无缝运动通过Punycode（更新） - MalwareBytes Labs提供钻机EK |必威官方登录备用必威平台APP必威平台APP必威官方登录备用Malwarebytes Labs.

无缝运动通过Punycode提供钻机EK（更新）

发布：2017年12月4日经过JérômeSegura.
最近更新时间：2017年12月5日

更新（2017-12-05）：我们使用新域名表示一些恶意链（newadultthem [。]信息）还托管与Punycode One相同的IP地址。

- -

无缝运动是推动钻机开采套件的最多增长的弹性链之一，几乎完全提供了Ramnit木马。由于其使用静态字符串和IP文字URL，识别无缝的识别通常很容易。但是，现在我们一直看到另一个并行运行的无缝运动，利用特殊字符。

此无缝链而不是使用IP地址，使用基于西里尔的域名，它通过识别字符转录为可识别的字符Punycode.，unicode的视觉表示。在本博客文章中，我们将对无缝门进行快速历史审查，并以新格式描述此最新迭代。

历史

我们通过2017年3月左右的成人网站（如下图所示）指出重定向一个针对加拿大的新门。由于其代码中存在相同名称的字符串，思科命名这个新的竞选“无缝”。无缝从一开始就丢弃了ramnit银行木马，仍然继续这样做。

URL模式通常是：

194.58.39.195/flow2.php 194.58.42.235/flow335.php 185.311.160.55/flow336.php 193.124.18.78/signup2.php 194.58.38.54/canadajapan.php 194.58.38.31/japan.php 194.58.92.34/usa.php 194.58.47.235 / signup1.php 194.58.47.235/signup2.php 194.58.47.235/signup3.php 194.58.47.235/signup4.php 194.58.40.48/signu3.php

如今，Web流量到无缝的仍然来自服务恶意的成人门户，最终重定向到包含字符串的相同IP文字URL测试后跟三位数：

无缝和punycode.

直到近年来，域名注册商开始允许域名中的非英语（ASCII）字符，由应用程序的国际化域名（IDN）定义框架。这允许各国通过自己的字母自定义服务，其中包括我们否则称之为“特殊字符”的字母，但实际上在互联网出生前已经存在了很久。

punycode是Unicode字符的表示，用于主机名用于主机名，允许IDNS，而DNS查找仍然可以使用ASCII字符执行。无缝背后的威胁演员一直在使用包含西里尼斯人物的域名（大多数在东欧国家），我们在我们的蜜曲本通过其Punycode表示中发现了我们注意到的。

通过恶意重定向启动对无缝门的呼叫：

   <元http-asciv =“刷新”内容=“0; URL ='http：// xn  -  80af6acaaaj9h .xn  -  p1acf / test551.php'”/>

值得注意的是，Punycode已被诈骗者开采网络钓鱼域名类似官方品牌，有时某些unicode字符很难区分ASCII。

目前尚不清楚这是否是刻意的尝试绕过入侵检测系统，或者如果它只是一个类似于以前的奇怪情况十进制知识产权活动。时间将判断无缝运算符是否维护或放弃其支持长期使用的IP文字URL。

妥协指标（IOC）

注意：这些IOC是特定于Punycode无缝运动的。

URL：

XN  -  80AF6ACAAAJ9H .XN  -  P1ACF / TEST441.PHP XN  -  80AF6ACAAAJ9H .XN  -  P1ACF / TEST551.php

IP地址：

31.31.196.171

有效载荷：

1609ab905f2ebbfe23b1111789cf8cade8b303642ecc5002ea63a3be24d2a07e 1a82f19a88827586a4dd959c3ed10c2c23f62a1bb3980157d9ba4cd3c0f85821 555f2d1665910e5d47ba45b0c8ec9eafaeb7c12868c5b76d52fcd0e17da248ec 58fb6436df51c59f8efe67b82e2a8a3af10faf798e9f4f047bac2fab1c1b0541 5943564ab3d38d4a9a0df32352dd5d2b04ccb76294e68a5efcbad5745d397de3 6fc5375161decbb23391e8302693437740765cf3e5e6f17afee9d720c22a1fac 79754c3bf6d5e40d89d2d81ba5a124b9ee13d924994fddeb170a50abd7f2be62 85c3822ab9254c8b52515869ca7430165142b37d05d4a41fe0293177098d44f2 888c88d190776cbf6bb010c2613c31428fb0779ed90f4f2bb8611a754a6bd44a a5d557f02bbf6454e912f7295f641985ec5535443a58bb163d7beadade854783 afe98c589e78abf76080ecdd1640f8e6e64f1f0244cfd4a1c216a4c0f8a9df24 b6c18ec6499e9671e0d80107e27485dee0ece626220a701570037407423f25c1 bba607dcf8d747daa2cb8d60986240caa932300dcf12da7073238822b3a1f42f bbea73e7b0d57969e45ef34667a016992f9295932e5b901858e3417593e080a2 d7b0ea1593eee67d43f5cd0a4472ac2cd12920a9ae2e87f29b02fafc98b00321 ec82f488d2c0c5f69f01c7d051081E8404F883CD4B63E57506D461C3E3926B0E F71411642BB2CDC1B3DA39D44D8F157BDA0BDB853632174C3796B9D3B500F5 F766632174C3796B9D3B500F5 F766D034B8579922FCEB9A0C50B7EA7799D6D9ED79ACC8FCC08ABEA129B6F4A