网络犯罪案例分析-工具分享（六） – 作者:DaaYou

HW期间，为防范钓鱼，即日起FreeBuf将取消投稿文章的一切外部链接。给您带来的不便，敬请谅解~

关键词

（1）非法控制计算机信息系统罪

（2）提供侵入、非法控制计算机信息系统程序、工具罪

（3）黑客工具分享

（4）挖矿

基本案情

公诉机关舟山市普陀区人民检察院。

被告人陈军辉，男，1981年7月26日出生于浙江省舟山市，汉族，大专文化，原普陀欧尚超市员工，住浙江省舟山市定海区。现住舟山市普陀区。因本案，于2017年12月26日被刑事拘留，2018年1月9日变更为取保候审。

（一）提供侵入、非法控制计算机信息系统程序、工具罪。2017年3月至7月期间，被告人陈军辉在“独特黑客论坛”（××）上使用用户名为“chenhhaa”的账号先后发表帖文4篇，在帖文中发布具有“传马”功能的黑客工具提供给他人使用。在其中3篇标题中含有“3306”描述的帖文中发布的具有利用3306端口“传马”功能的黑客工具至少被下载152人次。

（二）非法控制计算机信息系统罪。2017年8月至12月期间，陈军辉使用黑客漏洞扫描工具，在互联网上通过扫描IP段的方式抓取“肉鸡”（有漏洞的计算机）后实施非法控制，并利用被控制的计算机的CPU资源挖取虚拟货币“门罗币”获利。陈军辉非法侵入并控制包括舟山市道路运输管理局服务器、宁波交投_公路营运管理有限公司服务器等在内的计算机共计4000余台，通过出售“门罗币”非法获利人民币149638元。

诉讼过程和结果

被告人陈军辉违反国家规定，侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统并实施非法控制，情节特别严重，又提供专门用于侵入、非法控制计算机信息系统的程序、工具，情节特别严重，其行为已分别构成（1）非法控制计算机信息系统罪、（2）提供侵入、非法控制计算机信息系统程序、工具罪。公诉机关指控罪名成立。陈军辉一人犯二罪，依法应当数罪并罚。陈军辉到案后揭发他人犯罪行为，查证属实，系立功，依法可以减轻处罚。陈军辉到案后认罪态度较好，有悔罪表现，且已在本案审理期间主动退出全部赃款，可以从宽处罚并适用缓刑。辩护人据此提出的辩护意见，本院予以采纳。

据此，依照《中华人民共和国刑法》第二百八十五条第二款、第三款、第六十九条第一款、第六十八条、第七十二条第一款、第三款、第七十三条第二款、第三款、第六十四条及《最高人民法院、最高人民检察院关于办_理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第一条、第二条、第三条之规定，判决如下：

一、被告人陈军辉犯非法控制计算机信息系统罪，判处有期徒刑二年，并处罚金人民币一万元；犯提供侵入、非法控制计算机信息系统程序、工具罪，判处有期徒刑一年六个月，并处罚金人民币一万元；二罪并罚，决定执行有期徒刑三年，缓刑三年，并处罚金人民币二万元。

（缓刑考验期限从判决确定之日起计算；罚金限本判决生效后即缴纳。）

二、扣押在案的作案工具笔记本电脑等物及赃款人民币十四万九千六百三十八元予以没收。

如不服本判决，可在接到判决书的第二日起十日内，通过本院或者直接向浙江省舟山市中级人民法院提出上诉。书面上诉的，应当提交上诉状正本一份，副本二份。

案情分析

这个案件很有代表性，特别是第一个罪名提供侵入、非法控制计算机信息系统程序、工具罪，我想大部分安全行业从业者因为某些情况或多或少都分享过工作中会用到的工具，虽然我们自己看起来没什么，但是严格追究起来这是犯法行为。

另一点让要注意的是在犯罪事实证据第（二）中的第10点，大家自己体会。

被告人陈军辉向公安机关检举其一QQ好友（程某）通过非法控制计算机信息系统进行挖取虚拟货币的犯罪线索。后经公安机关查证属实，现程浩已因犯非法控制计算机信息系统罪被舟山市定海区人民法院判决；

