電信網絡詐騙案件中GOIP設備及其SIP服務器的取證方法

◆李佳斌 應濤濤 裴洪卿 俞綱 劉松

（1.杭州市公安局西湖區分局 浙江 310000；2.杭州平航科技有限公司 浙江 310000）

GOIP 設備是電信網絡詐騙案件中經常出現的用于違法犯罪的工具設備。犯罪團伙通過網絡招募一些“兼職人員”，這些人員在全國各地流竄在出租屋、臨時住所甚至是汽車中部署通訊設備用于幫助犯罪分子實施詐騙活動。目前利用GOIP 設備協助信息網絡犯罪活動成為電信詐騙分子常見的作案手段，因此熟悉并掌握GOIP 設備及其SIP 服務器的取證技術和要點對辦理此類案件具有重要的意義。

1 GOIP 設備取證方法

1.1 GOIP 設備

GOIP，是GSM over IP 的簡寫，又稱“無線語音網關”。它是一種利用網絡實現通信功能的硬件設備，支持手機SIM 卡接入，能將傳統電話信號與網絡信號進行相互轉換。一臺GOIP 設備最多可供上百張手機SIM 卡同時運行，大幅提高撥打電話、收發短信的效率，最關鍵的是可以通過遠程控制異地的SIM 卡和GOIP 設備進行撥打電話、收發短信，即實現犯罪嫌疑人與GOIP設備、SIM 卡分處不同地點，實現隱匿身份、逃避打擊的目的。因此很多GOIP 窩點出現在酒店、民宿、出租屋等人員流動較大的場所，有些則是部署在汽車上，通過使用移動電源供電也可以實現快速轉移作案地點的目的。另一方面，GOIP 設備還具有虛擬撥打號碼功能，可任意切換手機號碼撥打受害人電話，公安機關對其反制攔截和信號溯源難度極大，諸多功能，使GOIP 成為犯罪分子廣泛用于實施電信網絡詐騙犯罪活動。如圖1 為某涉案GOIP 窩點扣押的設備，包括GOIP、控制端電腦、應急電源、攝像頭等。

圖1 某涉案窩點的GOIP 設備

GOIP 設備和其服務器的基本工作原理可以如圖2 所示，詐騙團伙人員可以在擁有互聯網環境下的任意地點，就可以撥打電話。服務器會通過網絡將電話任務轉發給GOIP 設備，GOIP 設備通過當地的基站即可將電話撥打出去。因此一般GOIP 窩點都不會有詐騙團伙核心人員，因此想要找到幕后使用的人員，還需要進一步通過線索進行分析。

圖2 GOIP 備的工作原理

1.2 GOIP 設備數據提取

可以通過專業的取證軟件進行GOIP 設備數據的提取，方式一般分為以下四種情況：

（1）由于GOIP 設備往往通過路由器連接至網絡，所以辦案人員在涉案現場可以先查找路由器，然后將取證設備直連現場涉案的路由器，利用平航路由器取證軟件提取現場的路由器數據以便查找連接的GOIP，待路由器取證軟件自動提取完畢后，可以查看詳細數據，包括路由器基礎信息、端口信息、日志信息等。在端口信息中，含有當前路由器連接的所有電子設備的信息，包括MAC 地址、被分配的IP 等信息。此時可以根據現場GOIP 設備上印有的MAC 與路由器設備列表進行一一對應，如下圖3 所示。接著可以利用取證軟件直接提取GOIP 內的數據。

圖3 路由器中GOIP 信息

通過取證軟件提取GOIP 設備數據時，有多種提取方法，其中“需要驗證”功能是指已知該GOIP 設備登錄后臺的賬號密碼，通常通過審訊或嘗試通過root/root 等弱口令進行登錄，也可以選擇“需要驗證”功能，取證軟件將自動嘗試繞過賬號密碼進入后臺進行數據提取，如下圖4 所示。

