【侦察思路】神盾剧说06:《CSI:CYBER》网约车司机连环杀人事件

安恒神盾局 2021-09-18 05:59:17 1792人浏览

今天是周六,预祝您中秋节快乐,为您带来涉网犯罪好剧解说~

今天带来的是《CSI:CYBER》的第三集内容,讲述了嫌疑人非法控制网约车平台计算机信息系统并杀害多名司乘人员的故事。

 

#01 死亡网约车

凌晨的波士顿,刚刚结束工作的Cade通过ZoGo平台预定了网约车服务。

 

刚上车不久,Cade就发现了异常——他的ZoGo订单被取消了,眼前的这名司机也未按照预定路线行驶。Cade尝试沟通无果,反被锁在车内无法逃离。

 

第二天波士顿警方找到的,只有被抛弃在河滨大道的一具尸体,现场、家中、办公室所有的电子设备数据均被删除。

 

 

考虑到Cade绝密级政府承包人的工作身份,主角团立刻分出一支小队前往波士顿调查Cade之死是否和他掌握的机密资料有关。

 

通过和Cade同事的沟通,主角团了解到Cade此前就担忧自己掌握太多数据而招来杀身之祸。

 

同时,在对Cade的电子设备进行数据恢复工作时,主角团发现是Cade自己触发了清除数据的命令。

 

至此可以得出推论:Cade因为无法确认嫌疑人身份,为了保护机密而自毁了所有数据。

 

 

法医检查过后,确认Cade的死因是窒息,嫌疑人用电击棒袭击了Cade后将他勒死,并在口中塞入一个儿童玩具积木。

 

从行为学分析,积木上的图案是凶手要传递的信息,Cade口中的是数字2,可能是对他的编号,即Cade是第二名死者。

 

 

在手机数据恢复后,主角团复原了Cade最后的操作痕迹:登录ZoGo——抹除数据——拨打报警电话。

 

为了不触怒嫌疑人,Cade尝试以订购披萨的说辞报警,很可惜他未能传递出自己的地理位置信息,通话时长也不够警方定位,主角团只能前往ZoGo总部调查。

 

在ZoGo总部,主角团查到了黑客攻击的痕迹,导致ZoGo系统故障,嫌疑人趁机劫走Cade。

 

现有线索总结如下:

  1. 嫌疑人非法控制了ZoGo系统,创造了下手机会;

  2. 嫌疑人在5点10分左右开始行动,目标是锁定ZoGo乘客,电击后勒死被害人,并塞入儿童积木;

  3. Cade极有可能不是第一个受害者。

     

下一步工作:

  1. 找到可能的第一个受害者;

  2. 确认平台攻击者。

 

#02 钓鱼邮件

网络诊断发现ZoGo平台系统三天前在同一时间遭受过同样的攻击。

 

主角团核查ZoGo平台在系统故障时期下单的客户数据,通过比对社交动态和银行卡消费记录缩小排查范围,发现有一名用户已经三天无生活痕迹了。

 

随后果然在一个桥洞下发现了该用户的尸体,作案模式和Cade案件几乎一模一样,她的口中是1号积木。

 

嫌疑人是一个利用ZoGo寻找下手对象的连环杀人犯。

 

 

另一边,Nelson分析ZoGo平台系统服务器日志,找到了一封包含了恶意软件的全员邮件,也就是说有人通过钓鱼邮件攻击了ZoGo平台。

 

 

Raven检查了这封钓鱼邮件的报头,找到一个IP地址。

 

懂得利用恶意软件钓鱼,却不会隐藏自己的IP地址信息,说明发邮件的人并不懂网络技术,他只是购买了一款恶意软件。

 

小分队顺着IP地址找到了钓鱼邮件的发出人Murphy——一名传统出租车公司老板。

 

经过审讯调查,Murphy承认自己因为业务冲突,利用邮件发动钓鱼攻击的犯罪事实,但杀人事件与他无关。

 

出租车司机这条线索行不通。

 

#03 真凶浮现

主角团只能重新整理线索,Krumitz分析防火墙日志发现在过去的两周内,有过15次攻击记录,三天前突然停止,而这个时间正好和ZoGo平台第一次出现故障的时间吻合。