犯罪事实证据

（一）提供侵入、非法控制计算机信息系统程序、工具

2017年3月至7月期间，被告人陈军辉在“独特黑客论坛”（××）上使用用户名为“chenhhaa”的账号先后发表帖文4篇，在帖文中发布具有“传马”功能的黑客工具提供给他人使用。经电子数据检查勘验，在其中3篇标题中含有“3306”描述的帖文中发布的具有利用3306端口“传马”功能的黑客工具至少被下载152人次。经国家计算机病毒应急处理中心电子数据司法鉴定所鉴定，此类工具具有扫描网络内装有mysql数据库并开放3306端口的目标主机，尝试获取此类主机数据库权限，获取权限后通过预先搭建的文件服务器，向目标主机下载相应文件的功能。

上述事实，有公诉机关提交，并经法庭质证的下列证据证实：

（1）在线提取笔录、电子证据证明：2017年11月30日，公安机关对“独特黑客论坛”进行检查，使用账户对陈军辉发布的4篇贴文进行检查确认并保存；

（2）在线提取笔录证明：2018年1月6日，公安机关对陈军辉使用的账号“chenhhaa”在“独特黑客论坛”的发帖记录、收支情况进行检查。显示4篇贴文分别被下载197、143、345、195次。陈军辉在论坛中赚取独币6140个。其中第一篇贴文赚取独币500个，每次下载需支付20个独币，故被下载25次。第二篇贴文没有积分记录。第三篇贴文赚取独币3870个，每次下载需支付30个独币，故被下载129次；

（3）情况说明证明：上述第一篇及第三篇贴文被下载的次数各有一次系侦查人员点击下载；

（4）国家计算机病毒应急处理中心电子数据司法鉴定所司法鉴定意见书证明：经对陈军辉发布的帖子中前二篇附件进行鉴定，均为可以利用3306端口进行传马的黑客工具；

（5）被告人陈军辉的供述称：其在独特黑客论坛注册了用户，自2017年3月起在该论坛发帖4个，均是提供黑客工具供人下载。其中3个是利用3306的mysql的漏洞。每下载1次网页均会显示，但存在重复下载的情况。只要支付独币可以多次下载，故可以通过独币的入账记录来确定购买次数。如果是VIP账户下载是不需要支付独币的。其在第3、4个帖子中因上传限制，故仅提供下载地址，需要通过下载地址及密码从百度网盘和腾讯微云中下载工具。

（二）非法控制计算机信息系统

2017年8月至12月期间，被告人陈军辉使用黑客漏洞扫描工具，在互联网上通过扫描IP段的方式抓取“肉鸡”（有漏洞的计算机）后实施非法控制，并利用被控制的计算机的CPU资源挖取虚拟货币“门罗币”获利。至案发，陈军辉非法侵入并控制包括舟山市道路运输管理局服务器、宁波交投_公路营运管理有限公司服务器等在内的计算机共计4000余台，通过出售“门罗币”非法获利人民币149638元。

2017年12月25日，陈军辉在家中被公安机关抓获。陈军辉到案后，检举、揭发他人犯罪行为，经查证属实。

案发后，公安机关从陈军辉处扣押手机1部、U盘1只、笔记本电脑1台。

在本院审理期间，陈军辉主动退出违法所得人民币149638元。

上述事实，有公诉机关提交，并经法庭质证的下列证据证实：

（1）证人郁某的证言，接受证据清单，电脑截图证明：其系舟山市道路运输管理局工作人员，负责信息化管理工作。其单位服务器中了木马，经网安支队通知后其发现服务器中有一个可疑进程，图标是天猫双11，修改时间是2017年11月20日；

（2）证人丁某的证言，接受证据清单，电脑截图证明：其系宁波交投_公路营运管理有限公司工作人员。其在网安支队通知后查看服务器，发现中了木马及存在可疑进程，图标是英伟达显卡；

（3）证人李某的证言，接受证据清单，U盘证明：其系云攀科技发展（上海）有限公司派驻杭州爱园科技有限公司的网络技术员。其经查看单位服务器，发现有46台服务器中了木马；

（4）搜查证，搜查笔录，扣押清单，扣押决定书，扣押笔录，随案移送清单证明：公安机关从被告人陈军辉位于东港街道海洲一品11幢1单元902室的住处扣押笔记本电脑1台及手机1部；

