GoIP 网关设备的电子数据取证探索
摘 要:随着信息技术的全面发展,人们的生活方式发生了巨大的变化,近年来公安机关针对电信网络诈骗不断进行高压严打,犯罪分子为了逃避打击,同时也在不断升级作案手段,在原有基于互联网协议的语音传输(Voice over Internet Protocol,VoIP)改号软件的基础上,增加了基于互联网协议的信号传输(GSM over Internet Protocol,GoIP)网关设备,针对 GoIP 网关设备的特点、原理及取证方式进行详细分析,能够为此类案件的侦办提供技术保障。
在信息社会里,随着科学技术不断创新和发展,各种类型的新技术工具的开发和利用,促进了社会经济的快速发展,提高了人们的生活水平,给人们的衣、食、住、行、学习、工作等方面带来了巨大的便利。然而,随着科学技术的普及和应用,科技给人们带来便利的同时,也带来一些危害与弊端,其中,就有各种新型犯罪案件涌现,违法犯罪人员能够便利地借助移动设备、网络等通信工具和现代技术实施非接触式的犯罪活动,例如,从事电信网络诈骗、网络传销,利用网络技术非法获取公民个人信息等。据公安部统计,2020 年全年共破获电信网络诈骗案件 32.2 万起,抓获犯罪嫌疑人 36.1 万名,止付冻结涉案资金 2 720 余亿元,劝阻 870 万名群众免于被骗,累计挽回经济损失 1 870 余亿元。本文将针对近年来电信网络诈骗中常用的 GoIP 网关设备的工作原理及对其进行取证的技术方法进行分析、阐述。
1
背景和现状
1.1 电信网络诈骗工具的发展历程
电信网络诈骗的主要手段是打电话或者群发短信。电信网络诈骗者通过“广撒网”的方式拨打大量用户的电话,或者发送大量诈骗短信,这种方式单靠一部手机远远无法满足诈骗者的使用需求。前些年,伪基站由于能够干扰和屏蔽一定范围内的运营商信号并将短信发送到从基站附近搜索出的用户的手机号码上,这种设备使用方便,并且价格“实惠”,深受广大诈骗者喜爱,在经过一段时间的专项治理后,采用该设备诈骗的手段已基本销声匿迹。随着VoIP 技术的不断成熟,市面上出现了很多基于VoIP 技术的设备或者软件,诈骗团伙可以通过VoIP 设备或者软件将主叫号码归属地修改为受害人所在地,从而降低被呼叫者的心理防御,或者将主叫号码修改成公众常见的服务电话,用来欺骗被呼叫者,进行违法犯罪活动。针对VoIP 出现的问题,相关部门禁止了 VoIP 的改号功能,而且搭建 VoIP 网络成本较高,难度较大,需要的软硬件也较多。近年来,新的 GoIP 技术逐渐被人们所使用,使用 GoIP 网关设备实施的犯罪活动也越来越多。
1.2 涉及 GoIP 网关设备案件情况
在裁判文书网,我们使用 GoIP 作为关键字进行搜索,截至 2021 年 11 月,出现 228 个判决结果(如果同一个案件有二审判决的,以二审判决作为统计对象),其中,有 174 个案例以帮助信息网络犯罪活动罪来定罪量刑,有 42 个案例以诈骗罪来定罪量刑,总体来说,该类案件的立案类型还是以这两种方式居多。
从本鉴定中心近两年受理的有关 GoIP 网关设备的鉴定业务统计来看,本中心共受理 97 个办案单位的鉴定委托,涉及 18 个省份 75 家委托单位,共计 157 个 GoIP 设备。在送检的 GoIP 中,品牌数量排名前 3 的分别为三汇、鼎信通达和一正。委托数量统计排名情况符合前面介绍的GoIP 设备的排名情况,具体的 GoIP 品牌情况如图 1 所示。
图 1 GoIP 网关设备类型统计
在本鉴定中心受理的 97 个鉴定案例中,根据公安机关立案情况的统计,以帮助信息网络犯罪活动案立案的有 60 个;以诈骗案立案的有35 个;此外,有 2 个是以侵犯公民个人信息案进行立案。可以看出,目前该类案件大部分是以帮助信息网络犯罪活动案立案。根据《中华人民共和国刑法修正案(九)》中增设的帮助信息网络犯罪活动罪,其中,第二百八十七条之二“明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通信传输等技术支持,或者提供广告推广、支付结算等帮助,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。”最高法发布的《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》中明确了“帮助信息网络犯罪活动罪”的入罪标准,为办理该类案件提供了强有力的法律依据。
