揭秘盜取「羊毛黨」比特幣的釣魚攻擊事件 | 一例C2伺服器跟蹤分析報告

行文之前先界定兩個概念。

羊毛黨，指關注與熱衷於「薅羊毛」的群體，是指那些專門選擇企業的營銷活動、廣告投放等，以低成本甚至零成本來換取高額獎勵的人。早期網站站上利用虛假點擊來獲取廣告受益，到現在利用各種營銷機制漏洞、程序漏洞來「薅」企業推廣的費用的兩類群體，本文都統稱為「羊毛黨」。

比特幣，英語Bitcoin，是一種全球通用的互聯網加密數字貨幣，與傳統的由特定機構發行或控制的中心化虛擬貨幣不同，比特幣採用點對點網路開發的區塊鏈技術，具有去中心化、匿名不易追蹤的特點，因此很多黑客利用比特幣逃避交易跟蹤，比如wannacry等總眾多勒索軟體作者。

當比特幣作為新興電子資產被越來越多的人了解和使用時，熱愛新鮮事物的羊毛黨們靠著敏銳的嗅覺也開始推陳出新，一邊利用比特幣來進行交易逃避監管，一邊利用各種「薅羊毛」方式來賺取比特幣積累財富。然而，在這個行業繁榮的背後，隱藏著另一神秘的群體，如同太極里的陰陽，有光明必有黑暗，有繁榮必有摧毀繁榮，這個神秘的群體寄居在「羊毛黨」之上，貪婪地薅著同樣貪婪地「羊毛黨」的羊毛。

近期，東巽科技2046Lab利用東巽威脅情報中心的全球C2（也稱C&C，Command and Control Server縮寫，指木馬的控制和命令伺服器）監控平台，就跟蹤到這樣一批神秘群體。

東巽科技的全球C2監控平台，實時監控著採集到的全球C2的存活狀態。2046Lab的安全研究員通過演算法，在監控結果中發現了一批非常相似類型C2上線。通過對這些C2進行深入跟蹤分析后，發現了一些有趣的現象，某個C2區區幾百個受害者，但被竊取的帳號密碼卻有近十萬對，如下圖。據此，我們推測這些受害者應該不是普通的網民，於是對整個C2、受害者和攻擊者進行了全面深入的分析。

圖 C2控制中心截圖

2 C2與木馬分析

2.1 C2與釣魚頁面

本次發現的C2主要位於域名a-work.info下，該域名下有3個C2，且登陸界面一樣，基本斷定三個C2屬於同一個組織操控，並攻擊了不少受害者，如下表。

攻擊者是如何攻下這些受害者？我們通過跟蹤分析發現，攻擊者製造了非常精美的比特幣相關釣魚頁面，並託管在和 兩個地址，引誘受害者下載釣魚頁面提供的「比特幣生成器」，如下圖。

圖 「比特幣生成器」釣魚網頁

然而，這款「比特幣生成器」實際上是一個名為Agent Tesla的Keylogger類型木馬，其功能主要有竊取瀏覽器、郵件、FTP等密碼，收集鍵盤記錄、粘貼板信息，獲取截屏和網路攝像頭。受害者一旦被植入該木馬，則會將上述密碼、信息發送到a-work.info下某個C2控制中心。

2.2 木馬流量分析

安全研究員從上述釣魚頁面下載了所謂的「比特幣生成器」，運行后進行 了流量分析。 在捕獲的數據包中，可以明顯的看到木馬連回a-work.info站點，如下圖。

圖 木馬執行后回連C2

同時，捕獲到以下數據包：

1、發送受害者基本信息到伺服器關鍵參數為type=info，其他hwid為唯一編號，pcname為用戶名和計算機名稱。

2、每隔2分鐘發送一次心跳包，關鍵參數為type=update。

3、發送屏幕截圖，關鍵參數為type=screenshots,數據欄位為screen，截圖數據 數據量較大，內容 用｛$data｝代替。

4 、發送鍵盤記錄和粘貼板記錄，關鍵參數為type=keylog，數據欄位為logdata，內容較多用{$data}代替。

5、發送竊取的密碼 ，關鍵欄位為type=passwords，數據欄位為username和password，內容較多用較多用{$data}代替。

綜合以上數據可以看到，木馬的流量中關鍵指令為type=info/update/screenshots/keylog/passwords，每一次通信過程中，數據欄位都有hwid、pcname、logdata、screen、ipadd、webcam_link、client、link、username、password、screen_link，網關類的設備可以此為基礎來生成檢測和阻斷規則。

