WireShark駭客發現之旅(3)—Bodisparking惡意程式碼
作者:Mr.Right、Evancss、K0r4dji
申明:文中提到的攻擊方式僅為曝光、打擊惡意網路攻擊行為,切勿模仿,否則後果自負。
0x00 發現
接到客戶需求,對其網際網路辦公區域主機安全分析。在對某一臺主機通訊資料進行分析時,過濾了一下HTTP協議。
一看資料,就發現異常,這臺主機HTTP資料不多,但大量HTTP請求均為“Get heikewww/www.txt”,問題的發現當然不是因為拼音“heike”。點選“Info”排列一下,可以看得更清楚,還可以看出請求間隔約50秒。
為更加準確地分析其請求URL地址情況,在選單中選擇Statistics,選擇HTTP,然後選擇Requests。可以看到其請求的URL地址只有1個:“d.99081.com/heikewww/www.txt”,在短時間內就請求了82次。
這種有規律、長期請求同一域名的HTTP通訊行為一般來說“非奸即盜”。
- 奸:很多防毒軟體、APP、商用軟體,為保持長連線狀態,所裝軟體會定期透過HTTP或其它協議去連線它的伺服器。這樣做的目的可以提供線上服務、監控升級版本等等,但同時也可以監控你的電腦、手機,竊取你的資訊。
- 盜:木馬、病毒等惡意軟體為監控傀儡主機是否線上,會有心跳機制,那就是透過HTTP或其它協議去連線它的殭屍伺服器,一旦你線上,就可以隨時控制你。
我們再過濾一下DNS協議看看。
可以看出,DNS請求中沒有域名“d.99081.com”的相關請求,木馬病毒通訊不透過DNS解析的方法和技術很多,讀者有興趣可以自行查詢學習。所以作為安全監控裝置,僅基於DNS的監控是完全不夠的。
接下來,我們看看HTTP請求的具體內容。點選HTTP GET的一包資料,可以看到請求完整域名為“d.99081.com/heikewww/www.txt”,且不斷去獲得www.txt檔案。
Follow TCPStream,可以看到去獲得www.txt中的所有惡意程式碼。
0x01 關聯
到這兒,基本確認主機10.190.16.143上面執行了惡意程式碼,它會固定時間同199.59.243.120這個IP地址(域名為d.99081.com)透過HTTP協議進行通訊,並下載執行上面的/heikewww/www.txt。
那麼,是否還有其它主機也中招了呢?
這個問題很好解決,前提條件是得有一段時間全網的監控流量,然後看看還有哪些主機與IP(199.59.243.120)進行通訊,如果域名是動態IP,那就需要再解析。
- 如果抓包檔案僅為一個PCAP檔案,直接過濾“ip.addr==199.59.243.120”即可。
- 全網流量一般速率較高,想存為一個包的可能性不大。假如有大量PCAP檔案,一樣透過WireShark可以實現批次過濾。
下面我們就根據這個案例,一起了解一下WireShark中“tshark.exe”的用法,用它來實現批次過濾。
Tshark的使用需要在命令列環境下,單條過濾命令如下:
cd C:\Program Files\Wireshark
tshark -r D:\DATA\1.cap -Y "ip.addr==199.59.243.120" -w E:\DATA\out\1.cap
解釋:先進到WireShark目錄,呼叫tshark程式,-r後緊跟源目錄地址,-Y後緊跟過濾命令(跟Wireshrk中的Filter規則一致),-w後緊跟目的地址。
有了這條命令,就可以編寫批處理對資料夾內大量PCAP包進行過濾。
透過這種辦法,過濾了IP地址199.59.243.120所有的通訊資料。
統計一下通訊IP情況。
根據統計結果,可以發現全網中已有4臺主機已被同樣的惡意程式碼所感染,所有通訊內容均一樣,只是請求時間間隔略微不同,有的為50秒,有的為4分鐘。
0x02 深入
1 惡意程式碼源頭
在www.txt中我們找到了“/Zm9yY2VTUg”這個URL,開啟檢視後,發現都是一些贊助商廣告等垃圾資訊。如下圖:
