揭秘盗取“羊毛党”比特币的钓鱼攻击事件 | 一例C2服务器跟踪分析报告

1 概述

行文之前先界定两个概念。 羊毛党,指关注与热衷于“薅羊毛”的群体,是指那些专门选择企业的营销活动、广告投放等,以低成本甚至零成本来换取高额奖励的人。早期网站站上利用虚假点击来获取广告受益,到现在利用各种营销机制漏洞、程序漏洞来“薅”企业推广的费用的两类群体,本文都统称为“羊毛党”。 比特币,英语Bitcoin,是一种全球通用的互联网加密数字货币,与传统的由特定机构发行或控制的中心化虚拟货币不同,比特币采用点对点网络开发的区块链技术,具有去中心化、匿名不易追踪的特点,因此很多黑客利用比特币逃避交易跟踪,比如wannacry等总众多勒索软件作者。

当比特币作为新兴电子资产被越来越多的人了解和使用时,热爱新鲜事物的羊毛党们靠着敏锐的嗅觉也开始推陈出新,一边利用比特币来进行交易逃避监管,一边利用各种“薅羊毛”方式来赚取比特币积累财富。然而,在这个行业繁荣的背后,隐藏着另一神秘的群体,如同太极里的阴阳,有光明必有黑暗,有繁荣必有摧毁繁荣,这个神秘的群体寄居在“羊毛党”之上,贪婪地薅着同样贪婪地“羊毛党”的羊毛。

近期,东巽科技2046Lab利用东巽威胁情报中心的全球C2(也称C&C,Command and Control Server缩写,指木马的控制和命令服务器)监控平台,就跟踪到这样一批神秘群体。

东巽科技的全球C2监控平台,实时监控着采集到的全球C2的存活状态。2046Lab的安全研究员通过算法,在监控结果中发现了一批非常相似类型C2上线。通过对这些C2进行深入跟踪分析后,发现了一些有趣的现象,某个C2区区几百个受害者,但被窃取的帐号密码却有近十万对,如下图。据此,我们推测这些受害者应该不是普通的网民,于是对整个C2、受害者和攻击者进行了全面深入的分析。

图 C2控制中心截图

2 C2与木马分析

2.1 C2与钓鱼页面

本次发现的C2主要位于域名a-work.info下,该域名下有3个C2,且登陆界面一样,基本断定三个C2属于同一个组织操控,并攻击了不少受害者,如下表。

C2

受害者总量

密码总量

logger**总量**

http://a-work.info/core666

322

92530

16213

http://a-work.info/core999

243

49954

3930

http://a-work.info/steamx

80

10487

-

攻击者是如何攻下这些受害者?我们通过跟踪分析发现,攻击者制造了非常精美的比特币相关钓鱼页面,并托管在http://file-loader.download/gen4btc和 http://uljob.info/btcgen/两个地址,引诱受害者下载钓鱼页面提供的“比特币生成器”,如下图。

图 “比特币生成器”钓鱼网页

然而,这款“比特币生成器”实际上是一个名为Agent Tesla的Keylogger类型木马,其功能主要有窃取浏览器、邮件、FTP等密码,收集键盘记录、粘贴板信息,获取截屏和网络摄像头。受害者一旦被植入该木马,则会将上述密码、信息发送到a-work.info下某个C2控制中心。

2.2 木马流量分析

安全研究员从上述钓鱼页面下载了所谓的“比特币生成器”,运行后进行 了流量分析。 在捕获的数据包中,可以明显的看到木马连回a-work.info站点,如下图。

图 木马执行后回连C2

同时,捕获到以下数据包:

1、发送受害者基本信息到服务器,关键参数为type=info,其他hwid为唯一编号,pcname为用户名和计算机名称。 2、每隔2分钟发送一次心跳包,关键参数为type=update。 3、发送屏幕截图,关键参数为type=screenshots,数据字段为screen,截图数据 数据量较大,内容 用{$data}代替。 4 、发送键盘记录和粘贴板记录,关键参数为type=keylog,数据字段为logdata,内容较多用{$data}代替。 5、发送窃取的密码 ,关键字段为type=passwords,数据字段为username和password,内容较多用较多用{$data}代替。

综合以上数据可以看到,木马的流量中关键指令为type=info/update/screenshots/keylog/passwords,每一次通信过程中,数据字段都有hwid、pcname、logdata、screen、ipadd、webcam_link、client、link、username、password、screen_link,网关类的设备可以此为基础来生成检测和阻断规则。

2.3 木马行为分析

安全研究员同时对木马运行后的行为进行了分析,捕获到以下木马特征行为:

1、木马启动后伪造报错信息并复制自身到C:\Users\当前用户\AppData\Local\Temp 目录 ,然后自删除。

图 释放文件

2、修改注册表,并将自己添加到 启动项中。

图 修改注册添加启动项目

3、安装键盘钩子获取keylog:

图 修改键盘钩子

2.4 木马生成器分析

根据木马的行为分析来看,这款木马还是具有很明显的木马特征,按道理很多杀软应该可以轻易的查杀,但为什么还是有不少受害者中招,抱着这个好奇心以及本着透彻分析的原则,东巽2046Lab的安全研究员对木马的生成器进行了分析。由于没有捕获到本次攻击者使用的生成器,考虑到和官方的生成器存在一致性,便对官方的生成器进行分析做参考。

Agent tesla是一款市面上公开的keylogger类型木马,其官网为https://www.agenttesla.com/,如下图。透过官网可以看到,页面做得非常专业,提供木马的同时提供web panel管理页面和私有加密;支持全系列Windows系统;服务也是非常周到,提供自动购买、激活和7x24小时的支持,可以算是达到了SasS行业的标准。

图 Agent tesla官网

安全研究员对生成器的分析结果如下:

1、木马支持WEB、FTP 、邮件三种 数据接收方式,很明显本次跟踪到的C2采用了web接收方式。

图 数据发送方式配置

2、木马的记录器(LOGGER)功能可进行任意配置,如 键盘记录、粘贴板记录、截屏、摄像头拍照, 正好印证了木马流量分析结果。

图 木马记录器配置

3、木马窃取密码种类繁多,几乎涵盖了主流的浏览器、邮件客户端(连国内常用的foxmail都包含了)和一些ftp、Winscp等管理工具,并可以随意配置。

图 木马窃取密码配置

4、木马生成器的 常见配置中还包括了安装时bypass UAC,直接杀进程、禁用任务管理器、系统恢复等功能,甚至可配置运行后伪装成提示、报错等功能来迷惑受害者。

图 安装配置

图 安装后提示信息

该生成器每次生成的木马hash都不一样,综合以上木马生成器分析,结合该木马作者团队推出的定期更新服务,推测受害者中招的主要原因为木马具有较强的免杀能力和迷惑性。

3 受害者分析

3.1 行业分析

如前述,根据受害者数量和密码数量的比值,推测受害者不是普通网名。于是安全研究员将受害者的数据进行整理和统计,发现了更加有意思内容,大部分单个受害者的账号和密码数量都很大,甚至某单个受害的帐号密码居然高达9510条。受害者是谁,做什么行业需要大量的账号和密码?安全研究员对受害者账号密码对应的站点进行了统计,截取了总量前20的网站:

序号

网站

出现数量

1

https://mail.ru/

599

2

https://accounts.google.com/ServiceLogin

588

3

https://freebitco.in/

414

4

https://www.facebook.com/login.php

351

5

https://freedoge.co.in/

308

6

https://blockchain.info/wallet/

307

7

https://www.facebook.com/

294

8

https://adbtc.top/index/authorize

283

9

http://kapitalof.com/index.php

279

10

https://account.mail.ru/login/

279

11

https://adbtc.top/index/acc/withdraw_btc

255

12

https://passport.yandex.ru/passport

254

13

https://vk.com/login

236

14

https://mail.yandex.ru/

235

15

https://vixice.com/ru/

230

16

http://bonusbitcoin.co/

217

17

https://payeer.com/ru/account/

214

18

https://accounts.google.com/signin/v2/sl/pwd

214

19

https://e.mail.ru/login

213

20

https://blockchain.info/ru/wallet/

213

排除常见的邮箱、社交站点外,安全研究员分析了靠前几个站点。其中:

