随着新冠肺炎疫情的爆发,成为全球最为关注的话题。根据Unit42的研究,自2月初以来,与冠状病毒相关的Google搜索和URL大幅增加。与此同时,黑客们也在试图浑水摸鱼,寻找攻击机会。在这种情况下,甚至是数十亿美元的不幸。自疫情爆发以来,42单元一直在监控用户对相关主题的兴趣以及与这些主题相关的新注册域名,因为黑客经常使用它们进行恶意活动。随着浏览冠状病毒话题的用户增多,研究人员发现,从2月到3月,冠状病毒相关域名的平均每日注册量增加了656%。在此期间,包括恶意软件和网络钓鱼在内的恶意注册也增长了569%;“高风险攻击”的注册量增加了788%,其中包括诈骗、未经授权的货币挖掘以及具有与恶意URL关联的域。截至3月底,新注册的与冠状病毒相关的域名有116357个。其中,2022个是恶意域,40261个是“高风险”域。研究人员根据Whois信息、DNS记录和屏幕截图对域进行聚类,以检测注册活动。据观察,许多域名已被用于众所周知的恶意活动,例如通过销售供不应求的商品进行网络攻击。传统的恶意滥用冠状病毒攻击包括不法网站托管恶意软件、钓鱼网站、欺诈网站、恶意广告、加密和黑帽搜索引擎优化(SEO)以提高搜索排名。有趣的是,虽然许多使用新注册域名的在线商店试图欺骗用户,但研究人员发现了一种特别不道德的攻击,它利用用户对冠状病毒的恐惧来恐吓他们购买恶意产品。此外,研究人员还发现了一组以冠状病毒为主题的域,这些域现在正在为带有高风险JavaScript的停放页面提供服务,这些页面可能会随时开始将用户重定向到恶意内容。在本文中,我们首先通过来自谷歌搜索趋势和服务流量日志的数据,展示了互联网上用户对冠状病毒相关话题的兴趣增长趋势。其次,我们说明了最近包含冠状病毒相关关键字的域名的域名注册活动显着增加。第三,我们提供了一个详细的案例研究,说明网络犯罪分子如何滥用互联网上的这些焦点来寻找机会。用户对冠状病毒相关主题的兴趣增长趋势冠状病毒相关关键字的用户搜索趋势使用谷歌趋势和流量日志,我们发现用户对冠状病毒相关主题的兴趣急剧增加。在图1中,我们可以看到用户对基于谷歌趋势的冠状病毒相关关键词的兴趣。特别是2020年1月下旬、2月下旬和3月中旬,我们看到了三个高峰。第一个高峰恰逢中国病毒爆发,第二个高峰代表美国首例不明原因病例,第三个高峰恰逢随着病毒在美国的爆发。图1的一个有趣例外是酒精,因为用户全年都对酒精感兴趣,在圣诞节前后达到顶峰。直观上,全年对酒精的兴趣是喝酒,但与冠状病毒对齐的高峰是医用酒精。用户访问冠状病毒相关URL的趋势与我们对用户对GoogleTrends兴趣的观察相吻合,在图2中,与2月初至3月下旬相比,客户访问的独特冠状病毒相关URL的数量增加了近10倍。用户对冠状病毒日益增长的兴趣为网络犯罪分子提供了攻击的机会。攻击者从热门话题中获利的一种常见方式是注册包含相关关键字的域名,例如“冠状病毒”或“COVID”。这些域通常托管看似合法的内容,并用于各种恶意活动,包括诱骗用户下载恶意文件、网络钓鱼、诈骗、恶意团体和加密货币挖掘。为了防止攻击者使用与冠状病毒相关的域名发起攻击,我们从热门话题中获取关键词。首先,我们使用GoogleTrendsAPI自动提取关键字。然后,我们手动选择了与冠状病毒最相关的关键词。最后,使用我们的关键字集密切监控新注册的与冠状病毒相关的域名。冠状病毒域名的兴起Unit42已跟踪新注册域名(NRD)超过九年,并在之前发布了对它们的综合分析。为了研究COVID-19的新兴威胁,他们检索了2020年1月1日至2020年3月31日期间包含冠状病毒相关关键字的NRD。在此期间,系统检测到116,357个相关NRD,每天约1,300个域。图3显示了我们研究期间新域名注册的每日趋势。随着时间的推移,我们看到冠状病毒域的数量在增加,3月12日之后平均每天发现3,000多个新域。除了总体增长趋势外,我们还观察到注册域数量突然增加名字。在注册量增加之后,仅延迟了几天,用户对GoogleTrends的兴趣就出现了激增。与冠状病毒相关的每日域名注册趋势我们使用来自PaloAltoNetworks的威胁情报来评估与冠状病毒相关的NRD。该工具可以将NRD分为两类。