2
GoIP网关设备主要厂家、搭建模式介绍
2.1 GoIP 简介
GoIP,即基于 IP 的信号传输,其本质就是把手机卡的信号数字化 [3],它是 VoIP 技术的一种升级,通常以 GoIP 网关设备的形式出现。GoIP 设备是网络通信的一种硬件设备,支持手机卡接入,能够通过手机卡接入信息服务运营商网络并实现基础信息网络功能(收 / 发短信、接 / 拨电话)。常见的 GoIP 设备根据所支持的运营商(移动、联通、电信)、支持频段(GSM、CDMA、WCDMA、全网通)、信号(2G、3G、4G)、插卡数量(4、8、16、32、64、128)和并发数量(4、8、16、32),可分为多种型号 ,一台 32 个卡槽的 GoIP 设备可供上百张手机卡同时运行。诈骗分子为了逃避打击,通常是通过招募“马仔”在空置房间内安装 GoIP 设备。设备安装后无须人员看管,即可远程登录使用设备,达到人、机、卡分离的目的,大大增加了公安机关的打击难度。
2.2 常见的 GoIP 网关设备
目前市面上的 GoIP 网关设备品牌众多,常见的网关设备主要有一正、鼎信通达、三汇、得伯乐等,各品牌的网关设备功能差异不大。
2.3 GoIP 网关设备搭建模式
根据工作模式的不同,目前 GoIP 网关设备搭建的 3 种常见模式包括:人、机、卡分离模式;卡、机不分离,人分离模式;人、机、卡不分离模式。下面分别对这 3 种模式的原理进行介绍。
2.3.1 人、机、卡分离模式
诈骗分子利用卡池设备,将用于诈骗的手机 SIM 卡与 GoIP 网关设备分离,通过服务器获取到卡池里 SIM 卡的手机号码,然后将 SIM 卡信息通过服务器发送到 GoIP,从而实现拨打电话和发送短信等目的,而管理者可以远程操作集中管理终端设备,实现人、机、卡三者独立存在,形成分离的模式,系统架构模式如图 2所示。打击这种设备的难度较大,而且无法形成全链条的打击,办案机关在案件侦办过程中往往只能获取到 GoIP 网关设备,无法查获与之对应的经济成本更高的卡池设备,并且在 GoIP网关设备被扣押之后,犯罪分子可以快速重新配置新的 GoIP 设备来连接卡池设备,达到继续诈骗的目的。
图 2 人、机、卡分离模式
2.3.2 卡、机不分离,人分离模式
该方式不需要卡池设备,可以直接将 SIM卡插在 GoIP 网关设备上,SIM 卡与 GoIP 网关设备不分离,管理者远程操作终端管理软件,通过服务端控制 GoIP 网关设备达到直接拨打电话和发送短信等目的,系统架构模式如图 3 所示。与人、机、卡分离的方式相比,因为这种方式不需要使用卡池设备,成本更低,所以在市面上比较常见,并且由于人与机、卡分离,犯罪分子能在异地(也许在境外)远程操控设备,或者雇用“马甲”操控设备,更容易达到逃避查处的目的。
图 3 卡、机不分离,人分离模式
2.3.3 人、机、卡不分离模式
该方式将 GoIP 网关设备、卡池和服务端管理系统配置在一起,由人员直接管理,仅在局域网内操作,这种方式较为少见,系统架构模式如图 4 所示。这种做法等同于自投罗网,一旦被发现,人赃俱获。
3
常见 GoIP 网关设备的取证方式
由于 GoIP 网关设备里面保存着 SIM 卡信息、电话号码信息、国际移动设备识别码(International Mobile Equipment Identity,IMEI)、SIP 服务器信息、收发的短信数据和通话信息等数据,将此类数据提取、恢复出来,将对案件侦查、定性等起到重要作用。
本文列举了几种在实际工作中常见的取证方式,如下文所述。
3.1 网页登录模式数据提取
通常情况下,不同厂家的网关设备默认配置的静态 IP 是不一样的,网关设备中都有后台管理页面,取证时可以根据掌握或者默认的设备管理页面的 IP 地址、端口号、登录账号和密码,将本地取证设备的 IP 地址与网关设备的 IP 地址配置在同一个网段,使用账号和密码登录进去之后,可以查看网关设备中保留的数据,采用规范化的证据固定流程,将数据固定下来。可见,在检验过程中,采用网页登录模式的情况下,如何获取设备的 IP 地址,成为能否成功获取设备信息的关键因素。实践证明,可以通过以下4 种方式获得设备的 IP 地址。
