毒网分析报告

潇湘剑雨

我对原贴 https://bbs.kafan.cn/thread-2288550-1-1.html 提到的网站做了一些基础分析
发现这背后是一个黑产基础设施
入口层： xd.asm-swm.com （混淆 JS 跳转）
2 . 跳板层：腾讯云 CloudBase 环境（利用合法域名背书）
3 . 控制层： rx.k-okex.com/api/find （Halo MD 核心 API，决定下发内容）
4 . 展示层： *.percyj.com （泛域名落地页，伪造 QQ 登录）
5 . 追踪层： app/cess/index.php （多租户访客追踪）
4.2 “Halo MD” 平台深度调查
4.2.1 平台架构与功能
● 系统名称：Halo MD
● 核心域名： rx.k-okex.com
● 主要模块：
● 长链生成：支持 POST/GET 方式创建具备“防红”能力的钓鱼链接。
● 域名管理：支持批量更新落地页域名（ /index/renew.html ）。
● 短链工具：集成短链接生成服务，掩盖真实钓鱼路径。
● 身份鉴权：通过 key 参数进行 API 访问控制。
4.2.2 暴露的 API 细节
路径 方法 功能 关键参数
/api/find
POST 动态分发落地页
sok (鉴权Key)
/api/long/act/create
POST 生成钓鱼长链
key , url , type (防红方式)
4.2.3 后台管理界面指纹
● 登录入口： https://rx.k-okex.com/login
● 文档中心： https://rx.k-okex.com/index/doc.html
● 前端技术：Layui, Bootstrap, EasyWeb Admin
● 后端指纹：PHP, Nginx
4.3 对抗技术分析（“防红”逻辑）
该平台的核心卖点是“防红”策略。通过 type 参数指定不同的规避方案：
● 方案 1：利用合法云服务（如腾讯云、阿里云）做中间跳转。
● 方案 2：使用 frameset 或 iframe 嵌套，使浏览器地址栏显示伪装域名。
● 方案 3：动态监测目标平台的拦截规则，自动切换泛域名子域名。
5. 基础设施分析
资产 角色 状态
rx.k-okex.com
Halo MD 控制中枢 🟢 活跃（API 正常响应）
38.22.94.217
核心托管 IP 🟢 活跃
*.percyj.com
泛域名落地页集群 🟢 活跃
tcloudbaseapp.com
滥用的中间跳板 🟢 活跃
6. IOC（建议封禁）
域名通配符
● *.k-okex.com ⚠️ 核心指挥部
● *.percyj.com ⚠️ 落地页集群
● *.asm-swm.com ⚠️ 传播入口
核心 URL（高权重告警）
● */api/find
● */api/long/act/create
● */app/cess/index.php
特征字符串
● EcCensus (追踪系统指纹)
● Halo MD (系统名称)
● PHPSESSID (后端会话指纹)
7. 风险判定
● 判定结果：**职业化钓鱼犯罪基础设施 (PaaS)**
● 当前状态：高活跃度，正在快速扩张。
● 威胁描述：该平台降低了钓鱼攻击的门槛，允许非技术攻击者通过其 API 和管理后台快速发起大规模、高对抗性的钓鱼活