0×00 發現
接到客戶需求,對其互聯網辦公區域主機安全分析。在對某一臺主機通信數據進行分析時,過濾了一下HTTP協議。
一看數據,就發現異常,這臺主機HTTP數據不多,但大量HTTP請求均爲“Get heikewww/www.txt”,問題的發現當然不是因爲拼音“heike”。點擊“Info”排列一下,可以看得更清楚,還可以看出請求間隔約50秒。
爲更加準確地分析其請求URL地址情況,在菜單中選擇Statistics,選擇HTTP,然後選擇Requests。可以看到其請求的URL地址只有1個:“d.99081.com/heikewww/www.txt”,在短時間內就請求了82次。
這種有規律、長期請求同一域名的HTTP通信行爲一般來說“非奸即盜”。
- 奸:很多殺毒軟件、APP、商用軟件,爲保持長連接狀態,所裝軟件會定期通過HTTP或其它協議去連接它的服務器。這樣做的目的可以提供在線服務、監控升級版本等等,但同時也可以監控你的電腦、手機,竊取你的信息。
- 盜:木馬、病毒等惡意軟件爲監控傀儡主機是否在線,會有心跳機制,那就是通過HTTP或其它協議去連接它的殭屍服務器,一旦你在線,就可以隨時控制你。
我們再過濾一下DNS協議看看。
可以看出,DNS請求中沒有域名“d.99081.com”的相關請求,木馬病毒通信不通過DNS解析的方法和技術很多,讀者有興趣可以自行查詢學習。所以作爲安全監控設備,僅基於DNS的監控是完全不夠的。
接下來,我們看看HTTP請求的具體內容。點擊HTTP GET的一包數據,可以看到請求完整域名爲“d.99081.com/heikewww/www.txt”,且不斷去獲得www.txt文件。
Follow TCPStream,可以看到去獲得www.txt中的所有惡意代碼。
0×01 關聯
到這兒,基本確認主機10.190.16.143上面運行了惡意代碼,它會固定時間同199.59.243.120這個IP地址(域名爲d.99081.com)通過HTTP協議進行通信,並下載運行上面的/heikewww/www.txt。
那麼,是否還有其它主機也中招了呢?
這個問題很好解決,前提條件是得有一段時間全網的監控流量,然後看看還有哪些主機與IP(199.59.243.120)進行通信,如果域名是動態IP,那就需要再解析。
- 如果抓包文件僅爲一個PCAP文件,直接過濾“ip.addr==199.59.243.120”即可。
- 全網流量一般速率較高,想存爲一個包的可能性不大。假如有大量PCAP文件,一樣通過WireShark可以實現批量過濾。
下面我們就根據這個案例,一起了解一下WireShark中“tshark.exe”的用法,用它來實現批量過濾。
Tshark的使用需要在命令行環境下,單條過濾命令如下:
cd C:\Program Files\Wireshark tshark -r D:\DATA\1.cap -Y "ip.addr==199.59.243.120" -w E:\DATA\out\1.cap
解釋:先進到WireShark目錄,調用tshark程序,-r後緊跟源目錄地址,-Y後緊跟過濾命令(跟Wireshrk中的Filter規則一致),-w後緊跟目的地址。
有了這條命令,就可以編寫批處理對文件夾內大量PCAP包進行過濾。
通過這種辦法,過濾了IP地址199.59.243.120所有的通信數據。
統計一下通信IP情況。
根據統計結果,可以發現全網中已有4臺主機已被同樣的惡意代碼所感染,所有通信內容均一樣,只是請求時間間隔略微不同,有的爲50秒,有的爲4分鐘。
0×02 深入
1 惡意代碼源頭
在www.txt中我們找到了“/Zm9yY2VTUg”這個URL,打開查看後,發現都是一些贊助商廣告等垃圾信息。如下圖:
通過Whois查詢,我們瞭解到99081.com的域名服務器爲ns1.bodis.com和ns2.bodis.com,bodis.com是BODIS, LLC公司的資產,訪問其主頁發現這是一個提供域名停放 (Domain Parking)服務的網站,用戶將閒置域名交給它們託管,它們利用域名產生的廣告流量和點擊數量給用戶相應的利益分成。
2 惡意代碼行爲
經過公開渠道的資料瞭解到Bodis.com是一個有多年經營的域名停放服務提供商,主要靠互聯網廣告獲取收入,其本身是否有非法網絡行爲還有待分析。
99081.com是Bodis.com的註冊用戶,即域名停放用戶,它靠顯示Bodis.com的廣告並吸引用戶點擊獲取自己的利潤分成,我們初步分析的結果是99081.com利用系統漏洞或軟件捆綁等方式在大量受害者計算機上安裝並運行惡意代碼訪問其域名停放網站,通過產生大量流向99081.com的流量獲取Bodis.com的利潤分成。通常這種行爲會被域名停放服務商認定爲作弊行爲,一旦發現會有較重的懲罰。
3 攻擊者身份
根據代碼結合其它信息,基本鎖定攻擊者身份信息。下圖爲其在某論壇註冊的信息:
0×03 結論
- 攻擊者通過非法手段利用域名停放網站廣告,做一些賺錢的小黑產,但手法不夠專業;
- 攻擊方式應是在通過網站掛馬或軟件捆綁等方式,訪問被掛馬網站和下載執行了被捆綁軟件的人很容易成爲受害者;
- 惡意代碼不斷通過HTTP協議去訪問其域名停放網站,攻擊者通過惡意代碼產生的流量賺錢。
- 申明:文中提到的攻擊方式僅爲曝光、打擊惡意網絡攻擊行爲,切勿模仿,否則後果自負。