圖4 路由器軟件中的GOIP 提取方式

（2）當GOIP 封存帶回實驗室檢驗的時候，GOIP 設備是處于關機狀態的。由于GOIP 本身存在一個靜態IP，所以在實驗室檢驗過程中，將實驗室的路由器與GOIP 連接后，路由器動態分配的IP 地址不一定與GOIP 的靜態IP 地址相同，這樣就導致路由器就無法與GOIP 正常通信，所以我們首先需要確定GOIP 的靜態IP地址。

我們可以利用WireShark 抓包工具來分析ARP 協議來確定GOIP的靜態IP 地址，路由器跟GOIP 連接的時候，GOIP 會通過ARP 協議，廣播它的IP 地址信息，如下圖5 所示。通過WireShark 抓包不僅能確定GOIP 的靜態地址，也能方便確認其設備型號信息。

圖5 利用WireShark 抓包獲取GOIP 信息

確定GOIP 靜態IP 地址后，我們可以將路由器的DHCP 段設置成GOIP 的IP 段，然后就可以使用平航路由器取證軟件提取GOIP 內的數據了。

（3）部分品牌型號的GOIP 設備具有標注“PC”的RJ45 網線接口，如下圖6 所示，表示該接口用于連接計算機，可通過該接口將GOIP 直接連接到取證工作站，此時GOIP 會給取證設備自動分配IP 地址，然后使用工作站中的平航路由器取證軟件即可提取GOIP 中的數據。

圖6 GOIP 的PC 接口

（4）通過console 串口登錄設備，然后用命令行的方式查看設備的相關信息。優點是不需要獲取設備的IP 地址，直接通過串口線連接設備，缺點是提取出來的信息沒有網頁查看的直觀，并且console 口連接同樣需要賬號密碼才能登錄。

首先將電腦通過console 線連接到GOIP 的console 口，隨后打開SecureCRT 軟件，在選項設置中選擇取證設備與GOIP 連接的端口號，可通過設備管理器查看，以及選擇相應的波特率，在連接成功后輸入默認賬號密碼（admin/admin）即可登錄。如下圖7 為SecureCRT 連接界面。我們可以通過命令“?”確定當前模式下可以輸入的一些命令，通過命令能夠直接獲取到GOIP 設備的硬件版本、固件版本，網絡狀態，SIP用戶注冊信息，卡槽IMEI、有無插卡等數據。

圖7 SecureCRT 連接界面

1.3 GOIP 設備數據分析

通過提取GOIP 設備數據，我們可以獲取到設備基礎配置信息，包括硬件版本、固件版本、系統當前運行的時間?？ú鄱丝跔顟B，包括端口號、IMEI 號、有無插卡、SIM 卡線路信息。關聯的服務器信息，包括SIP、中繼、遠程控制服務器IP 地址，以及收發短信記錄、撥打電話記錄等詳情。如下圖8 為GOIP 設備數據取證報告。

圖8 GOIP 設備取證報告

通過對不同品牌型號的GOIP 設備數據的提取和比較，筆者發現提取的數據也存在差異。部分品牌的GOIP 每個SIM 卡槽僅記錄10 條短信記錄，有的能記錄通話記錄有的則不保存。根據提取的短信、通話記錄，我們可以查找被叫號碼，以此明確更多（潛在）的受害人。通過提取出來的SIP、中繼、遠程控制等服務器IP 地址，可以通過分析該IP 的歸屬地，進而對運營商進行調證以獲取GOIP關聯服務器數據、購買服務器的用戶信息等。

2 SIP 服務器鏡像數據取證

提取的GOIP 數據中關聯出的不同服務器信息，像SIP、中繼、遠程控制等服務器都有各自的不同作用。其中遠程控制服務器的主要功能是當管理人員與網關設備不在一個局域網環境下，管理人員（放置設備人員）可以提前在網關設備上配置好相關信息，從而直接通過遠程控制服務器來管理網關設備。中繼服務器的主要功能是將從網關設備發送到中繼服務器的信令解密成正常信令，在這個過程中信令是加密的，運營商無法檢測攔截，然后由其再發送給呼叫中心服務器。SIP 服務器也叫SIP 代理服務器或注冊服務器。SIP 服務器負責建立網絡中所有的SIP 電話通話，主要應用在與GOIP 設備間通話命令的發送和通話連接，實時監測設備的狀態，并上報管理機的呼叫日志到平臺。當我們獲取到SIP 服務器鏡像后，通常按照以下過程進行取證分析。