首先,恶意NRD包括用于命令和控制(C2)、恶意软件分发和网络钓鱼的域。其次,高风险NRD包含诈骗页面、货币挖掘以及与已知恶意托管相关的域。在本文中,我们将分类分为恶意和高风险。在我们的分析中,我们确定了2022个恶意NRD和40261个高风险NRD。恶意率1.74%,高危率34.60%。在这些恶意域中,15.84%的网络钓鱼攻击试图窃取用户的凭据,而84.09%的主机托管了各种恶意软件,包括木马和信息窃取程序。与网络钓鱼和恶意软件不同,我们只发现了几个用于C2通信的域。从2月到3月,与冠状病毒相关的域名的日均交易量增加了656%。我们在恶意和高风险冠状病毒域中看到了类似的趋势,分别增加了569%和788%。在图3中,我们可以观察到恶意注册符合NRD趋势,在某些情况下甚至超过它们。冠状病毒相关的日常客户DNS查询趋势此外,我们发现,根据我们收集的被动DNS数据,我们观察到这些域的DNS查询总数为2,835,197(不包括缓存),即使它们是最近注册的。此外,恶意NRD的查询次数平均比非恶意NRD多88%,这符合攻击者在被列入黑名单之前利用其域的动机。图4使用7天移动平均值显示了在我们的被动DNS数据库中观察到的DNS查询的每日趋势。我们注意到3月16日查询的良性和恶意NRD数量急剧增加。这种增加与我们之前几天前病毒爆发导致的美国用户兴趣和域名注册高峰有关。NRD中最常被滥用的关键词我们用于分析的关键词集包含特定于冠状病毒流行的术语,例如“冠状病毒”和“COVID-19”。我们还使用了更通用的词,例如“大流行”,除了与病毒直接相关的词外,我们还使用了与医疗用品相关的关键词,例如“口罩”和“消毒剂”。在图5中,我们列出了与大多数NRD匹配的前15个关键字。一般来说,具体条款对注册人更有利,相关耗材已开展多次注册活动。除了检测次数外,这些热门关键词的风险等级也高于平均水平(高风险率>40%),这意味着它们更容易被滥用。另一方面,他们的恶意率与普通关键字相似。一个特例是“virusnews”,它匹配344个NRD,其中33%是恶意的。攻击者如何滥用冠状病毒大流行?观察到恶意和高风险冠状病毒NRD的增加,我们进一步分析了这些域,以了解网络攻击者如何利用它们。我们首先根据Whois信息和DNS记录对域名进行集群,包括注册日期、注册商、注册人的组织、自治系统编号(ASN)和名称服务提供商。此外,我们根据域名与主网页的视觉相似性对域名进行聚类。我们使用k近邻算法,使用Keras库中DenseNet201模型的最后一层作为特征。在我们的集群上,我们观察到几个恶意或滥用注册活动,并将与典型的恶意用例场景一起讨论它们。使用冠状病毒域窃取用户凭据网络钓鱼攻击的目标是诱骗用户向攻击者透露他们的凭据和个人信息。在冠状病毒领域,我们观察到一些典型的网络钓鱼场景,攻击者向我们的客户发送电子邮件,其中包含指向虚假网站的链接,该网站模仿合法品牌或服务的网站,以诱骗用户泄露其登录凭据。corona-masr21[.]com是一个带有美国银行页面的网络钓鱼域我们检测到一组在同一天注册的20个域遵循corona-masr*.com模式,其中*是1到101之间的任意数字.此范围内有101个可能的域变体,但仅注册了20个。在图6中,我们看到了一个针对美国银行的网络钓鱼URLhxxp[:]//corona-masr21[.]com/boa/bankofamerica/login.php的示例。攻击者的目标是让用户相信他们需要登录到这个虚假网页,并且该网页属于银行。该集群还包括模仿其他服务的网络钓鱼URL,包括登录页面http[:]//corona-masr21[.]com/apple-onlineforApple和hxxps[:]//corona-masr3[forPayPal]。]com/CAZANOVA%20TRUE%20LOGIN%20SMART%202019/,另一个针对来自corona-virusus.com和coronavirus-meds.com域的Outlook帐户的网络钓鱼活动。此外,我们发现为网络钓鱼页面提供服务的域还托管带有恶意源代码的压缩文件。