国内近期针对微软账户 Hotmail 进行扫号操作

104 天前
 huangxiao123

原由:昨天晚上的时候,发现微软的 Authenticator 弹出了个莫名其妙的认证请求,一开始疑惑是谁在登录,并且开始回想起本人平常有没有泄露账户,经排查,没泄露过该账户出去,该账户只用于微软家族的产品登录,没用于其他地方,疑似是通过 csrf /数据泄露获取到邮箱号

通过 https://account.live.com/Activity 进行排查,发现两个 IP 登录操作,如下

whois 信息如下

% [whois.apnic.net]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

% Information related to '114.96.0.0 - 114.103.255.255'

% Abuse contact for '114.96.0.0 - 114.103.255.255' is 'anti-spam@chinatelecom.cn'

inetnum:        114.96.0.0 - 114.103.255.255
netname:        CHINANET-AH
descr:          CHINANET Anhui PROVINCE NETWORK
descr:          China Telecom
descr:          No.31,jingrong street
descr:          Beijing 100032
country:        CN
admin-c:        JW89-AP
tech-c:         JW89-AP
abuse-c:        AC1573-AP
status:         ALLOCATED PORTABLE
remarks:        service provider
remarks:        --------------------------------------------------------
remarks:        To report network abuse, please contact mnt-irt
remarks:        For troubleshooting, please contact tech-c and admin-c
remarks:        Report invalid contact via www.apnic.net/invalidcontact
remarks:        --------------------------------------------------------
mnt-by:         APNIC-HM
mnt-lower:      MAINT-CHINANET-AH
mnt-routes:     MAINT-CHINANET-AH
mnt-irt:        IRT-CHINANET-CN
last-modified:  2021-06-15T08:06:13Z
source:         APNIC

irt:            IRT-CHINANET-CN
address:        No.31 ,jingrong street,beijing
address:        100032
e-mail:         anti-spam@chinatelecom.cn
abuse-mailbox:  anti-spam@chinatelecom.cn
admin-c:        CH93-AP
tech-c:         CH93-AP
auth:           # Filtered
remarks:        anti-spam@chinatelecom.cn was validated on 2024-04-15
mnt-by:         MAINT-CHINANET
last-modified:  2024-04-15T01:54:23Z
source:         APNIC

role:           ABUSE CHINANETCN
address:        No.31 ,jingrong street,beijing
address:        100032
country:        ZZ
phone:          +000000000
e-mail:         anti-spam@chinatelecom.cn
admin-c:        CH93-AP
tech-c:         CH93-AP
nic-hdl:        AC1573-AP
remarks:        Generated from irt object IRT-CHINANET-CN
remarks:        anti-spam@chinatelecom.cn was validated on 2024-04-15
abuse-mailbox:  anti-spam@chinatelecom.cn
mnt-by:         APNIC-ABUSE
last-modified:  2024-04-15T01:55:05Z
source:         APNIC

person:         Jinneng Wang
address:        17/F, Postal Building No.120 Changjiang
address:        Middle Road, Hefei, Anhui, China
country:        CN
phone:          +86-551-2659073
fax-no:         +86-551-2659287
e-mail:         ahdata@189.cn
nic-hdl:        JW89-AP
mnt-by:         MAINT-CHINANET-AH
last-modified:  2014-02-21T01:19:43Z
source:         APNIC

% This query was served by the APNIC Whois Service version 1.88.25 (WHOIS-JP3)

% [whois.apnic.net]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

% Information related to '111.126.0.0 - 111.127.255.255'

% Abuse contact for '111.126.0.0 - 111.127.255.255' is 'anti-spam@chinatelecom.cn'

inetnum:        111.126.0.0 - 111.127.255.255
netname:        CHINANET-NM
descr:          CHINANET NeiMengGu province network
descr:          Data Communication Division
descr:          China Telecom
descr:          No.31,jingrong street
descr:          Beijing 100032
country:        CN
admin-c:        CH93-AP
tech-c:         CH93-AP
abuse-c:        AC1573-AP
status:         ALLOCATED PORTABLE
remarks:        service provider
remarks:        --------------------------------------------------------
remarks:        To report network abuse, please contact mnt-irt
remarks:        For troubleshooting, please contact tech-c and admin-c
remarks:        Report invalid contact via www.apnic.net/invalidcontact
remarks:        --------------------------------------------------------
notify:         cyg@nmgtele.com
mnt-by:         APNIC-HM
mnt-lower:      MAINT-CHINANET-NM
mnt-routes:     MAINT-CHINANET-NM
mnt-irt:        IRT-CHINANET-CN
last-modified:  2021-06-15T08:05:56Z
source:         APNIC

irt:            IRT-CHINANET-CN
address:        No.31 ,jingrong street,beijing
address:        100032
e-mail:         anti-spam@chinatelecom.cn
abuse-mailbox:  anti-spam@chinatelecom.cn
admin-c:        CH93-AP
tech-c:         CH93-AP
auth:           # Filtered
remarks:        anti-spam@chinatelecom.cn was validated on 2024-04-15
mnt-by:         MAINT-CHINANET
last-modified:  2024-04-15T01:54:23Z
source:         APNIC