透過Whois查詢,我們瞭解到99081.com的域名伺服器為ns1.bodis.com和ns2.bodis.com,bodis.com是BODIS, LLC公司的資產,訪問其主頁發現這是一個提供域名停放 (Domain Parking)服務的網站,使用者將閒置域名交給它們託管,它們利用域名產生的廣告流量和點選數量給使用者相應的利益分成。
2 惡意程式碼行為
經過公開渠道的資料瞭解到Bodis.com是一個有多年經營的域名停放服務提供商,主要靠網際網路廣告獲取收入,其本身是否有非法網路行為還有待分析。
99081.com是Bodis.com的註冊使用者,即域名停放使用者,它靠顯示Bodis.com的廣告並吸引使用者點選獲取自己的利潤分成,我們初步分析的結果是99081.com利用系統漏洞或軟體捆綁等方式在大量受害者計算機上安裝並執行惡意程式碼訪問其域名停放網站,透過產生大量流向99081.com的流量獲取Bodis.com的利潤分成。通常這種行為會被域名停放服務商認定為作弊行為,一旦發現會有較重的懲罰。
3 攻擊者身份
根據程式碼結合其它資訊,基本鎖定攻擊者身份資訊。下圖為其在某論壇註冊的資訊:
0x03 結論
- 攻擊者透過非法手段利用域名停放網站廣告,做一些賺錢的小黑產,但手法不夠專業;
- 攻擊方式應是在透過網站掛馬或軟體捆綁等方式,訪問被掛馬網站和下載執行了被捆綁軟體的人很容易成為受害者;
- 惡意程式碼不斷透過HTTP協議去訪問其域名停放網站,攻擊者透過惡意程式碼產生的流量賺錢。
相關文章
- WireShark駭客發現之旅--開篇
- Wireshark駭客發現之旅(4)——暴力破解
- WireShark駭客發現之旅(7)—勒索郵件
- WireShark駭客發現之旅(5)—掃描探測
- WireShark駭客發現之旅—肉雞郵件伺服器伺服器
- WireShark駭客發現之旅(6)—“Lpk.dll劫持+ 飛客蠕蟲”病毒
- WireShark駭客發現之旅(8)—針對路由器的Linux木馬路由器Linux
- 駭客仿冒ChatGPT應用程式,傳播Windows、Android惡意軟體ChatGPTWindowsAndroid
- Ubuntu Snap Store發現惡意程式Ubuntu
- 【安天CERT】大量HFS搭建的伺服器被駭客利用進行惡意程式碼傳播伺服器
- 駭客釋出惡意Dota 2遊戲模式,藉以侵入玩家系統遊戲模式
- 駭客利用Firefox惡意擴充套件竊取Gmail和瀏覽器資料Firefox套件AI瀏覽器
- Websense稱3萬多合法網站被注入惡意程式碼Web網站
- 針對中文使用者,駭客利用谷歌搜尋廣告傳播惡意軟體谷歌
- Powershell惡意程式碼的N種姿勢
- VMwareMac版本漏洞可任意執行惡意程式碼REMMac
- 14-惡意程式碼防範技術原理
- 巧用 iLocker 清理惡意程式
- AV-TEST GmbH:2022年Q1-Q3累計發現6229萬個新惡意程式
- 支付寶安全實驗室發現3款惡意庫,提醒開發者擦亮眼
- 最新 Mac 惡意軟體 OSX/CrescentCore 被發現Mac
- 機器學習&惡意程式碼靜態檢測機器學習
- 程式碼中被植入了惡意刪除操作,太狠了!
- 惡意程式碼分析之行為分析及樣本收集
- VPNFilter 惡意程式能降級 HTTPSFilterHTTP
- 黑吃黑——駭客組織透過駭客工具攻擊其他駭客
- 駭客馬拉松 10 個最佳專案創意
- 紅客、駭客、駭客有什麼區別?駭客守則注意事項!
- 利用機器學習進行惡意程式碼分類機器學習
- 網站被植入惡意程式碼 該怎麼解決網站
- 安全沙箱技術助力企業隔離“惡意程式碼”!
- Flappy Bird 惡意程式詳細分析APP
- 惡意程式-分析SYNful Knock 思科植入
- 百事可樂裝瓶公司遭網路入侵,駭客安裝惡意軟體並下載資料
- 《Android惡意程式碼分析與滲透測試》讀後感Android
- python_mmdt:從0到1--實現簡單惡意程式碼分類器(二)Python
- 下載次數超30,000!PyPI儲存庫再次發現8個存在惡意程式碼的Python包Python
- Chrome 擴充套件程式包含惡意程式碼,竊取加密錢包私鑰Chrome套件加密