(1)通过网关设备的使用说明书了解设备默认配置的 IP 地址。通常情况下,品牌厂商在设备出厂配置时,会附带设备的使用说明书,使用说明书中通常会介绍设备的使用方法,初始的 IP 地址及登录的用户账号、密码等信息,因此,可以从使用说明书或者互联网公开的渠道了解所要分析的网关设备的 IP 地址等信息。一些常见的 GoIP 设备的默认 IP 地址以及初始号密码如表 1 所示。
表 1 常见的 GoIP 网关设备配置信息
(2)使用抓包工具来分析网关设备的IP地址。针对关机情况下的网关设备,在实验室检验过程中,取证设备上配置的 IP 地址不一定会与网关设备中的静态默认 IP 地址一致,使用网线将网关设备与取证设备进行直接连接,运行抓包软件,网关设备与取证设备连接的时候,网关设备会通过地址解析协议(Address Resolution Protocol,ARP)广播设备的 IP 地址,从而确定设备的 IP 静态地址,抓包软件中显示的设备配置 IP 信息如图 5 所示。
图 5 抓包软件获取到的设备配置 IP 信息
(3)使用取证工具自动获取网关设备的 IP地址。市面上部分取证设备已经集成了自动获取设备 IP 的功能,通过网线将取证设备网口与网关设备网口进行连接,通过取证设备自动扫描网关设备的 IP 地址,如图 6 所示。
图 6 取证软件自动扫描设备的 IP 信息
(4)若设备在案件现场,可以查看网关设备现场连接的路由器连接记录,或者搜索现场所使用的电脑、手机浏览访问记录等,该类设备均存在配置设备信息 / 远程访问设备的可能性,从而确定网关设备所使用的 IP 地址。
3.2 TTL 模式取证
该模式是目前比较常见的取证方式,适合在未掌握网关设备的本地登录的账号和密码的情况下使用,将网关设备的晶体管 - 晶体管逻辑 电 平(Transistor Transistor Logic,TTL) 串 口或者 CONSOLE 控制口、miniUSB 接口通过连接线与取证设备连接,下载网关设备的 Flash 镜像,使用取证软件解析收发的短信息、IMEI 信息以及用户密码、动态主机配置协定(Dynamic Host Configuration Protocol,DHCP)、 厂 商、 型 号、媒体访问控制(Media Access Control,MAC)地址等配置信息。此外,该模式还支持对部分网关设备已经删除数据的恢复,相比于网页登录模式取证,能获取到更多数据。取证步骤大致可以总结如下:
(1)确认 GoIP 网关设备串口为内部串口还是外部串口。
外部串口判断:首先查看是否有明显标识,如 CONSOLE 等;其次用对应的线材将 GoIP 网关设备的外部接口与取证分析设备相连,判断取证分析设备的设备管理器是否弹出新的端口,GoIP 网关设备的外部串口示例如图 7、图 8所示。
图 7 网关设备外部串口示例 1
图 8 网关设备外部串口示例 2
内部串口判断:若已确定不是外部串口,则首先拆卸设备外壳,分析印制线路板(Printed Circuit Board,PCB)是否有发送端(Transmit,TX)、接收端(Receive,RX)、地线(Ground,GND)等标识;其次寻找连续 3 ~ 5 个的板孔,分别通过万用表确定 TX,RX,GND。若已确认该设备存在内部串口,则利用串口硬件工具的TXD 连接 GoIP 网关设备内部串口接口 RX,串口硬件工具的 RXD 连接 GoIP 网关设备内部串口接口 TX,串口硬件工具的 GND 连接 GoIP 网关设备内部串口接口 GND,再将串口硬件工具另一端连接至取证分析设备。GoIP 网关设备内部串口以及串口硬件工具 USB 转 TTL 的示例如图 9、图 10 所示。
图 9 网关设备内部串口示例
图 10 串口硬件工具 USB 转 TTL
(2)对设备的串口号进行识别。在 GoIP 网关设备未与取证分析设备连接时,通过 WindowsAPI 接口获取串口号集合 U1;在 GoIP 网关设备与数据分析工作站连接时,通过 Windows API 接口获取串口号集合 U2;获取到串口号集合 U1和集合 U2 后,比对 U1、U2 集合差,获取所需要的串口号。