 

Nelson认为,很有可能是嫌疑人内部渗透成功,所以停止了远程攻击。

 

他列举了两种渗透方法:

  1. 故意将装有恶意软件的U盘遗弃在大厅,会有人将U盘插入电脑寻找失主信息,然后木马就启动了

  2. 准备一个有隐藏接入点的路由器冒充成可信的网络途径,诱使员工电脑接入,然后窃取员工的数据流

 

果然在ZoGo总部找到了一个寄给正在休假的员工的包裹,里面正是带有隐藏接入点的路由器。

 

 

对路由器进行网络诊断后,主角团查到嫌疑人IP地址,确认了嫌疑人真实身份——Richard,并找到了他的犯罪动机:

 

6个月前的凌晨5点17分,ZoGo平台的网约车司机撞死了Richard的儿子并逃到国外。

 

ZoGo认为自己只是连接乘客和司机的中间商,不需要承担责任,警方也撤诉了。

 

这一切变故让一位父亲走上了错路。

 

图片

 

藏在衣柜下的玩具积木只剩4个,编号为“3”的积木和Richard都不在房间里了。

 

图片

 

说明嫌疑人正在第三次犯罪的路上,抓捕行动非常急迫。

 

ZoGo平台取消了Richard的网约车司机资格,Richard只能通过乘客身份实施犯罪。

 

按照注册时间、是否正在用车、信用卡等信息一步步缩小排查范围,主角团找到了Richard正在乘坐的车辆信息和地理位置,成功抓捕嫌疑人。

 

#04 神盾剧说

影片主要故事情节是围绕网约车司机连环杀人案件展开,中间穿插了钓鱼邮件和内部渗透的技术内容,也提供了一些侦查思路。

01

所有攻击都有攻击痕迹,从现场获取的系统日志等是最直接的线索,也将成为最有力的证据

侦查小贴士:

非法控制计算机信息系统具有高度的隐蔽性,往往在系统功能受到影响和破坏后才有可能被发现。

 

但犯罪嫌疑人一定会在被侵害的计算机信息系统中留下痕迹。比如Nelson通过服务器日志信息找到钓鱼邮件,Krumtiz发现嫌疑人攻击防火墙的记录,这些线索都有助于找到侦查方向。

02

钓鱼邮件中的邮件原文、附件都可能藏有线索

侦查小贴士:

钓鱼邮件利用员工的不谨慎点击非法连接下载木马,进而取得计算机信息系统的控制权。

 

针对木马的恶意代码,可以利用静态逆向分析和动态抓包分析等方法进行检测,获取恶意代码的大致功能或控制端IP等线索。

 

分析邮件原文有机会获得发件人邮箱地址、服务器地址、IP及管理后台信息。如剧中Raven分析邮件报头找到了发件人的IP地址。这种侦查方法适用于嫌疑人是从他处获得攻击工具,自身网络水平一般的情况。

03

警惕内部非法控制计算机信息系统的可能性

侦查小贴士:

剧中嫌疑人尝试过15次远程攻击,都无法击穿ZoGo平台的防火墙。

 

相比从外部入侵,内部渗透显得简单许多。同样是利用安全意识薄弱员工,嫌疑人有多种渠道可以进入内部,获取员工权限。

 

因此,在类似案件侦查过程中,需要询问受害人或知情人,了解受害人的上网行为习惯、设备型号及性能、案发前后的异常现象等信息供参考。

 

04

同一计算机信息系统可能被多人入侵控制,需要分清不同攻击带来的影响,找到与案件相关的主要犯罪嫌疑人

侦查小贴士:

本案中夹杂了两次攻击,一个是传统出租车公司老板发动的钓鱼攻击,一个是真凶发动的内部控制。

 

在案件侦查过程中难免会被不同攻击痕迹混淆,需要侦查人员分析不同攻击的危害,尽可能排除与案件相关度低的攻击线索,明晰侦查方向。

侦察思路 神盾局
    2条评论
    E安全
    看完了,赞
    2年前
    我不困,我精神抖擞
    又是精彩的一期
    2年前
    2
    2
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。