2.1 SIP 服務器鏡像仿真

通過對服務器鏡像進行仿真，可以更直觀還原服務器狀態，并對其數據進行分析。仿真操作第一步就是系統繞密，通常Linux系統繞密方法為直接利用取證廠商的仿真工具進行仿真繞密，或者手工仿真的話則使用單用戶模式跳過root 密碼驗證啟動。通過前期工作判斷本案服務器鏡像系統為CentOS 6.5，在此介紹一種CentOS 系統繞密的方法。

首先準備一臺CentOS 7 系統的虛擬機，將其root 用戶的開機密碼設置為123456。然后通過“編輯虛擬機設置--添加硬盤”的方式添加SIP 服務器的鏡像文件，如下圖9 所示，接著啟動CentOS 7虛擬機。

圖9 VMware 添加SIP 服務器鏡像

CentOS 系統將用戶的密碼信息保存在/etc/shadow 文件中，并且這個文件只有root 用戶擁有讀權限，其他用戶沒有任何權限。但是我們將SIP 服務器鏡像掛載到虛擬機的其他目錄中并且給予其shadow 文件讀寫權限，這樣我們可以修改SIP 服務器用戶的密碼信息以此在仿真的時候直接繞過原始密碼，如下圖10 所示。

圖10 查看Shadow 文件

通過以下三條命令將SIP鏡像文件掛載到CentOS 7 虛擬機中，并賦予shadow 文件讀寫權限，如下圖11 所示。

圖11 修改鏡像的shadow 文件權限

（1）“mkdir/data”——創建data 文件夾；

（2）“mount/dev/sdb1/data”——將鏡像文件掛載到虛擬機data 文件夾下；

（3）“chmod 777 /data/etc/shadow”——賦予shadow 文件可讀可寫可執行權限。

接著將 CentOS 7 虛擬機 shadow 文件中的加密密碼替換到“/data/etc/shadow”文件中的加密密碼位置，然后關閉虛擬機，就完成了對SIP 服務器鏡像的重置。最后重新創建一個新的虛擬機，虛擬磁盤選擇SIP 服務器鏡像文件即可。

2.2 分析SIP 服務器鏡像數據

通過仿真SIP 服務器鏡像，首先確認了系統搭建的是昆石VOS3000軟交換系統，版本V2.1.6.00，如下圖12 所示。

圖12 服務器中軟交換系統版本信息

昆石VOS 的版本主要有入門級的版本VOS2009、常見的中小規模為VOIP 業務支撐的系統VOS3000，還有VOS3800、VOS5000。系統的功能主要有業務管理、語音服務、數據查詢、話單分析、卡類管理、號碼管理等。昆石VOS 軟交換系統主要有兩塊部分，一塊是WEB 管理端，網站架構為JAVA+MYSQL 數據庫服務組成。另一塊部分就是PC 客戶端的管理工具，通過它也能直接管理VOS 系統。

通過命令“service iptables stop”關閉SIP 服務器系統的防火墻，命令“netstat -nltp”查看網絡服務開啟的端口信息，如下圖13 所示，確定JAVA、MYSQL 服務均已啟動。

圖13 系統服務端口信息

通過瀏覽器訪問 “IP+8080”端口確定8080 端口為VOS3000 WEB自助系統，如下圖14 所示。我們通過PC 客戶端連接后可以拿到其登錄賬號密碼。

圖14 VOS3000 的Web 端自助系統

確定VOS 系統版本為V2.1.600，所以我們在取證工作站本地安裝一個相同版本的PC 客戶端管理工具，如下圖15。通過它連接到SIP 服務器，即可直接查看VOS3000 內的所有數據。在VOS3000 V2.1.4 版本及以上，客戶端增加了一個系統標識，這個信息存在于SIP 服務器相關網站源碼中。

