黑客是如何在新冠肺炎疫情中积极寻找攻击机会的?(上)用于C2通信的冠状病毒域恶意软件使用C2域接收恶意命令和传输数据泄漏,虽然网络攻击攻击者主要使用与冠状病毒相关的域来传播恶意软件、网络钓鱼和诈骗,但我们也观察到他们从事C2通信。NATsupport网络通信恶意NATSupportManager远程访问工具(RAT)样本使用域covidpreventandcure[.]com。从图9所示的网络流量中,您可以看到域解析为5.181.156[.]14。然后它向hxxp://5.181.156[.]14/fakeurl.htm发送多个POST请求,并将TCP数据包发送到端口443。如图10所示,POST通信基于C2服务器附加到的HTML表单HTTP响应中的编码命令和有效负载,而木马发送编码的窃取数据。HTML形式传播covidpreventandcure[.]com于3月26日注册,两天后我们开始观察相关DNS流量,活动一直持续到4月11日。4月,解析该域名的DNS流量明显增加,预示着相关攻击数量可能激增。该木马还试图解决另一个未注册的COVID-19covidwhereandhow[.]xyz,这很可能是为未来的攻击做准备。恶意软件使用COVID-19的另一个域是coronavirusstatus.space,它链接到AzoRult下载器,据称是全球COVID-19跟踪应用程序。利用在线商店广告获取短缺商品的攻击我们还发现了几个高风险域注册,犯罪分子在这些域注册中创建了虚假的在线商店并试图诱骗用户购买短缺商品。有许多网上商店诈骗的明显迹象,用户可以将其用作避免被骗的线索。例如,在当前的冠状病毒大流行期间,这些在线商店经常宣传好得令人难以置信的东西,这意味着它们对口罩或洗手液等高需求产品提供折扣价。如果我们发现该站点是新站点,请保持怀疑。其他示例包括强迫用户立即购买、虚假评论、虚假联系信息、在线商店中剪切和粘贴的文本、语法错误和包含关键字的页面。allsurgicalfacemask[.]com骗局网站某机构注册了两个域名allsurgicalfacemask[.]com和surgicalfacemaskpharmacyonline[.]com,这些网站大量宣传口罩,这两个网站的唯一区别是链接使用的信息和虚假的用户评价。在访问这些诈骗网站时,我们发现这两个域都只有一个月的历史,恰逢冠状病毒大流行的兴起。接下来,我们观察到国家和域名注册信息不匹配。域名在印度注册,但该网站有法国地址和电话号码。另一个站点的地址在德国,但电话号码在美国。除了在冠状病毒相关域上发现可疑的欺诈商店外,我们还在其他销售大流行相关商品的商店中发现了网络浏览器脚本,示例商店www.sunrisepromos[.]com/promotional-personal-care-accessories/personalize-handsanitizer。html如下图所示。这些商店包括带有注入恶意代码的信用卡验证脚本,一旦您输入完信用卡信息,就会立即发送这些代码。注入的代码片段如下图所示。页面加载后,脚本会通过将其URL与正则表达式列表进行匹配来检查该页面是否为相关结帐页面,并开始定期尝试每150毫秒收集并发送一次输入的信用卡号。具体来说,它调用函数发送,它首先向表单提交和按钮点击事件添加事件监听器以收集输入的信息,然后将收集到的信息与正则表达式进行检查,查看信用号,并发送它可能有一个/js/index.php中有问题的路径。在销售与大流行相关的商品以从对冠状病毒的恐惧中获利的多个网站上发现了信用卡分离器代码survivalcoronavirus[.]org恐吓用户购买他们的生存手册有趣的是,我们发现了一组网站建立在人们对冠状病毒已经存在的恐惧之上如上图所示,并试图吓唬他们购买电子书。首先,他们播放一段关于冠状病毒最可怕和最令人不安的事件的视频,然后宣传这本书是在大流行病中幸存下来的关键。我们发现了八个注册域来执行此骗局,包括coronavirussecrets[.]com和pandemic-survival-coronavirus[.]com。当我们想买他们的书时,我们登录buygoods[.]com网站。该网站在圣地亚哥消费者行动网络和商业改善局网站上的客户评论褒贬不一。圣地亚哥消费者行动网络上的文章称他们为信息诈骗者,他们将其定义为“使用欺诈手段以虚假价格向消费者出售误导性或虚假信息”。此外,许多用户报告说他们没有收到他们支付的物品。冠状病毒域传播的经典骗局covid19center[.]online上的示例技术支持骗局页面众所周知的技术支持的欺诈活动,如上图所示。在过去六个月中,这个骗局已经出现在3,000多个唯一域名和IP地址上(使用本文中描述的行为进行签名)。攻击者的目的是恐吓互联网用户,让他们打电话给攻击者与他们沟通,然后支付货款。另一个例子是WhatsApp的“免费互联网”诈骗活动,在使用不同的WhatsApp相关域之前就已经出现过。例如whatsapp[.]version[.]gratis和whatsapp[.]cc0[.]co但现在使用internet-covid19.xyz。有趣的是,此活动在其域中重复使用了相同的GoogleAnalyticsID-UA-108418953-1(有关通过AnalyticsID跟踪活动的更多信息,请参阅本文)。GoogleAnalytics提供了一种简单、免费的方式来跟踪和分析各种机构网站上的访问者。一个组织可能每月有几千甚至几百万的访问者,但如果管理层对这些访问者一无所知,那么这些访问者几乎毫无意义。凭借其强大的网络分析和报告工具,GoogleAnalytics可帮助管理人员充分利用访问者并将他们转化为客户。除了跟踪访问者数量外,GoogleAnalytics还提供重要的见解,让您了解网站的运行情况以及您可以采取哪些措施来实现您的目标。