关于伪基恶意发送垃圾短信的分析和定位研究V2

关于伪基站恶意发送垃圾短信的分析和定位研究

一、 背景

1. 伪基站及伪基站短信系统介绍

伪基站是假冒现网移动通信网络，利用其信号强度、位置区等参数设置，诱骗用户在其覆盖区域内接入，获取用户位置更新消息中IMSI和IMEI等信息，伪基站在获取用户信息后可通过设置使移动手机快速断网，或待用户离开其覆盖区域后再登记到现网移动网络。伪基站主要是公安部门为了掌握特定区域的用户动向而设置，一般设置在出入城市的主要干道附近、或需要重点关注的市内区域。

但近期又发现了伪基站的新变种“伪基站短信系统”，不法分子不但利用伪基站收集用户信息，还利用伪基站恶意发送垃圾广告短信，当用户将进入伪基站覆盖区域时，用户在伪基站下会位置更新成功，然后伪基站给用户发送垃圾短信，用户接收短信成功后，可通过设置使手机快速和伪基站断网注册到正常的移动网络。

2. 伪基站及伪基站短信系统对现网的影响

由于目前GSM网络采用单向鉴权，仅有网络对用户终端的鉴权，用户终端对网络不进行鉴权，利用伪基站可以窃取用户信息、甚至发起对现网网络的攻击。伪基站的广播网号、广播频率和现网相同，位置区设置和现网不同，由于其信号强度远强于现网，当用户将进入伪基站覆盖区域时会快速重选到伪基站小区进行位置更新。用户在伪基站覆盖区域一般会发生以下过程：“伪基站小区重选->向伪基站发起位置更新->伪基站位置更新拒绝->手机重新进行现网小区重选->再次位置更新成功”，此过程一般需要12秒以上；如果利用伪基站发送短信需要先在伪基站注册成功发送短信，随后位置更新失败后在现网位置更新成功，此过程至少需要25秒以上，在此期间会造成用户无法主被叫，严重影响客户的业务感知。

1 / 10

由于伪基站短信系统不与现网连接就能发送垃圾短信，和传统的短信群发器相比有着明显的优势，不法广告商无需担心手机卡欠费或被运营商拦截，对人员密集区域群发有更强的针对性。如果此技术被不法分子掌握和利用，将会造成难以预估的后果。为了快速定位伪基站短信系统及其发送垃圾短信的区域，提供针对伪基站短信系统的分析定位手段，利用信令监测系统、网管统计数据和日常测试中发现的伪基站短信系统发送垃圾短信情况进行了专项分析研究。

二、 技术方案

1、

伪基站的主要网络特征

伪基站是独立的网络系统，和现网没有任何连接，只能通过用户和伪基站及现网的位置更新信令特征来分析，根据路测和现网数据分析，目前伪基站主要有以下特征：

1）伪基站在覆盖区域内的发射功率远高于现网小区，其小区重选磁滞（CRH）和偏移值（CRO）设置较小。

2）伪基站的覆盖范围距离较小，用户向伪基站发起登记注册失败后，由于小区重选磁滞设置和偏移值较小，会在较短的时间切回现网网络。存在同一用户在现网同一小区、短时间内连续位置更新的情况。

3）用户从伪基站切回现网网络时必须做一次位置更新，位置更新消息中上报的源LAC是伪基站的LAC，或者是0、65534、65535等异常的LAC。

4）伪基站的LAC和现网的LAC不一样，在伪基站覆盖区域的现网小区位置更新频繁，位置更新次数远超过正常的小区。

可以针对以上信令特征进行统计分析，统计源LAC是伪基站LAC的位置更新频次以及更新到现网的小区CI以确定伪基站的大概位置。

2、 普通伪基站和伪基站短信系统的位置更新流程

普通伪基站

1）

主要是用于收集用户信息，用户向伪基站发起位置更新，失败后会迅速登记到现网位置区。其位置更新流程如下：

2 / 10

图1 伪基站位置更新信令流程图

位置更新失败的拒绝原因是：“Cause value 13: Roaming not allowed in this location area”，有的伪基站也发送位置更新拒绝原因：“Cause value 12: Location Area not allowed”或，“Cause value 11: PlMN not allowed” 按照GSM 04.08规范，当位置更新拒绝原因为11、12、13时，手机会清除存储的LAI、TMSI和密钥序列，重置位置更新尝试计数器, 更新位置更新状态为“ROAMING NOT ALLOWED”并将LAI和PLMN ID存储到相关禁止列表中。 对Cause value : (11)，手机将PLMN ID存储到相关禁止列表后，只会自动有新的PLMN时才会发起位置更新请求尝试，对正常用户的影响较大，伪基站一般不会采用，伪基站的位置更新拒绝原因一般采用Cause value 12和Cause value 13。

如果拒绝原因是Cause value : (12)，手机将LAI存储于\location areas for regional provision of service\，仅在新的PLMN会发起位置更新请求尝试；如果拒绝原因是Cause value : (13)，手机将LAI存储于\或LAI时才 location areas for roaming\，在返回MM IDEL状态时，手机会启动HPLMN选择。

对位置更新拒绝原因值11、12、13，手机会清除原来存储的LAI和TMSI，下次会采用系统保留的LAI：460-00-65534（也有的手机采用460-00-0）和IMSI号码发起位置更新。

2）

伪基站短信系统

伪基站发送垃圾短信时，用户会在伪基站位置更新成功，然后伪基站给用户发送垃圾短信，用户接收垃圾短信后，期间伪基站会变换LAC，经过特定时间后再次向伪基站发起位置更新，此次位置更新失败，然后重选到现网小区后发起位置更新成功。

3 / 10

向伪基站发起位置更新 在伪基站下位置更新成功 伪基站发送短信成功 伪基站变换LAC后重新发起位置更新 伪基站变换LAC后重新位置更新失败 小区重选到现网LAC后重新发起位置更新， 在现网LAC下位置更新成功 图2 伪基站位置更新及发送短信信令流程图

? 15:36:50 tems手机探测到伪基站信号，重选到伪基站的广播频点，随

后手机发起第一次位置更新请求，伪基站向手机提取了IMSI和IMEI，后位置更新成功，登记在伪基站下LAC1。

? 15:37:03 伪基站向手机发送垃圾广告短信，手机收到垃圾短信。 ? 15:37:09 由于手机在上一次位置更新过程中，伪基站将原来的LAC1修

改未LAC2，伪基站的频点和BISC未修改，手机无需小区重选，待手机侧定时器超时后，由于手机中存储的LAC1和伪基站广播的LAC2不同，又向伪基站做了一次位置更新，但这次位置更新被拒绝。 ? 15:37:20 随后手机在现网做小区重选和位置更新成功。

通过以上信令流程分析，伪基站利用和现网不同的LAC诱骗手机进行位置更新，提取手机的IMSI和IMEI，向手机发送垃圾广告短信，随后变换LAC并且根据手机的IMSI和IMEI信息，每部手机或每个号码在同一时间段只能收到一次短

4 / 10

信。在测试时将两个卡放到同一部TEMS测试手机中，只有第一张卡收到了短信。

根据实际测试，用户从发送短息的伪基站位置更新失败时，失败原因如下：

Location Area Identification

Mobile country code (MCC) : 460 Mobile network code (MNC) : 00

Location area code (LAC) : 65534 (Hex 0xFFFE) Mobile identity

Odd/even indication : (1) Odd number of digits Type of identity : (1) IMSI

Identity digits (BCD) : 46002705310xxxx

Cause value : (15) No Suitable Cells In Location Area

对位置更新失败原因为：“ No Suitable Cells In Location Area”的情况，手机会在同一PLMN的不同LA尝试再发起位置更新。由于对位置更新拒绝原因15，手机不清除原有的LAI和TMSI，手机再次位置更新时会采用上次位置更新拒绝前存储的LAI（一般是伪基站的LAI）和TMSI。

3、 伪基站短信系统的定位方法

根据以上伪基站发送短信后的信令特征分析，伪基站短信系统的除了和普通伪基站具有相同的信令特征外，还有一个明显的特征是接收短信后发起的到现网位置区的位置更新消息中采用TMSI、源LAI使用伪基站的LAI。可以根据以上特征确定现网发伪基站短短信系统的疑似情况，主要分析流程如下：

1）统计现网每个位置区（按照源位置区统计）的位置更新情况，排除现网在用的位置区LACi（i=1,2,3，?）和相邻地市的边界区域位置区LACj（j=1,2,3，?） 2）对1）中筛选的每天超过5000次的异常位置区LACx（x=1,2,3，?） 3）统计现网成功位置更新消息中源LAC使用LACx、且采用TMSI发起的位置区和CIy（y=1,2,3，?）