圖15 VOS3000 客戶端登錄界面

PC 客戶端登錄界面的字段含義分別如下：遠程地址：服務器的IP 地址；登錄名稱：平臺的用戶名；登錄密碼：平臺的用戶的密碼；系統標識：機器的唯一標識符。

我們首先需要注意的是虛擬機的IP 地址，由于VOS3000 綁定機器碼和IP，如果服務器IP 發生變換，則客戶端連接登錄的時候會提示版本校驗失敗。所以我們需要將仿真后的虛擬機IP 設置成原本的SIP 服務器IP，這個在VMware 軟件中的虛擬網絡編輯設置里將僅主機模式中子網IP 設置成服務器IP 段，然后在虛擬機中設置成原本靜態的IP。

通過對服務器的分析，客戶端中系統標識信息在SIP 服務器虛擬機的“homekunshivos3000etc”路徑下的server.conf 文件中，如下圖16 所示，字段 “ACCESS_UUID”就是客戶端需填寫的系統標識信息。

圖16 查看系統標識

輸完IP 及系統標識后，通過默認口令admin/admin 登錄客戶端，然后在“系統管理--系統參數”中將名稱“SERVER_QUERY_CDR_MAX_DAY_INTERVAL”的參數值修改成最大：186，這個是歷史話單查詢最大天數，該系統參數也保存在數據庫“e_moconfig”表中。

通過在“系統管理--系統日志”中，過濾查詢所有用戶的操作痕跡，包括操作用戶的登錄IP 地址，我們可以通過對IP 地址分析，初步判斷嫌疑人的地理位置信息，如下圖17 所示。

圖17 查看系統日志

通過“業務管理--話機業務--話機管理”查看所有的話機及其配置密碼，我們可以根據這些賬號密碼登錄WEB 端，更加直觀查看每個話機的相關情況。在系統菜單欄中我們要分析的重要內容就是話單詳情，如下圖18 所示。

圖18 查看Web 話機數據

通過“數據查詢--查詢歷史話單”，賬戶的刪除不會導致該賬戶的話單數據刪除，如下圖19。

圖19 查看Web 話機數據

在歷史話單中，我們主要關注的是被叫號碼、被叫經由網關、主叫IP、被叫IP。被叫號碼指受害人的號碼，辦案人員可以通過查找被叫號碼，了解受害人被騙情況。被叫經由網關指的是被叫方與軟交換間經過的網關 ID，一般也是GOIP 設備內配置SIP 服務器的賬號。主叫IP 指對接網關，我們可以在數據庫“e_cdr”表中查看主叫的設備類型，如果查到 “callerproductid”這個字段內容是話機，那么這個IP 就是嫌疑人的IP 地址。被叫IP 指落地網關，分析被叫IP 主要判斷是不是GOIP 設備。

上述是從客戶端以及WEB 網頁端去分析VOS3000 系統里面的數據，我們結合客戶端分析數據庫，可得知一些關鍵表的含義，如下表1所示。

表1 數據庫表含義

3 結束語

GOIP 是電信網絡詐騙案件中較為常見的作案工具，其功能與曾經的偽基站有相似之處，但功能更加強大，其具備的異地撥號、切換虛擬號碼、小巧便攜等特點幾乎是為電信網絡詐騙分子量身定制，因此廣受犯罪集團青睞。本文主要介紹了GOIP 設備和SIP服務器鏡像的常見數據取證方法，通過對其進行數據提取固定并分析，可以為打擊違法犯罪活動、發現潛在受害人提供重要的線索。我們也期待加強此類特殊設備的管控措施，從源頭切斷電信網絡詐騙團伙的作案工具購買使用途徑。