安基網 首頁 資訊 安全報 查看內容

黑客大曝光 | 某惡意軟件即服務(MaaS)平臺的黑客網絡ID曝光

2019-8-10 13:02| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 近期,安恒獵影威脅分析團隊監測發現多個偽裝為“DHL快遞中國”的釣魚郵件在展開網絡釣魚活動。釣魚郵件會攜帶惡意程序或打包惡意程序的壓縮包,點擊運行用戶電腦就可被遠程控制。經過一系列關聯分析,發現了諸多隱匿在網絡中的個人黑客或組織,這些個人黑客或組織通常會購買兜售的惡意軟件工具包、漏 ...

近期,安恒獵影威脅分析團隊監測發現多個偽裝為“DHL快遞中國”的釣魚郵件在展開網絡釣魚活動。

釣魚郵件會攜帶惡意程序或打包惡意程序的壓縮包,點擊運行用戶電腦就可被遠程控制。

經過一系列關聯分析,發現了諸多隱匿在網絡中的個人黑客或組織,這些個人黑客或組織通常會購買兜售的惡意軟件工具包、漏洞利用工具套件、租用惡意軟件服務或使用開放使用的惡意軟件或漏洞利用工具進行網絡攻擊行為

1

分析

通過對DHL-#AWB130501923096.exe(MD5:5689e31d76ba60638baaab883acdba28)進行分析,其C2地址為160[.]202[.]163[.]240,通過對該C2進行關聯分析

可以關聯到許多樣本,如

17DHL-AWB130501923096PDF.exe(MD5:83fb9c6982ce166e81bafa08489cf11c)這個樣本,

其PDB信息為

這條PDB信息非常奇特,中間包含[email protected][.]com這樣一個郵箱,猜測這是一個用戶名,通過威脅分析平臺關聯性搜索,可以發現更多這類PDB信息,如:

  • C:xampphtdocsAspirefilesdabadaba212_CVIJdSiEDSQpnQFwCVIJdSiEDSQpnQFwma.pdb

  • c:xampphtdocsAspirefilespololoco_mFSLvkLxNEHAeFEKmFSLvkLxNEHAeFEK.pdb

  • C:xampphtdocsAspirefilessyscore_NKvQFClSbBXRkAevNKvQFClSbBXRkAev_packed.pdb

  • C:xampphtdocsAspirefilesshadowmeks_APuZCGYlJzutgjphAPuZCGYlJzutgjph_packed.pdb

  • C:xampphtdocsAspirefilesjohnclark_aKaTItYbxxnMASPnaKaTItYbxxnMASPn_packed.pdb

  • c:xampphtdocsAspirefileskentex_DGqqhzYgETxGvxhkDGqqhzYgETxGvxhk.pdb

  • C:xampphtdocsAspirefilesBanditoclassic_PPGrLQesaHUzaMiXPPGrLQesaHUzaMiXma.pdb

  • C:xampphtdocsAspirefilesAspeedp_ufsZwpcZstbRUHOGufsZwpcZstbRUHOGma.pdb

    ……

具體可以看下文“附1:PDB泄露不完全統計表”,已統計出50多個不同用戶名ID,其可視化效果如下:

C:xampphtdocsAspirefiles看上去疑似一個網絡化的服務,這非常像一個MaaS(惡意軟件即服務),然后會根據注冊用戶生成相應的PDB,顯而易見的是用戶名被泄露了。

怎么得知中間這部分就是用戶名呢,其實我們可以在各大黑客論壇找到這些用戶名ID,如Aspeedp:

擁有這類PDB的惡意軟件大多數為.net平臺的Nanobot惡意軟件,也包含有AgentTesla、Azorult、Zegost、Quasar等惡意軟件。

另外通過這些樣本可以獲取更多關聯信息如掛馬地址、C2地址,如

  • tfvn [.] com [.] vn

    這個掛馬地址,曾被披露為HawkEye新版本和漏洞利用文檔的掛馬地址,這里也有許多樣本關聯向該地址,如


  • hxxps://tfvn[.]com[.]vn/nno/btj[.]exe(MD5:35a0dadf0a2686266ac9a52358edfb15)

    PDB為C:xampphtdocsAspirefilestony82_TVVYbnesNRrpxChyTVVYbnesNRrpxChyma.pdb


  • hxxps://tfvn[.]com[.]vn/dmi/jm/dj[.]exe(MD5:355308d961f1b4f8366544881b342b11)

    PDB為c:xampphtdocsAspirefilesgloria1303_ILteYagMoPpTqwtDILteYagMoPpTqwtDma.pdb

這兩個用戶名為tony82、gloria1303的黑客使用該域名進行網絡攻擊活動,該域名下還關聯有非常多的漏洞利用文檔和惡意軟件,可以猜測和以上兩位黑客有極強的關聯性。

同理可以應用于其他樣本關聯的掛馬地址和C2地址。這類地址所進行的網絡攻擊活動很大程度上和泄露出的這些用戶ID有關。

這一類的惡意文件和文檔,被用在監控的威脅中非常常見的到處都在投遞的釣魚郵件,如:

2

防御建議與總結

企業應當注重培養人員安全意識,不輕易打開未知來源的郵件及附件,不隨意點擊未知鏈接,不隨意打開未驗證可靠來源的文檔,及時為信息系統打好補丁

部署安恒APT預警平臺,發現已知或未知的威脅。APT預警平臺的實時監控能力能夠捕獲并分析郵件附件投遞文檔或程序的威脅性,并能夠對郵件投遞、漏洞利用、安裝植入、回連控制等各個階段做強有力的監測。結合安恒威脅情報系統,可將國內外的威脅數據進行匯總,并分析整個攻擊演進和聯合預警。

獵影威脅分析團隊將持續關注網絡安全動態。

附1:PDB泄露不完全統計表




小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6723370880522519044/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
湖北快3 购买技巧