4）对源LAC使用LACx、且采用TMSI发起的位置更新的CIy，统计其位置更新次数和位置更新号码，如果位置更新次数/位置更新号码小于2，且小区内日位置更新次数大于500次或忙时位置更新次数大于100次，且位置更新次数较上周同期或平时均值有1倍以上增长的则判定CIy是疑似伪基站短信系统的区域。 5）统计现网成功位置更新消息中源LAC使用LACx、且采用IMSI发起的位置区和CIz（z=1,2,3，?），如果小区内日位置更新次数大于5000次或忙时位置

5 / 10

更新次数大于1000次，且位置更新次数较上周同期或平时均值有1倍以上增长的则判定CIy是疑似伪基站区域。

6)根据4）和5）中分析的区域到现场进行测试验证。

注：以上4）和5）统计中要排除异常IMEI引起的频繁位置更新，可将同一用户在同一小区内位置更新次数超过5次的用户排除。

三、 现网分析排查

1、

现网异常LAC分析

由于目前山东公司的A接口信令监测分析主要监控了济南本地网，本次主要针对济南地区2012年8月份的信令数据进行了分析。对现网正常位置更新的源LAC进行了统计，除了济南本地正常使用的LAC和周边相邻地区的LAC外，还有以下几个异常的LAC：

异常LAC 65534 0 171 65535 1556 正常位置更新次数 9210566 4287304 29555 15711 9528 表1 异常LAC统计表（8月10-22统计数据分析）

根据GSM规范，LAC的取值范围是1-65535，其中LAC=0和65534作为备用，手机在某次位置更新被拒绝，且拒绝原因是“Roaming not Allowed in this Location Area”等原因时，手机清除原来存储的LAI信息，随后以系统保留的LAC 65534的作为源LAC向网络发起正常位置更新（有个别手机也采用源LAC为0发起正常位置更新），因此对源LAC=0和源LAC=65534的情况，由于现网存在很多本地通异地漫游或在边界区域位置更新导致此问题出现，LAC=0和LAC=65534主要是现网业务导致，即使有伪基站使用0和65534的不规范LAC编码，由于无法和现网存在的正常业务区分，在分析时咱不考虑整两个LAC。

6 / 10

2、 现网异常CI分析

对其他三个LAC 171、65535和1556进行了分析，对使用TMSI发起位置更新的情况，在排除用户和IMEI异常频繁更新后，对符合上述原则的小区进行了筛选，目前初步确定的疑似区域如下：

BSC信LAC 令点 1067 1067 1067 1067 1067 1067 1067 1079 1079 1079 1043 1043 1043 1011 1011 1074 1084 1084 1084 1084 1084 1084 1048 1094 1051 1051 1051 21526 21526 21526 21526 21526 21526 21526 21439 21439 21439 25355 25355 25355 25345 25345 25356 21748 21748 21748 21748 21748 21748 21522 21745 21532 21532 21532 CI 6311 6313 基站名称 齐鲁国际 齐鲁国际 覆盖区域 泉城路贵和、百盛、苏宁等 泉城路贵和、百盛、苏宁等 泉城路贵和、百盛、苏宁等 泉城路贵和、百盛、苏宁等 银座商城 泉城广场科技馆 泉城广场科技馆 洪楼大润发 洪楼大润发 洪楼大润发 泺口通信城 泺口通信城 泺口通信城 万达广场 万达广场 大观园 市华联 市华联 市华联 和谐广场 和谐广场 和谐广场 历下大润发 马鞍山 银丰大厦 银丰大厦 财政学院 20221 惠尔大厦 20224 惠尔大厦 9511 11623 11629 11283 173 10471 413 18051 45512 45501 45501 13622 36921 36923 46069 45271 45271 45271 233 17931 6692 6691 17433 佛山苑 科技馆 科技馆 历城百货 洪楼分局 洪楼大润发 织布厂 通讯城 通讯城 万达广场 万达广场 大观园 嘉华购物广场 嘉华购物广场 小商品市场 银座和谐广场 银座和谐广场 银座和谐广场 纺织厅 社科院 银丰大厦 银丰大厦 财政学院 表2 济南现网主要伪基站疑似区域（8月10-22统计数据分析）