role:           ABUSE CHINANETCN
address:        No.31 ,jingrong street,beijing
address:        100032
country:        ZZ
phone:          +000000000
e-mail:         anti-spam@chinatelecom.cn
admin-c:        CH93-AP
tech-c:         CH93-AP
nic-hdl:        AC1573-AP
remarks:        Generated from irt object IRT-CHINANET-CN
remarks:        anti-spam@chinatelecom.cn was validated on 2024-04-15
abuse-mailbox:  anti-spam@chinatelecom.cn
mnt-by:         APNIC-ABUSE
last-modified:  2024-04-15T01:55:05Z
source:         APNIC

person:         Chinanet Hostmaster
nic-hdl:        CH93-AP
e-mail:         anti-spam@chinatelecom.cn
address:        No.31 ,jingrong street,beijing
address:        100032
phone:          +86-10-58501724
fax-no:         +86-10-58501724
country:        CN
mnt-by:         MAINT-CHINANET
last-modified:  2022-02-28T06:53:44Z
source:         APNIC

% This query was served by the APNIC Whois Service version 1.88.25 (WHOIS-JP3)

使用 https://ip.sy/查询的地理位置如下

ASN 均为: AS4134

微步:

腾讯威胁平台:

查询总结:

111.127.50.125 对应 ICP:

两者 IP 只开了 53 TCP + 1041 TCP

疑似是一伙人,不知各位 V 友怎么看待,疑似是国内某个扫号团伙拿到了微软泄露的数据库进行批量登录验证爆破

14294 次点击
所在节点    信息安全
143 条回复
iv2ex
103 天前
https://imgur.com/BoFpFpl

显示“检测到异常活动”,这个需要改密码吗?
iv2ex
103 天前
[图片]( https://imgur.com/BoFpFpl)
zzzlight
103 天前
好像看记录暂时没发现这个
hqt1021
103 天前
这里展示一张扫号软件的图片
[img]https://p1.meituan.net/csc/c7e53d3d518eb3020b8c026684d007f4123698.jpg[/img]
每秒扫描两万号。。
iv2ex
103 天前
winglight2016
103 天前
的确,我前两天也收到个弹窗,我还纳闷怎么回事儿。然后打开 lz 提供的活动记录页面,发现昨天从早到晚都在尝试登录然后失败,看来 2FA 还是很有意义啊。
huangxiao123
103 天前
补充一段,前面老哥 PM 我提到的:

是临近护网,由 G*V 聘用国内**信组织的提前护网漏扫的操作(不通知 GA 一所),会对泄露的账户进行扫号操作
huangxiao123
103 天前
@hqt1021 #84 前面有疑似是爆破软件的内存分析,看上去是分布式爆破,golang 写的,CS 端的
huangxiao123
103 天前
@lifei6671 #76 Get it!
huangxiao123
103 天前
@houzhishi #64 有可能,黑产哥“无所不能”
yxc
103 天前
https://account.live.com/Activity
刚看上去看了下,确实有,5 月底开始的每天都有,爆破的都是我的别名用户
这个别名我肯定是没公开过的,所以应该不是泄露的
huangxiao123
103 天前
@huangxiao123 #87 该信息仅供参考
SunsetShimmer
103 天前
6/12 左右有来自阿根廷和巴西的对 Outlook 绑定 Gmail 的尝试,密码错误。
curiohuang
103 天前
最近遇到不止一次了,今天睡醒还看到一个登录请求
huangxiao123
103 天前
百密并无一疏,目前还不知道是谁发起的攻击,只知道大概的手段

通过 web 漏洞打进别人的服务器,服务器种 agent ,通过 agent 下发爆破任务回传至 server 端

希望 v 友在发现恶意登录 IP 的同时,把恶意 IP 也发出来,供大家参考或者进行下一步操作
fu82581983
103 天前
最近半年时不时收到二次验证的邮件,看了一下登录记录,几乎每周都会尝试,而且发现都是别名登录的,印象中 outlook 的别名邮箱极少使用
hqt1021
103 天前
@huangxiao123 并不是分布式,而是很多人在扫。。。
我手上就有俩付费的扫微软工具。。
zjuster
103 天前
时间可能更久一点。而且我是 outlook 邮箱。

大概半年前就跳过一次,昨天确实也跳了,登录显示国内。里面还有好几次密码错误的。

我每个邮箱和账号的密码都是独立的,不太理解是怎么试出密码的??难道微软被拖库...
zjuster
103 天前
IP address
118.117.188.245
IP address
123.180.171.87

这两个是密码错误

IP address
175.162.214.174

这个是直接触发 2FA ,被我拒绝。

看了下更多历史,6 月 5 、6 、7 、8 有多次不成功登录。都是国内 IP ,Windows Chrome (但我所有设备都是苹果平台)

我的 Outlook 只用于求职工作和微软系登录,别无他用...微软是不是被内部阿三搞泄库了
yuewenjie
103 天前
刚才 Authenticator 弹了好几次,我把密码改了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1051891

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX