在过去的几个月里,我们一直关注主要用于将Cerber Ransomware送到亚洲的特定国家的幅度开采套件。我们的遥测表明,韩国通过持续的恶意运动受到影响最大。

当访客进入一个通过广告货币化其交通的网站时,他可能会暴露于恶意广告。通过称为实时竞标(RTB)的过程启动浏览器中显示的定制广告。不幸的是,骗子将通过欺骗和滥用广告机构来利用这一过程,试图赢得在线拍卖来服务他们的恶意内容。

图1:典型的重定向流量通过功率变为幅度ek

除了由各种广告网络执行的流量过滤之外,用户在“门”中检查,该“门”决定是否应该允许它们进行幅度eK。通过校对点[1]昵称为“缩减”的该门,对访问者的IP地址和用户代理进行了额外的检查,以确定其地理定位,互联网服务提供商,操作系统和浏览器信息。

双方用途

agagigate有两个目标:成为非预期目标的诱饵站点,或者是符合其要求的访客的重定向机制(或社会工程方案[1])。换句话说,看到虚伪地站点的内容意味着重定向到幅度ek失败。在我们的测试期间,我们还注意到门可以发送404或502 HTTP状态代码。

图2:衡量e-cig诱饵位点(避免)或幅度ek(真实目标)的导线

开头:2013-2014

使用公共数据包捕获以及我们自己的蜜罐,我们回到时间并探索这个门的历史和演变。注意:这篇文章不打算完全穷举,读者应该知道还有其他重定向链,而不是在这里呈现的其他重定向链。

早期数据包捕获很难公开,但是从2013年中期和2014年中期的PCAPS显示了用于将用户重定向到幅度EK的各种技术。

302重定向

这一个显示了2013年8月可能受到了可能受损的网站的302重定向,尽管当时也是一种感染源(MalwareDontnefoffee [2])。PCAP来自malware-traffic-analysis.net.

图3:在2013年夏季执行重定向的网站

iframes.

2014年1月,我们可以看到Iframe在受损站点上插入要重定向到执行302重定向到EK的第二级服务器。PCAP来自malware-traffic-analysis.net.

图4:IFrame注入导致302重定向到幅度ek

top.location.href.

在2014年3月捕获中,另一种重定向技术是捕获的。(侧注:下面图片的网站仍然被黑了,甚至3年后)。PCAP来自malware-traffic-analysis.net.

图5:一个受损害的网站,导致2014年冬季ek

JS注射到iframe

在2014年9月的快照中,我们看到一个受妥协的网站,其中包含了一个注入它的恶意j。PCAP来自malware-traffic-analysis.net.

图6:此外部JavaScript称为幅度ek着陆页

隐写术

2014年10月,我们看到了一个有趣的重定向技术,涉及隐草起初并不明显。恶意重定向URL存储在托管在黑客站点上的图像文件中(data.png.)。考虑到放置到解码它的JavaScript函数的努力,它是一个旨在隐藏的文件的贫困名称选择。

PCAP来自malware-traffic-analysis.net.

图7:通过隐写术从黑客网站重定向流量的有趣和隐蔽的方法

更“可预测的”门:2014-2015末

2014年11月,重定向基础设施有一个有趣的变化。令人妥协的站点注入了一个十六进制编码脚本,该脚本执行第一个重定向到.eu域。它是一个调用的下一个域filesnews.ws.,这对幅度ek着陆页面执行了最终调用。值得注意的是,'.ws'域和幅度ek着陆位于相同的IP空间,运行Apache 2.2.15和PHP 5.3.3。在下个月内,我们还目睹了共享相同服务器软件规范的大门(尽管在不同的IP空间中)。

PCAP来自威胁

图8:2014年秋季捕获的大门和ek之间的重叠基础设施规范

在额度ek活动中使用诱饵网站可能已始于2014年底或2015年初。以下是此类网站的一个例子(paypalinvest.info.交通源于恶意。假网站旨在混淆分析师,并随着时间的推移使用各种主题,如金融,游戏,电子商人等。

图9:使用诱饵网站是一种流行的趋势

指纹识别:2016年

对大门的新扭曲发生在周围2016年3月14日。到目前为止,我们观察到的重定向已经通过一个单一的Web请求,但在几天的过程中,我们目睹了一个也包含“指纹识别”代码的增加的步骤。(侧注:根据MalwaredontneedCoffee.指纹识别代码之前已经处于幅度的主要着陆页面)。

图10:通过浏览器指纹用户在大门中显示为幅度ek

一个月后一点半,指纹门消失,取代了一个简单的302重定向。

图11:“简单”重定向流程

稍后,栅极的第一部分略微发生变化,揭示了卡巴斯基虚拟键盘的检测:

图12:检测已安装卡巴斯基软件的(和避免)用户

事情再次发生变化只是时间问题。卡巴斯基检查转换为门的第二部分。

图13:用于卡巴斯基键盘检测的转换

混淆:2016年秋季

在2016年秋季,发生了一个重要的变化,因为它不再作为工具包租来,而是唯一地使用决定专注于占有亚洲,特别是韩国的一个演员,而是提供汉语ransomware [1]。

在接下来的几个月里,当前被称为'raging'的门,通过一些代码混淆,在服务器端检查,以通过用户 - 代理和地理定位过滤流量[1]。这意味着在野外捕获幅度ek变得更加困难,而没有适当的设置。

图14:在几个月内测量的各种编码

更多编码:2017年7月

最新版本的功率具有不同的编码。这是一个快速看待它。

图15:2017年7月可见的奖励

图16:步骤1在称重重定向流程中

图17:步骤2在称重重定向流程中

第0步在门中?

<编辑>此指纹“门”与幅度EK无关,而是S.韩语ISP注入HTTP请求。感谢提供反馈的人

我们发现了一个实例,其中在门本身中有一个重定向循环,然后在最终继续使用常用路径之前。这种“额外”支票并没有一直发生,暗示它仍在开发中或被选择性地测试。

服务器基础架构也非常令人费解,例如Microsoft IIS而不是我们通常看到的标准Apache,并驻留位于韩国的IP地址(210.117.120.42)。

图18:在正常振荡流之前的有趣弯曲

仔细看看该步骤1阶段中使用的代码揭示了各种类型的指纹,例如检查本地IP地址并检测安装的视频驱动程序。

图19:通过RTCPeerConnection技巧获取当前用户的本地IP地址

图20:用于识别用户的视频驱动程序的帆布指纹识别

无论该门门的准确目的是什么,它在当前访问者上执行一些深入的检查,并将那些作为URL内的参数传递。只有时间才能判断这是否被整合为事实上检查,或者这是否是蜜罐的某种临时陷阱。

盖茨和利用套件

只要存在存在于存在的重定向机制(通过受损站点或恶意),不需要栅极不需要栅极以便通过感染成功感染。然而,门提供了一种有效的方法来在浪费非预期目标上浪费资源之前进行最终流量过滤。它也是防止蜜罐和安全研究人员将他们的鼻子挖到您的业务或跟踪和记录活动的非常有效的手段。一些爆炸套件像Astrum Ek一样,在整个感染链中做一些沉重的过滤,尽可能悄悄地是隐身,导致他们使用的恶意活动知识或他们使用的利用代码。

它很可能会导弹将继续发展,但问题是这些是否会略有化妆品变化(不同的混淆技术)或更大的大量(新的检测或逃避技术)。

必威平台APP由于我们的签名 - 较少的防爆模块,用户受到保护措施。

参考

[1] Cerber,而不是唯一的有效载荷:https://www.prickpoint.com/us/threat-insight/post/magnituze-actor-social -engineering-scheme-windows-10.

[2]http://malware.dontneedcoffee.com/2013/10/magnitude.html.

致谢

我想要感谢David Ledbetter.曼努埃尔卡尔罗在这项研究中有助于帮助。

妥协指标

缩减正则表达式

\ /(([0-9] {5,8} | 0)(\ $ |%[0-9] [A-Z] |&)){13,14} $

测距域(步骤1)

paypalinvest [。] info bestmoneyinvest [。] Net Roundgames [。]绕道[。] argengielodound [。] org planetofsgames [。] com lebhaile [。] com efxmoney [。] com blowyourmindvape [。] comLetsvapes [。] com letsdove [。] com letovape [。] com

衡量完全限定的域名(步骤2)

cdi3e82hac4p.boxaims [。] COM f344709fpep0ue412r.dieowed [。] COM 4lfcfq6a7g94.rarekid [。] COM 0adci9j7d7l46e.asmight [。] COM d88o9cd59.endsits [。] COM c00x28g6c54fax0br.ordrink [。] COM 28cdw96cl1do5.givesup [。] COM 2a2l2xfcffcb66v。hesoff[.]com 38ffa328261.isleave[.]com 6d82p5d2v0e4ft105s.owesdo[.]com 175c2a53f64lbr64w.milered[.]com e4cua85j8w06crek833x.helpfix[.]stream 70i4o34b724q.bestbusy[.]site 7a48s4eu85kaeu4p3.doebulk[.]com 906q2u4567021q.usfixes[.]com 93c452ci0.deskif[.]com

IP地址

217.172.189.199 31.3.242.108 78.46.29.251 148.251.205.122 185.130.226.117 185.82.216.199 185.104.11.201 89.163.129.151 91.134.161.63 188.138.102.127 95.215.63.225 95.215.62.214 188.138.68.153 188.138.68.163 94.228.223.242 94.228.223.245 188.165。85.28 51.255.154.6 149.202.32.201 46.105.95.113 151.80.179.144 46.105.95.114 37.59.140.124 145.239.190.42 210.117.120.42