其中包括网络钓鱼“前端”的HTML和PHP源代码(corona-masr4[.]com/test.zip),以及用于发送垃圾邮件和过滤来自良性网络爬虫的请求的代码(corona-virusus[.]com/OwaOwaowa.zip)。这是恶意活动中的常见做法,用于托管和分发恶意有效载荷的打包版本,恶意程序可以将这些有效载荷下载到另一个受感染的网站。美国银行合法网站的用户可以检查三个主要指标,如图7所示,以确保他们不是网络钓鱼攻击的受害者。首先,他们需要确保URL的域部分是他们尝试登录的服务所拥有的预期域名。其次,用户需要确保左上角有一个锁图标,表示他们通过有效的HTTPS连接,从而防止中间人(MiTM)攻击。最后,用户可以验证域名是否与证书的所有者匹配。托管恶意可执行文件的冠状病毒域许多新注册的COVID-19域已被确定为与恶意软件活动有关,其中一个域covid-19-gov[.com]值得特别关注,因为它与ProofpointStealer先前报告的RedLine活动相似持续的。尽管最初用于将潜在受害者引导至上述网站的感染媒介未知,但Unit42研究人员确定了URLcovid-19-gov[.]com,其中RedLineStealer样本托管在ZIP文件中。提取ZIP文件的内容后,RedLineStealer二进制文件的文件名显示为Covid-Locator.exe。执行时,示例首先打开InternetExplorer并尝试连接到hxxp://localhost:14109。然后它向URLhxxp://45.142.212[.]126:6677/IRemotePanel发出HTTPPOST请求,这与RedLineStealer的签入行为一致。签入完成后,远程C2服务器发送HTTP200OK响应开始过滤来自主机的数据:来自RedLineStealer数据过滤的网络流量。特别要注意的是URLhxxp://tempuri[.]org/IRemotePanel/SendClientInfo,虽然这个域与恶意活动没有直接关系,但它是开发中的Web服务的标准默认占位符域。根据已建立的Web服务实现,应更新此字段以反映适当的名称空间,以便可以唯一区分和标识给定的Web服务。也就是说,即使是合法的Web服务有时也会忽略此细节,因此出于安全识别目的,不应将tempuri[.]org视为IOC。本文介绍的RedLineStealer变体的其他有趣的基于主机的行为包括在隐藏的命令提示符窗口中执行以下命令:cmd.exe"/Ctaskkill/F/PID&&choice/CY/N/DY/T3&Del""基于根据命令内容,可以推断恶意软件作者的意图是确保在通过cmd.exe执行时,正在运行的RedLineStealer恶意软件实例将被其进程标识符(PID)阻止,并删除RedLine窃取者恶意软件将启动目录,并尝试以编程方式使用Y响应来响应删除提示。但是,这种方法有两个问题。首先,这个概念一开始就没有意义。在中使用choice命令这个用例没有产生预期的结果。其次,虽然当前状态下的命令确实停止运行恶意软件实例并开始选择Y(然后根据命令的/Tswi在三秒后自动选择tch),它提供了这个选择。这意味着即使可以这样使用选择,它仍然行不通。此外,这个RedLineStealer变体似乎不会在磁盘上生成其他恶意文件,不会创建或更改任何互斥锁,也不会尝试建立基于主机的持久性。除了RedLineStealer,我们还检测到其他使用冠状病毒域的恶意软件分发示例。托管在corona-map-data[.]com/bin/regsrtjser346.exe的另一个类似示例被确定为Danabot银行木马。我们还发现了几个旨在攻击移动用户的以冠状病毒为主题的恶意软件实例。具体来说,我们从相同的架构中学习Corona-virusapps[.]com/s我们还在coronaviruscovid19-information[.]com/it/corona.apk和coronaviruscovid19-information[.]com/en/corona.apk中分别找到了两个其他木马。目前,上述所有APK均被确认为常用木马。下一篇《黑客是如何在新冠肺炎疫情中大肆寻觅攻击机会的?(下)》
