作者:
聚鋒實驗室
·
2015/07/21 10:41
作者:Mr.Right、Evancss、K0r4dji
申明:文中提到的攻擊方式僅為曝光、打擊惡意網路攻擊行為,切勿模仿,否則後果自負。
0x00 發現
接到客戶需求,對其網際網路辦公區域主機安全分析。在對某一臺主機通訊資料進行分析時,過濾了一下HTTP協議。
一看資料,就發現異常,這臺主機HTTP資料不多,但大量HTTP請求均為“Get heikewww/www.txt”,問題的發現當然不是因為拼音“heike”。點選“Info”排列一下,可以看得更清楚,還可以看出請求間隔約50秒。
為更加準確地分析其請求URL地址情況,在選單中選擇Statistics,選擇HTTP,然後選擇Requests。可以看到其請求的URL地址只有1個:“d.99081.com/heikewww/www.txt”,在短時間內就請求了82次。
這種有規律、長期請求同一域名的HTTP通訊行為一般來說“非奸即盜”。
- 奸:很多防毒軟體、APP、商用軟體,為保持長連線狀態,所裝軟體會定期透過HTTP或其它協議去連線它的伺服器。這樣做的目的可以提供線上服務、監控升級版本等等,但同時也可以監控你的電腦、手機,竊取你的資訊。
- 盜:木馬、病毒等惡意軟體為監控傀儡主機是否線上,會有心跳機制,那就是透過HTTP或其它協議去連線它的殭屍伺服器,一旦你線上,就可以隨時控制你。
我們再過濾一下DNS協議看看。
可以看出,DNS請求中沒有域名“d.99081.com”的相關請求,木馬病毒通訊不透過DNS解析的方法和技術很多,讀者有興趣可以自行查詢學習。所以作為安全監控裝置,僅基於DNS的監控是完全不夠的。
接下來,我們看看HTTP請求的具體內容。點選HTTP GET的一包資料,可以看到請求完整域名為“d.99081.com/heikewww/www.txt”,且不斷去獲得www.txt檔案。
Follow TCPStream,可以看到去獲得www.txt中的所有惡意程式碼。
0x01 關聯
到這兒,基本確認主機10.190.16.143上面執行了惡意程式碼,它會固定時間同199.59.243.120這個IP地址(域名為d.99081.com)透過HTTP協議進行通訊,並下載執行上面的/heikewww/www.txt。
那麼,是否還有其它主機也中招了呢?
這個問題很好解決,前提條件是得有一段時間全網的監控流量,然後看看還有哪些主機與IP(199.59.243.120)進行通訊,如果域名是動態IP,那就需要再解析。
- 如果抓包檔案僅為一個PCAP檔案,直接過濾“ip.addr==199.59.243.120”即可。
- 全網流量一般速率較高,想存為一個包的可能性不大。假如有大量PCAP檔案,一樣透過WireShark可以實現批次過濾。
下面我們就根據這個案例,一起了解一下WireShark中“tshark.exe”的用法,用它來實現批次過濾。
Tshark的使用需要在命令列環境下,單條過濾命令如下:
cd C:\Program Files\Wireshark
tshark -r D:\DATA\1.cap -Y "ip.addr==199.59.243.120" -w E:\DATA\out\1.cap
解釋:先進到WireShark目錄,呼叫tshark程式,-r後緊跟源目錄地址,-Y後緊跟過濾命令(跟Wireshrk中的Filter規則一致),-w後緊跟目的地址。
有了這條命令,就可以編寫批處理對資料夾內大量PCAP包進行過濾。
透過這種辦法,過濾了IP地址199.59.243.120所有的通訊資料。
統計一下通訊IP情況。
根據統計結果,可以發現全網中已有4臺主機已被同樣的惡意程式碼所感染,所有通訊內容均一樣,只是請求時間間隔略微不同,有的為50秒,有的為4分鐘。
0x02 深入
1 惡意程式碼源頭
在www.txt中我們找到了“/Zm9yY2VTUg”這個URL,開啟檢視後,發現都是一些贊助商廣告等垃圾資訊。如下圖:
透過Whois查詢,我們瞭解到99081.com的域名伺服器為ns1.bodis.com和ns2.bodis.com,bodis.com是BODIS, LLC公司的資產,訪問其主頁發現這是一個提供域名停放 (Domain Parking)服務的網站,使用者將閒置域名交給它們託管,它們利用域名產生的廣告流量和點選數量給使用者相應的利益分成。
2 惡意程式碼行為
經過公開渠道的資料瞭解到Bodis.com是一個有多年經營的域名停放服務提供商,主要靠網際網路廣告獲取收入,其本身是否有非法網路行為還有待分析。
99081.com是Bodis.com的註冊使用者,即域名停放使用者,它靠顯示Bodis.com的廣告並吸引使用者點選獲取自己的利潤分成,我們初步分析的結果是99081.com利用系統漏洞或軟體捆綁等方式在大量受害者計算機上安裝並執行惡意程式碼訪問其域名停放網站,透過產生大量流向99081.com的流量獲取Bodis.com的利潤分成。通常這種行為會被域名停放服務商認定為作弊行為,一旦發現會有較重的懲罰。
3 攻擊者身份
根據程式碼結合其它資訊,基本鎖定攻擊者身份資訊。下圖為其在某論壇註冊的資訊:
0x03 結論
- 攻擊者透過非法手段利用域名停放網站廣告,做一些賺錢的小黑產,但手法不夠專業;
- 攻擊方式應是在透過網站掛馬或軟體捆綁等方式,訪問被掛馬網站和下載執行了被捆綁軟體的人很容易成為受害者;
- 惡意程式碼不斷透過HTTP協議去訪問其域名停放網站,攻擊者透過惡意程式碼產生的流量賺錢。
本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!