(3)执行上述步骤后,对 GoIP 网关设备上电,通过取证工具遍历可用波特率集合直到获取数据为明文日志信息时,确认 GoIP 网关设备的波特率。
(4)使用 Xshell 软件分析设备串口的日志信息,提炼出相关数据并形成配置文件。将配置文件导入取证设备后,设置所需的波特率及相应的参数后,使用取证软件下载设备镜像。使用相应的取证工具,对镜像中的文件内容进行解析来获取网关设备中的数据 。
3.3 芯片焊接方式取证
在无法掌握 Web 管理页面的账号或者设备不支持通过直取方式获取数据的情况下,可以拆除网关设备的存储芯片,使用芯片提取设备备份芯片中的数据,制作镜像文件;使用取证软件解析制作的镜像文件,进而获取网关设备存储的数据。
4
GoIP 网关设备取证案例分析
针对目前 GoIP 网关设备的取证,主要有设备的 IMEI 号及所对应的卡槽号、使用过的 SIM卡信息、短信记录、通话记录和SIP服务器信息等,部分设备还保存着使用过程的日志记录。公安机关可以通过在网关设备中提取的数据,例如提取IMEI 号和 SIM 卡串号,再与相应系统上掌握的涉案数据进行关联分析,可以分析出有作案嫌疑的手机号码,进而通过梳理手机号码,汇总出涉案人员和涉案金额,最终形成完整的证据链条。
4.1 案情介绍
公安机关受理某诈骗案件时,发现犯罪嫌疑人使用 GoIP 设备作案,嫌疑人购买大量电话卡插入该设备卡槽,操控设备进行拨打电话、收发短信,对受害者实施钓鱼短信诈骗,受害人点击嫌疑人发送的链接网站后,输入了姓名、身份证、卡号、手机号、交易密码等信息,银行卡中的钱随之在几分钟内被转走,公安机关在抓到犯罪嫌疑人后,在审讯中得知,犯罪嫌疑人为了逃避法律的制裁,会定期对使用的 GoIP设备中的登录密码进行更改,且嫌疑人拒不承认使用该网关设备进行过诈骗。为了查明案件真相,需要对该 GoIP 设备中存有的相关数据进行提取、恢复,公安机关委托本中心对涉案设备中的数据进行鉴定。
4.2 使用取证工具对网关设备中的数据进行提取、恢复
根据案件情况,由于网关设备密码被嫌疑人进行修改且嫌疑人拒不提供登录账号、密码,无法通过网页登录的方式进行取证,在本次分析中,我们使用取证软件对送检的得伯乐设备进行提取、恢复。
(1)通过 TTL 模式制作镜像并分析。启动取证软件,选择对应品牌得伯乐、型号 GoIP-32,将送检 GoIP 网关设备通过夹具和 TTL 模块连接到取证设备,选择对应端口,将 GoIP 网关设备上电,使用网线将取证设备与送检分析的网关设备的 PC 口网口进行连接,选择对应网络适配器,点击“开始取证”按钮后,将 GoIP 设备重新上电,软件开始制作镜像。
(2)在完成镜像制作后,用取证软件对制作的镜像进行数据解析,提取镜像中的数据。
(3)在取证结果中,提取到受害人使用手机号码发送给该网关设备的一条关键短信(如图 11 所示),该短信内容结合办案机关掌握的其他信息形成了一条完整的证据链。
图 11 网关设备上的短信内容
5
结 语
本文介绍了 GoIP 网关设备的几种常见的品牌、工作方式和在实践中采用的几种取证方式及其技术原理,但是随着公安机关打击违法犯罪力度的加强,也出现了网关设备系统架构更新的情况,存在取证难度加大的可能性。此外,在司法鉴定过程中适用的标准存在一定的空白及滞后性,还需要相关部门进一步加强规范。
引用格式:范鑫 , 陈春梅 , 孙奕 , 等 .GoIP 网关设备的电子数据取证探索 [J]. 信息安全与通信保密 ,2023(5):110-118.
作者简介 >>>
范 鑫,男,学士,主要研究方向为电子数据司法鉴定;
陈春梅,女,学士,主要研究方向为电子数据司法鉴定;
孙 奕,男,硕士,高级工程师,主要研究方向为电子数据取证、信息安全研究;
王 勇,男,硕士,高级工程师,主要研究方向为电子数据取证。
选自《信息安全与通信保密》2023年第5期(为便于排版,已省去原文参考文献)
商务合作 | 开白转载 | 媒体交流 | 理事服务
请联系:15710013727(微信同号)
《信息安全与通信保密》杂志投稿
联系电话:13391516229(微信同号)
邮箱:xxaqtgxt@163.com
《通信技术》杂志投稿
联系电话:15198220331(微信同号)
邮箱:txjstgyx@163.com