网站管理员可以跟踪从网站流量来源到访问者行为的所有内容。甚至可以监控社交媒体活动、跟踪移动应用程序流量、识别趋势并集成其他数据源,以帮助管理人员做出明智的业务决策。假药店由anticovid19-pharmacy[.]com托管的非法药店长期研究非法在线药店的研究人员发现了一个由三个冠状病毒域组成的集群,这些域托管着非常相似的药店图像,如图18所示,它们是covid19-remedy[.]com、rxcovid[.]com和anticovid19-pharmacy[.]com。研究人员还发现,这些药店没有经营许可证,并使用受感染的网站来提高其在“廉价伟哥”等关键字组合的搜索结果中的排名。更糟糕的是,这些药店可能会以不正确且具有潜在危险的剂量出售药物。虽然域名表明这些商店出售针对冠状病毒的药物,但它们主要推销的是伟哥和其他与该病毒无关的药物。黑帽SEO如何利用冠状病毒趋势为了利用冠状病毒这一主题来推动网站流量,黑帽SEO描述了一系列技术,用于将某些关键字人为地出现在搜索引擎结果的顶部。coronavirus-latest-update[.]info看起来像一个冠状病毒信息页面我们发现了一个由9个与冠状病毒相关的域组成的集群,这些域用于黑帽SEO,所有这些域都包含关于冠状病毒的类似信息页面,例如,coronavirus-latest-update[.]info如上图所示。但是,这些站点不是实际的信息页面。首先,我们可以看到许多指向基于比特币的在线赌场sharkroulette[.]com的链接。其次,即使我们尝试点击承诺重定向到coronavirus-com[.]info的链接,由于链接上的JavaScript覆盖,我们仍将被重定向到sharkroulette[.]com。可疑停放页面的注册coronavirus2day[.]com上可疑停放注册的示例如图20所示,我们观察到许多可疑停放页面托管在新注册的冠状病毒主题域上。例如,在200多个独特的冠状病毒主题域中发现了一种类型的停放页面。这些页面都从父URLhttp[:]//cdn[.]dsultra[.]com/js/registrar.js加载潜在的恶意JavaScript。该脚本的一些代码片段如下所示。页面加载后,dL函数将被执行,它向hashtag.sslproviders[.]net发送请求,其中包含URL、referrer、时间戳和cookie信息。请注意,特定的子域将随着脚本的重新加载而改变。然后它监听bL函数中的响应,并通过更改parent.top.window.location.href值将用户的浏览器重定向到它接收到的任何目的地。尽管在许多观察到的案例中,脚本没有收到新的目标URL作为响应,但脚本本身最终可能充当潜在的恶意任意URL重定向器。在许多以冠状病毒为主题的停放域中发现的恶意重定向器的部分片段冠状病毒域冠状病毒游戏[.]ru的IP日志服务IP记录器一些信息丰富的冠状病毒相关站点还包括可疑脚本,此类脚本的一个很好的例子是IP记录器,例如在coronavirus-game[.]ru中,一个混淆的脚本会丢弃一个不可见的iframe,iframe将用户的IP地址发送到合法的IP日志记录服务iplogger[.]org。冠状病毒网站coronavirusinrealtime[.]com上的浏览??器加密劫持失败,带有(无效的)cryptojacking脚本如上图所示。大多数使用过时的Coinhive服务,或者Webminerpool和Crypto-Loot脚本已经过时,因此它们无法加载相应的挖掘库或与不再活动的Websocket端点建立连接。我们怀疑这些攻击者从他们的旧网站上复制粘贴了以前的攻击代码,而没有检查代码是否仍然有效。同样,即使是利用流行病相关信息的流行的内容丰富的网页也无法成功执行加密劫持,在与过时的挖掘端点的websocket连接上接收到错误。此外,我们还发现了在浏览器中运行的加密脚本示例,例如位于coronashirts[.]商店中的JSE-coin。综上所述,总有人会大发横财,甚至没有任何道德底线,比如此次新冠肺炎疫情。就冠状病毒而言,我们观察到每天注册的与冠状病毒相关的域名数量急剧增加,这与用户对大流行病的兴趣不断上升相吻合。令人担忧的是,我们发现与2月至3月相比,恶意冠状病毒NRD的日均量增加了569%,高风险域的日均量增加了788%。自1月1日以来,我们发现了2,022个恶意NRD和40,261个高风险NRD。我们发现这些域被用于各种恶意目的,包括恶意软件分发、网络钓鱼攻击、诈骗和黑帽SEO。我想提醒其他用户高度怀疑任何以COVID-19为主题的电子邮件或新注册的网站,无论他们声称拥有什么信息、测试套件或治疗方法。特别要注意检查域名的合法性和安全性,比如保证域名是合法的域名,比如google[.]com和g00gle[.]com的区别,合法的网站域名图标左侧会有一把锁,用于确保有效的HTTPS连接。与任何以COVID-19为主题的电子邮件一样,应该安全地使用开放式方法,因为检查发件人的电子邮件地址通常会发现内容可能不合法。为保护用户免受黑客攻击,有关URL过滤的最佳实践建议是阻止对“新注册域名”类别的访问。但是,如果您无法阻止对新注册域类别的访问,我们的建议是对这些URL强制执行SSL解密以提高可见性、防止用户下载危险文件类型(例如PowerShell和可执行文件)、应用更严格的威胁保护策略并增加日志记录访问新注册的域时。我们还建议使用DNS层保护,因为我们知道超过80%的恶意软件使用DNS来建立C2。对于本文中明确概述的攻击和IOC,我们已采取以下步骤来实施最佳检测和预防机制:对域、IP地址和URL进行适当分类;所有样本均已更新或验证;入侵防御是创建、更新或验证系统签名。
