0x00 發現


接到客戶需求,對其互聯網辦公區域主機安全分析。在對某一臺主機通信數據進行分析時,過濾了一下HTTP協議。

enter image description here

一看數據,就發現異常,這臺主機HTTP數據不多,但大量HTTP請求均為“Get heikewww/www.txt”,問題的發現當然不是因為拼音“heike”。點擊“Info”排列一下,可以看得更清楚,還可以看出請求間隔約50秒。

enter image description here

為更加準確地分析其請求URL地址情況,在菜單中選擇Statistics,選擇HTTP,然后選擇Requests。可以看到其請求的URL地址只有1個:“d.99081.com/heikewww/www.txt”,在短時間內就請求了82次。

enter image description here

這種有規律、長期請求同一域名的HTTP通信行為一般來說“非奸即盜”。

  1. 奸:很多殺毒軟件、APP、商用軟件,為保持長連接狀態,所裝軟件會定期通過HTTP或其它協議去連接它的服務器。這樣做的目的可以提供在線服務、監控升級版本等等,但同時也可以監控你的電腦、手機,竊取你的信息。
  2. 盜:木馬、病毒等惡意軟件為監控傀儡主機是否在線,會有心跳機制,那就是通過HTTP或其它協議去連接它的僵尸服務器,一旦你在線,就可以隨時控制你。

我們再過濾一下DNS協議看看。

enter image description here

可以看出,DNS請求中沒有域名“d.99081.com”的相關請求,木馬病毒通信不通過DNS解析的方法和技術很多,讀者有興趣可以自行查詢學習。所以作為安全監控設備,僅基于DNS的監控是完全不夠的。

接下來,我們看看HTTP請求的具體內容。點擊HTTP GET的一包數據,可以看到請求完整域名為“d.99081.com/heikewww/www.txt”,且不斷去獲得www.txt文件。

enter image description here

Follow TCPStream,可以看到去獲得www.txt中的所有惡意代碼。

enter image description here

0x01 關聯


到這兒,基本確認主機10.190.16.143上面運行了惡意代碼,它會固定時間同199.59.243.120這個IP地址(域名為d.99081.com)通過HTTP協議進行通信,并下載運行上面的/heikewww/www.txt。

那么,是否還有其它主機也中招了呢?

這個問題很好解決,前提條件是得有一段時間全網的監控流量,然后看看還有哪些主機與IP(199.59.243.120)進行通信,如果域名是動態IP,那就需要再解析。

  1. 如果抓包文件僅為一個PCAP文件,直接過濾“ip.addr==199.59.243.120”即可。
  2. 全網流量一般速率較高,想存為一個包的可能性不大。假如有大量PCAP文件,一樣通過WireShark可以實現批量過濾。

下面我們就根據這個案例,一起了解一下WireShark中“tshark.exe”的用法,用它來實現批量過濾。

enter image description here

Tshark的使用需要在命令行環境下,單條過濾命令如下:

cd C:\Program Files\Wireshark
tshark -r D:\DATA\1.cap -Y "ip.addr==199.59.243.120" -w E:\DATA\out\1.cap

解釋:先進到WireShark目錄,調用tshark程序,-r后緊跟源目錄地址,-Y后緊跟過濾命令(跟Wireshrk中的Filter規則一致),-w后緊跟目的地址。

有了這條命令,就可以編寫批處理對文件夾內大量PCAP包進行過濾。

通過這種辦法,過濾了IP地址199.59.243.120所有的通信數據。

enter image description here

統計一下通信IP情況。

enter image description here

根據統計結果,可以發現全網中已有4臺主機已被同樣的惡意代碼所感染,所有通信內容均一樣,只是請求時間間隔略微不同,有的為50秒,有的為4分鐘。

0x02 深入


1 惡意代碼源頭

在www.txt中我們找到了“/Zm9yY2VTUg”這個URL,打開查看后,發現都是一些贊助商廣告等垃圾信息。如下圖:

enter image description here

通過Whois查詢,我們了解到99081.com的域名服務器為ns1.bodis.com和ns2.bodis.com,bodis.com是BODIS, LLC公司的資產,訪問其主頁發現這是一個提供域名停放 (Domain Parking)服務的網站,用戶將閑置域名交給它們托管,它們利用域名產生的廣告流量和點擊數量給用戶相應的利益分成。

enter image description here

enter image description here

2 惡意代碼行為

經過公開渠道的資料了解到Bodis.com是一個有多年經營的域名停放服務提供商,主要靠互聯網廣告獲取收入,其本身是否有非法網絡行為還有待分析。

99081.com是Bodis.com的注冊用戶,即域名停放用戶,它靠顯示Bodis.com的廣告并吸引用戶點擊獲取自己的利潤分成,我們初步分析的結果是99081.com利用系統漏洞或軟件捆綁等方式在大量受害者計算機上安裝并運行惡意代碼訪問其域名停放網站,通過產生大量流向99081.com的流量獲取Bodis.com的利潤分成。通常這種行為會被域名停放服務商認定為作弊行為,一旦發現會有較重的懲罰。

enter image description here

3 攻擊者身份

根據代碼結合其它信息,基本鎖定攻擊者身份信息。下圖為其在某論壇注冊的信息:

enter image description here

0x03 結論


  1. 攻擊者通過非法手段利用域名停放網站廣告,做一些賺錢的小黑產,但手法不夠專業;
  2. 攻擊方式應是在通過網站掛馬或軟件捆綁等方式,訪問被掛馬網站和下載執行了被捆綁軟件的人很容易成為受害者;
  3. 惡意代碼不斷通過HTTP協議去訪問其域名停放網站,攻擊者通過惡意代碼產生的流量賺錢。

 

  1. 申明:文中提到的攻擊方式僅為曝光、打擊惡意網絡攻擊行為,切勿模仿,否則后果自負。

您的支持將鼓勵我們繼續創作!

[微信] 掃描二維碼打賞

[支付寶] 掃描二維碼打賞