0×00 發現
接到客戶需求,對其互聯網辦公區域主機安全分析。在對某一臺主機通信數據進行分析時,過濾了一下HTTP協議。
一看數據,就發現異常,這臺主機HTTP數據不多,但大量HTTP請求均爲“Get heikewww/www.txt”,問題的發現當然不是因爲拼音“heike”。點擊“Info”排列一下,可以看得更清楚,還可以看出請求間隔約50秒。
爲更加準確地分析其請求URL地址情況,在菜單中選擇Statistics,選擇HTTP,然後選擇Requests。可以看到其請求的URL地址只有1個:“d.99081.com/heikewww/www.txt”,在短時間內就請求了82次。
這種有規律、長期請求同一域名的HTTP通信行爲一般來說“非奸即盜”。
- 奸:很多殺毒軟件、APP、商用軟件,爲保持長連接狀態,所裝軟件會定期通過HTTP或其它協議去連接它的服務器。這樣做的目的可以提供在線服務、監控升級版本等等,但同時也可以監控你的電腦、手機,竊取你的信息。
- 盜:木馬、病毒等惡意軟件爲監控傀儡主機是否在線,會有心跳機制,那就是通過HTTP或其它協議去連接它的殭屍服務器,一旦你在線,就可以隨時控制你。
我們再過濾一下DNS協議看看。
可以看出,DNS請求中沒有域名“d.99081.com”的相關請求,木馬病毒通信不通過DNS解析的方法和技術很多,讀者有興趣可以自行查詢學習。所以作爲安全監控設備,僅基於DNS的監控是完全不夠的。
接下來,我們看看HTTP請求的具體內容。點擊HTTP GET的一包數據,可以看到請求完整域名爲“d.99081.com/heikewww/www.txt”,且不斷去獲得www.txt文件。
Follow TCPStream,可以看到去獲得www.txt中的所有惡意代碼。
0×01 關聯
到這兒,基本確認主機10.190.16.143上面運行了惡意代碼,它會固定時間同199.59.243.120這個IP地址(域名爲d.99081.com)通過HTTP協議進行通信,並下載運行上面的/heikewww/www.txt。
那麼,是否還有其它主機也中招了呢?
這個問題很好解決,前提條件是得有一段時間全網的監控流量,然後看看還有哪些主機與IP(199.59.243.120)進行通信,如果域名是動態IP,那就需要再解析。
- 如果抓包文件僅爲一個PCAP文件,直接過濾“ip.addr==199.59.243.120”即可。
- 全網流量一般速率較高,想存爲一個包的可能性不大。假如有大量PCAP文件,一樣通過WireShark可以實現批量過濾。
下面我們就根據這個案例,一起了解一下WireShark中“tshark.exe”的用法,用它來實現批量過濾。
Tshark的使用需要在命令行環境下,單條過濾命令如下:
cd C:\Program Files\Wireshark tshark -r D:\DATA\1.cap -Y "ip.addr==199.59.243.120" -w E:\DATA\out\1.cap
解釋:先進到WireShark目錄,調用tshark程序,-r後緊跟源目錄地址,-Y後緊跟過濾命令(跟Wireshrk中的Filter規則一致),-w後緊跟目的地址。
有了這條命令,就可以編寫批處理對文件夾內大量PCAP包進行過濾。
通過這種辦法,過濾了IP地址199.59.243.120所有的通信數據。
統計一下通信IP情況。
根據統計結果,可以發現全網中已有4臺主機已被同樣的惡意代碼所感染,所有通信內容均一樣,只是請求時間間隔略微不同,有的爲50秒,有的爲4分鐘。
0×02 深入
1 惡意代碼源頭
在www.txt中我們找到了“/Zm9yY2VTUg”這個URL,打開查看後,發現都是一些贊助商廣告等垃圾信息。如下圖:
通過Whois查詢,我們瞭解到99081.com的域名服務器爲ns1.bodis.com和ns2.bodis.com,bodis.com是BODIS, LLC公司的資產,訪問其主頁發現這是一個提供域名停放 (Domain Parking)服務的網站,用戶將閒置域名交給它們託管,它們利用域名產生的廣告流量和點擊數量給用戶相應的利益分成。
2 惡意代碼行爲
經過公開渠道的資料瞭解到Bodis.com是一個有多年經營的域名停放服務提供商,主要靠互聯網廣告獲取收入,其本身是否有非法網絡行爲還有待分析。
99081.com是Bodis.com的註冊用戶,即域名停放用戶,它靠顯示Bodis.com的廣告並吸引用戶點擊獲取自己的利潤分成,我們初步分析的結果是99081.com利用系統漏洞或軟件捆綁等方式在大量受害者計算機上安裝並運行惡意代碼訪問其域名停放網站,通過產生大量流向99081.com的流量獲取Bodis.com的利潤分成。通常這種行爲會被域名停放服務商認定爲作弊行爲,一旦發現會有較重的懲罰。
3 攻擊者身份
根據代碼結合其它信息,基本鎖定攻擊者身份信息。下圖爲其在某論壇註冊的信息:
0×03 結論
- 攻擊者通過非法手段利用域名停放網站廣告,做一些賺錢的小黑產,但手法不夠專業;
- 攻擊方式應是在通過網站掛馬或軟件捆綁等方式,訪問被掛馬網站和下載執行了被捆綁軟件的人很容易成爲受害者;
- 惡意代碼不斷通過HTTP協議去訪問其域名停放網站,攻擊者通過惡意代碼產生的流量賺錢。
- 申明:文中提到的攻擊方式僅爲曝光、打擊惡意網絡攻擊行爲,切勿模仿,否則後果自負。