（5）现场勘验检查笔录证明：公安机关对被告人陈军辉持有的笔记本电脑进行勘验检查、取证，对其持有的手机进行封存。经查发现笔记本正在运行的“BuildXmrig”疑似挖矿程序。QQ客户端显示与扫描漏洞抓取“肉鸡”、门罗币、挖矿等内容。在使用系统工具远程桌面连接IP为“58.211.171.26”后，找到文件夹“mstscqxdlg”，点击“RMDSTC.exe”，打开“远程桌面连接Pro”界面，发现曾连接的IP或域名，点击IP为“183.129.233.85”，输入账户“user”，密码“cjh520”成功进入，发现名为“server.exe”“st.exe”“vice.exe”等文件。打开Bin2017文件夹内的“PCShareV1.1exe”程序，跳出程序界面，显示7个分组，每个分组标签的数字不断变化，对应分组界面上有大量IP列表。待分组标签趋于稳定后，发现标签数字合为4086；

（6）远程勘验工作记录证明：公安机关对IP为“183.129.233.85”的服务器进行远程勘验，固定该服务器上“PCShareV1.1Alpha”远程控制工具控制的上线“肉鸡”列表。在“183.129.233.85”远程连接后，桌面上发现“server.exe”“vice.exe”“server2.exe”等文件（图标是天猫双十一或英伟达），打开Bin2017文件夹内的“PCShareV1.1exe”程序，跳出程序界面，显示8个控制分组，待分组标签趋于稳定后对列表内数目进行截图固定；

（7）侦查实验笔录证明：公安机关对被告人陈军辉使用的PCshare1.1Alpha工具进行侦查实验，发现通过该工具可以生成远程控制木马程序，并控制管理目标计算机的功能。在实验中，该控制列表上共计发现4067台被控制的计算机；

（8）电子证据检查笔录证明：公安机关对被告人陈军辉持有的手机进行检查，发现有大量黑客技术、虚拟币等内容。手机QQ聊天记录显示陈军辉与多人聊天内容涉及扫描漏洞、抓取“肉鸡”情况，且与QQ昵称为“诚信”、账号为“29×××22”的人有买卖门罗币并使用支付宝交易的情况；

（9）接受证据清单，支付宝交易记录明细查询证明：被告人陈军辉通过出售虚拟货币共获利人民币149638元；

（10）说明、拘留证、立案决定书、情况说明、刑事判决书证明：2018年4月，被告人陈军辉向公安机关检举其一QQ好友（程某）通过非法控制计算机信息系统进行挖取虚拟货币的犯罪线索。后经公安机关查证属实，现程浩已因犯非法控制计算机信息系统罪被舟山市定海区人民法院判决；

（11）票据证明：被告人陈军辉在本院审理期间主动向本院退赃人民币149638元；

（12）抓获经过证明：被告人陈军辉的归案情况，系被抓获归案；

（13）常住人口基本信息证明：被告人陈军辉的基本身份信息情况；

（14）被告人陈军辉的供述称：2017年8、9月起，其使用黑客扫描工具抓取“肉鸡”，还向他人购买了一部分“肉鸡”，用于挖“门罗币”。其使用工具扫描特定的IP段获取有漏洞主机的控制权限，通过购买搭建的HFS服务器在目标主机上下载远控木马和挖矿程序，实现“门罗币”挖矿。其控制的“肉鸡”显示有4000多个。

本案相关法律规定

《中华人民共和国刑法》

第二百八十五条　

（第一款）【非法侵入计算机信息系统罪】违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。

（第二款）【非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

（第三款）【提供侵入、非法控制计算机信息系统程序、工具罪】提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。

（第四款）单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

《最高人民法院、最高人民检察院关于办_理危害计算机信息系统安全刑事案件应用法律若干问题的解释》

第一条

非法获取计算机信息系统数据或者非法控制计算机信息系统，具有下列情形之一的，应当认定为刑法第二百八十五条第二款规定的“情节严重”：
（一）获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的；
（二）获取第（一）项以外的身份认证信息五百组以上的；
（三）非法控制计算机信息系统二十台以上的；
（四）违法所得五千元以上或者造成经济损失一万元以上的；
（五）其他情节严重的情形。实施前款规定行为，具有下列情形之一的，应当认定为刑法第二百八十五条第二款规定的“情节特别严重”：
（一）数量或者数额达到前款第（一）项至第（四）项规定标准五倍以上的；
（二）其他情节特别严重的情形。