7 / 10

BSC信令点 1067 1011 1067 1011 1067 1067 1067 1067 1074 1067 1067 1067 1067 1067 1067 1067 1067 1067 1067 1067 LAC 21,526 25,345 21,526 25,345 21526 21526 21,526 21,526 25,356 21,526 21,526 21526 21526 21526 21526 21526 21526 21526 21526 21526 CI 6311 45501 20221 45502 11623 45564 11629 39842 6841 45587 45589 26311 14013 45258 20224 20012 30151 11 45588 10231 异常位置次数 9201 7723 4381 3419 2411 2391 2364 2024 1886 1348 1185 1128 986 984 759 758 756 737 710 700 异常位置更新IMSI号码数 8018 5532 3973 2714 2203 1798 2207 1812 1699 1091 1083 1088 817 714 694 707 595 672 665 590 表3 部分疑似区域的异常位置更新次数和IMSI号码数量 从以上区域可以看出，伪基站主要分布在：泉城路、泉城广场、银座商城、洪楼大润发、万达广场、大观园、马鞍山、银座和谐广场、市华联、通讯城等周边区域，上述区域的特点是靠近商业中心或商务中心等人流量比较大的区域，便于针对特定人群发送广告，从用户反映的垃圾短信广告内容主要是商业广告也说明了这一点；该区域的异常位置次数和IMSI号码数基本相当，也和实际测试中伪基站短信系统既判别IMSI又判别IMEI的情况基本吻合。目前用户收到的垃圾短信主要有：

“泉城路XX七夕约惠有情人！XX床品大型特卖会8.6日启动！心仪情侣装132元，XXX克拉钻震撼价23999起，XX黄金每克减17.7元！”

“泉城路XX暑期服饰1折起奥运T恤限量送，学生折上再9折。周末FANCL 20倍积分，山东少儿频道故事大王海选诚邀VIP适龄儿童相约XX！”

“6377元/平起！XX燕园78-90平两房101-126平三房火速开抢！2万抵5万，山东XXXX置业会盛大启动，园林开放在即66666101”

用户收到的发送垃圾短信的主叫号码不固定有1327925XXXX、1339190XXXX等，除了手机号还有行业端口号。

8 / 10

根据前期投诉有多个用户反映在马鞍山（8月5日）、泉城路百盛（8月18日）区域收到垃圾短信，经分析覆盖用户投诉区域的17931、6311等小区在也信令分析筛选的异常小区列表中。以17931小区为例，通过网管统计分析其位置更新趋势，可看出在8月5日用户投诉时间的位置更新次数较平时和周末同期有明显增长，峰值比平时高出1倍，说明当时小区的位置更新次数异常，应该是伪基站导致的。

图3 小区位置更新统计对比图

3、 后续处理建议

综合以上分析可知，伪基站发送垃圾短信主要是在人员密集地方部署伪基站，通过置基站发射功率等参数，使覆盖区域的GSM用户进行位置更新，获取用户信息（TMSI、IMSI等），之后模拟网络信令，伪造短信下发给用户，主叫号码可以随意设置。经在互联网搜索，已发现有伪基站短信系统的产品公开发售。如果任由伪基站发送短信的情况蔓延，将会给通信网络安全和信息安全保障造成严重的威胁，尤其是伪基站被不法分子利用来发送反动短信时，将会造成严重的政治影响。必须立即采取相关措施进行排查分析，联合相关部门进行打击。

一是，利用信令监测系统和网管系统对小区异常位置更新进行统计分析，确定现网的疑似伪基站发送短信情况和伪基站位置区域。并结合用户投诉情况，去现场捕捉和确认此类垃圾短信情况。

二是，到伪基站现场检测伪基站的BCCH广播频点，将伪基站的广播频点从现网的BA list列表中删除或采用厂家的双BA技术（部分厂家支持，目前伪基

9 / 10

站只有900M频点，可以强制用户小区重选时只选择到1800M小区），可以临时解决伪基站带来的干扰问题。但伪基站能够自动检测临区频点、并且可以随时修改频点和LAC，有的伪基站是流动式的，很难现场实时捕捉到伪基站信息。

三是，将此类问题反映到各省通信管理局、无委会、公安部门等，并配合以上部门查处和打击使用伪基站发送垃圾短信的相关人员。

10 / 10

本文来源：https://www.bwwdw.com/article/4ns6.html