付操作时，多次出现以下数字。

图37 微信支付收款人及卡号1

图38 微信支付收款人及卡号2

其中，“梁”姓**涉及多家银行，出现4个不同银行的*号。

注：收款人和*号是随机生成的，测试时不能保证完全获取。

（三）支付宝付款：

通过支付宝发起的付款，可以直接转到支付宝，也可以按照出现的收款人和收款账户进行支付。

跳转到支付宝支付，只会显示收款人姓名，不会显示卡号。

图39 支付宝支付

发起支付宝付款时显示的收款人姓名和账号。

图40 支付宝收款人及卡号1

图41 支付宝收款人及卡号2

图42 支付宝收款人及卡号3

图43 支付宝收款人及卡号

图44 支付宝收款人及卡号5

其中“勇军”出现两次，包括两个**号

注：收款人和*号是随机生成的，测试时不能保证完全获取。

六、追溯传播渠道的来源

该软件是通过用户投诉从恒安嘉信影子安全实验室获取的，在测试过程中发现多个软件下载入口，具体如下：

图45 客服系统默认信息

域名IP位置查询，实体地址均在香港。

访问上述地址之后，返回的页面内容都是一样的，如下图所示：

图46 《久色直播》下载入口

点击快速下载按钮：

图47 久色直播软件下载按钮

弹出以下链接：

**//.2..apk。

此链接是经过查询的阿里云服务器：

图48 下载链接备案信息

7. 扩大线索

通过对恒安嘉信APP全景情景平台上的应用程序进行关联分析，共发现3个属于同一系列的应用程序。

图49 『久色直播』同一系列应用

应用程序包名及MD5如下：