明知是他人非法控制的计算机信息系统，而对该计算机信息系统的控制权加以利用的，依照前两款的规定定罪处罚。

具有下列情形之一的程序、工具，应当认定为刑法第二百八十五条第三款规定的“专门用于侵入、非法控制计算机信息系统的程序、工具”：

（一）具有避开或者突破计算机信息系统安全保护措施，未经授权或者超越授权获取计算机信息系统数据的功能的；

（二）具有避开或者突破计算机信息系统安全保护措施，未经授权或者超越授权对计算机信息系统实施控制的功能的；

（三）其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。

第三条

提供侵入、非法控制计算机信息系统的程序、工具，具有下列情形之一的，应当认定为刑法第二百八十五条第三款规定的“情节严重”：

（一）提供能够用于非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的专门性程序、工具五人次以上的；

（二）提供第（一）项以外的专门用于侵入、非法控制计算机信息系统的程序、工具二十人次以上的；

三）明知他人实施非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的违法犯罪行为而为其提供程序、工具五人次以上的；

（四）明知他人实施第（三）项以外的侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具二十人次以上的；

（五）违法所得五千元以上或者造成经济损失一万元以上的；

（六）其他情节严重的情形。

实施前款规定行为，具有下列情形之一的，应当认定为提供侵入、非法控制计算机信息系统的程序、工具“情节特别严重”：

（一）数量或者数额达到前款第（一）项至第（五）项规定标准五倍以上的；

（二）其他情节特别严重的情形。

《中华人民共和国刑法》

第六十四条【犯罪物品的处理】

犯罪分子违法所得的一切财物，应当予以追缴或者责令退赔；对被害人的合法财产，应当及时返还；违禁品和供犯罪所用的本人财物，应当予以没收。没收的财物和罚金，一律上缴国库，不得挪用和自行处理。

第六十八条 【立功】

犯罪分子有揭发他人犯罪行为,查证属实的,或者提供重要线索,从而得以侦破其他案件等立功表现的,可以从轻或者减轻处罚;有重大立功表现的,可以减轻或者免除处罚。犯罪后自首又有重大立功表现的,应当减轻或者免除处罚。

第六十九条【判决宣告前一人犯数罪的并罚】

（第一款）判决宣告以前一人犯数罪的，除判处死刑和无期徒刑的以外，应当在总和刑期以下、数刑中最高刑期以上，酌情决定执行的刑期，但是管制最高不能超过三年，拘役最高不能超过一年，有期徒刑总和刑期不满三十五年的，最高不能超过二十年，总和刑期在三十五年以上的，最高不能超过二十五年。

（第二款）数罪中有判处有期徒刑和拘役的，执行有期徒刑。数罪中有判处有期徒刑和管制，或者拘役和管制的，有期徒刑、拘役执行完毕后，管制仍须执行。

（第三款）数罪中有判处附加刑的，附加刑仍须执行，其中附加刑种类相同的，合并执行，种类不同的，分别执行。

第七十二条【缓行适用条件】

（第一款）对于被判处拘役、三年以下有期徒刑的犯罪分子，同时符合下列条件的，可以宣告缓刑，对其中不满十八周岁的人、怀孕的妇女和已满七十五周岁的人，应当宣告缓刑：
（一）犯罪情节较轻；
（二）有悔罪表现；
（三）没有再犯罪的危险；
（四）宣告缓刑对所居住社区没有重大不良影响。
（第二款）宣告缓刑，可以根据犯罪情况，同时禁止犯罪分子在缓刑考验期限内从事特定活动，进入特定区域、场所，接触特定的人。
（第三款）被宣告缓刑的犯罪分子，如果被判处附加刑，附加刑仍须执行。

第七十三条【缓行考验期限】

（第一款）拘役的缓刑考验期限为原判刑期以上一年以下，但是不能少于二个月。
（第二款）有期徒刑的缓刑考验期限为原判刑期以上五年以下，但是不能少于一年。
（第三款）缓刑考验期限，从判决确定之日起计算。

来源：freebuf.com 2021-03-30 23:37:53 by: DaaYou