2.3 木馬行為分析

安全研究員同時對木馬運行后的行為進行了分析，捕獲到以下木馬特徵行為：

1、木馬啟動后偽造報錯信息並複製自身到C:\Users\當前用戶\AppData\Local\Temp 目錄 ，然後自刪除。

圖 釋放文件

2、修改註冊表，並將自己添加到 啟動項中。

圖 修改鍵盤鉤子

2.4 木馬生成器分析

根據木馬的行為分析來看，這款木馬還是具有很明顯的木馬特徵，按道理很多殺軟應該可以輕易的查殺，但為什麼還是有不少受害者中招，抱著這個好奇心以及本著透徹分析的原則，東巽2046Lab的安全研究員對木馬的生成器進行了分析。由於沒有捕獲到本次攻擊者使用的生成器，考慮到和官方的生成器存在一致性，便對官方的生成器進行分析做參考。

Agent tesla是一款市面上公開的keylogger類型木馬，其官網為，如下圖。透過官網可以看到，頁面做得非常專業，提供木馬的同時提供web panel管理頁面和私有加密；支持全系列Windows系統；服務也是非常周到，提供自動購買、激活和7x24小時的支持，可以算是達到了SasS行業的標準。

圖 Agent tesla官網

安全研究員對生成器的分析結果如下：

1、木馬支持WEB、FTP 、郵件三種 數據接收方式，很明顯本次跟蹤到的C2採用了web接收方式。

圖 數據發送方式配置

2、木馬的記錄器（LOGGER）功能可進行任意配置，如 鍵盤記錄、粘貼板記錄、截屏、攝像頭拍照， 正好印證了木馬流量分析結果。

圖 木馬記錄器配置

3、木馬竊取密碼種類繁多，幾乎涵蓋了主流的瀏覽器、郵件客戶端（連國內常用的foxmail都包含了）和一些ftp、Winscp等管理工具，並可以隨意配置。

圖 木馬竊取密碼配置

4、木馬生成器的 常見配置中還包括了安裝時bypass UAC，直接殺進程、禁用任務管理器、系統恢復等功能，甚至可配置運行后偽裝成提示、報錯等功能來迷惑受害者。

圖 安裝配置

圖 安裝后提示信息

該生成器每次生成的木馬hash都不一樣，綜合以上木馬生成器分析，結合該木馬作者團隊推出的定期更新服務，推測受害者中招的主要原因為木馬具有較強的免殺能力和迷惑性。

3 受害者分析

3.1 行業分析

如前述，根據受害者數量和密碼數量的比值，推測受害者不是普通網名。於是安全研究員將受害者的數據進行整理和統計，發現了更加有意思內容，大部分單個受害者的賬號和密碼數量都很大，甚至某單個受害的帳號密碼居然高達9510條。受害者是誰，做什麼行業需要大量的賬號和密碼？安全研究員對受害者賬號密碼對應的站點進行了統計，截取了總量前20的網站：

排除常見的郵箱、社交站點外，安全研究員分析了靠前幾個站點。其中：

(英語)，註冊進去后發現這個網站功能齊全，包括投資、賭博、推廣等內容，經營行業橫跨金融理財、賭博、挖礦等行業。

圖 freebitco.in站點

https://freedoge.co.in/（英文）， 是一個免費獲取dogecoins（國內稱「狗幣」）的站點。

圖 freedoge.co.in站點

(英語)，可以理解成用比特幣結算的廣告聯盟。

圖 adbtc.top站點

(俄語)，是個雲挖礦類型的網站，靠售賣算力盈利，同時也提供推廣，返利按級別分別為20%，10%，3%，2%，1%。

圖 站點

通過以上網站分析，受害者訪問多是和比特幣等虛擬幣相關的網站，結合木馬偽裝成「比特幣生成器」來看，我們認為受害者主要是 跟 虛擬貨幣相關的「羊毛黨」，從事SEO、廣告、 挖礦、薅羊毛等網賺項目。

3.2 地域分析

受害者共計645個，通過分析受害者的IP地理位置信息，發現受害者主要來自俄語系國家， 其中又以 俄羅斯為最為嚴重，佔到了近一半的比例，這也印證了上述站點中為何mail.ru排名靠前，且vk.com和yandex.ru等典型俄語系社交站點也靠前。

圖 受害者國家分佈

圖 受害者地理位置分佈

4 攻擊者分析

4.1 地域分析

安全研究員對攻擊者進行了一定時間的跟蹤，根據跟蹤到的攻擊者的操作日誌提取到信息 來看 ，攻擊者是有一定經驗的熟手，經常會利用VPN來管理C2。排除VPN后，綜合攻擊者使用的瀏覽器語言，推測 攻擊者的真實IP可能為194.165.18.*， 目前可能生活在俄羅斯，常使用VyprVPN來 隱藏身份，母語為俄語。

圖 攻擊者位置和系統

4.2 身份分析

C2的域名a-work.info存活時其IP指向185.28.102.63，隸屬於forpsicloud.sk雲服務商，位於捷克的一個機房中，說明攻擊者購買的是雲主機。這個網站的主要語言以俄語為主，符合上述攻擊者語言為俄語推斷。file-loader.download和uljob.info設置了域名隱私保護，但通過對a-work.info的Whois信息進行查詢，截取了以下重要信息：

根據以上註冊人、註冊郵箱、電話等信息，進行了反查得到了其他幾個域名，整理后關係如下：

整理后詳細信息如下表：

David KazaryanDavid KazaryanDavid Kazaryan

[email protected]

+1.2482590389+1.2482590389+1.2482590389

USUSUS

通過上述信息可以看到，所有的域名都指向名叫David Kazaryan的人，並且可以肯定的是：kazaryandavid.com、dkazaryan.org、dkazaryan.info一定隸屬於同一個人，理由是：

1) 註冊郵箱都是[email protected] 。

2) 註冊電話都是+1.2482590389。

3) 註冊時間非常接近，都是2017-01-22 04點左右，甚至可以推測dkazaryan.org、dkazaryan.info是一次提交，選擇的兩個域名註冊申請，因為註冊時間、過期十分接近，其他信息完全一樣。

如果a-work.info和其他三個域名一樣，都是同一個人，那基本可以鎖定攻擊者的真實身份。於是我們通過社交站點找到了David Kazaryan這個人，如下圖。

圖 David Kazaryan資料

圖 David Kazaryan資料

從資料看，David Kazaryan是一名設計師，2012年從美國某大學大學部畢業，推算至今28歲左右，俄語流利。

同時，我們嘗試對[email protected]郵箱進行密碼找回，發現其附加的找回郵箱是隨意填寫的地址，除此之外，暫未找到其他與該郵箱有關信息，推測該郵箱可能是一個臨時申請郵箱。

圖 [email protected]郵箱的密碼找回

綜合以上信息，從C2站點a-work.info的分析結果，我們推測攻擊者位置為俄羅斯，母語為俄語。雖然其註冊人為David Kazaryan，並且個人資料中俄語流利，但綜合來看更像美國人。考慮到我們暫未找到其與a-work.info其他交集的信息的情況下，雖然不能排除David Kazaryan（[email protected]）的嫌疑，但我們更傾向於認為攻擊者僅僅冒用了David Kazaryan這個名字。

4.3 時間線分析

整理C2域名創建、釣魚網站域名創建和受害者數據日期統計后，得到下圖：

圖 部署和數據時間線

從圖可以看出，攻擊者在2月開始進行C2和釣魚站點域名申請和部署，3月開始投入使用，7月13日不管是受害者上線量，還是密碼和記錄器數據，都到達了數據頂峰（7月5日之前密碼和記錄器數據已被轉移），說明在7月中旬是攻擊者最活躍的時期。

4.4 意圖分析

綜合以上信息：釣魚頁面為比特幣生成器頁面，木馬是一款密碼記錄器，受害者為SEO、挖礦等羊毛黨，且被竊取的數據多為比特幣錢包地址和密碼，再結合近半年比特幣行情飆升來看，可以斷定：

攻擊者的意圖是盜取羊毛黨們的比特幣等虛擬貨幣資產，自己賺一筆。

5 總結

從上述分析結果來看，本例C2完全定性為一起「黑產」事件，不過和以往見到的黑產不太一樣的是，這起黑產針對的是「羊毛黨」，略帶點「黑吃黑」的黑幫劇情。使用的技術不算高深，但依然有效，TTPs簡要總結如下：

表 TTPs總結

此外，從這起事件來看，可以預見木馬即服務（MaSS）會越來越熱，黑產的上下游越來越清晰，也越來越專業，逐漸演變成一種標準化的軟體服務，致使攻擊變得更加簡單和低成本，攻擊者無須自行開發木馬，也無須私下聯繫木馬開發者，想要實施一次攻擊，只需要在互聯網上買一個月就好了。

所以，作者建議用戶盡量不要下載使用來源不明的軟體和工具，尤其是破解、網賺一類，這些常常是木馬偽裝的重災區，當你在考慮輕鬆賺錢或者免費使用付費軟體的時候，也正是被攻擊者盯上的時候。如果你的數據資產很敏感很重要，建議加強網路安全方面的建設，並邀請專業的安全團隊進行定期的安全檢測。

註：

東巽全球C2監控平台，是東巽科技自研的一個全球C2的存活狀態的監控平台，用於監控C2的存活情況和分析攻擊者的活躍程度，為用戶提供威脅情報。

東巽2046Lab，是東巽科技的一個安全研究實驗室，主要從事樣本研究、異常流量研究、Web攻防研究、C2跟蹤等網路安全方面的研究。