https://freebitco.in (英语),注册进去后发现这个网站功能齐全,包括投资、赌博、推广等内容,经营行业横跨金融理财、赌博、挖矿等行业。

图 freebitco.in站点

https://freedoge.co.in/(英文), 是一个免费获取dogecoins(国内称“狗币”)的站点。

图 freedoge.co.in站点

http://adbtc.top (英语),可以理解成用比特币结算的广告联盟。

图 adbtc.top站点

http://kapitalof.com (俄语),是个云挖矿类型的网站,靠售卖算力盈利,同时也提供推广,返利按级别分别为20%,10%,3%,2%,1%。

图 kapitalof.com站点

通过以上网站分析,受害者访问多是和比特币等虚拟币相关的网站,结合木马伪装成“比特币生成器”来看,我们认为受害者主要是 跟 虚拟货币相关的“羊毛党”,从事SEO、广告、 挖矿、薅羊毛等网赚项目。

3.2 地域分析

受害者共计645个,通过分析受害者的IP地理位置信息,发现受害者主要来自俄语系国家, 其中又以 俄罗斯为最为严重,占到了近一半的比例,这也印证了上述站点中为何mail.ru排名靠前,且vk.com和yandex.ru等典型俄语系社交站点也靠前。

图 受害者国家分布

图 受害者地理位置分布

4 攻击者分析

4.1 地域分析

安全研究员对攻击者进行了一定时间的跟踪,根据跟踪到的攻击者的操作日志提取到信息 来看 ,攻击者是有一定经验的熟手,经常会利用VPN来管理C2。排除VPN后,综合攻击者使用的浏览器语言,推测 攻击者的真实IP可能为194.165.18.*, 目前可能生活在俄罗斯,常使用VyprVPN来 隐藏身份,母语为俄语。

图 攻击者位置和系统

4.2 身份分析

C2的域名a-work.info存活时其IP指向185.28.102.63,隶属于forpsicloud.sk云服务商,位于捷克的一个机房中,说明攻击者购买的是云主机。这个网站的主要语言以俄语为主,符合上述攻击者语言为俄语推断。file-loader.download和uljob.info设置了域名隐私保护,但通过对a-work.info的Whois信息进行查询,截取了以下重要信息:

根据以上注册人、注册邮箱、电话等信息,进行了反查得到了其他几个域名,整理后关系如下:

图 C2域名反查结果

整理后详细信息如下表:

Domain

a-work.info

kazaryandavid.com

dkazaryan.org

dkazaryan.info

注册人

David Kazaryan

David Kazaryan

David Kazaryan

David Kazaryan

注册邮箱

mr.omon@inbox.ru

kazaryandesign@gmail.com

kazaryandesign@gmail.com

kazaryandesign@gmail.com

注册电话

+7.9507287546

+1.2482590389

+1.2482590389

+1.2482590389

注册国家

RU

US

US

US

创建时间

2017-02-13T09:34:23Z

2017-01-22T04:52:27Z

2017-01-22T04:19:16Z

2017-01-22T04:19:12Z

过期时间

2018-02-13T09:34:23Z

2019-01-22T04:52:27Z

2018-01-22T04:19:16Z

2018-01-22T04:19:12Z

最近更新时间

2017-07-30T04:49:51Z

2017-01-22T04:52:28Z

2017-03-24T03:46:12Z

2017-03-23T20:31:38Z

供应商

http://www.namecheap.com

http://www.godaddy.com

http://www.godaddy.com

http://www.godaddy.com

指向IP

185.28.102.63

50.63.202.36

50.63.202.44

184.168.221.46

IPGeo

捷克

美国 亚利桑那州

美国 亚利桑那州

美国 亚利桑那州

通过上述信息可以看到,所有的域名都指向名叫David Kazaryan的人,并且可以肯定的是:kazaryandavid.com、dkazaryan.org、dkazaryan.info一定隶属于同一个人,理由是:

1) 注册邮箱都是kazaryandesign@gmail.com 。 2) 注册电话都是+1.2482590389。 3) 注册时间非常接近,都是2017-01-22 04点左右,甚至可以推测dkazaryan.org、dkazaryan.info是一次提交,选择的两个域名注册申请,因为注册时间、过期十分接近,其他信息完全一样。

如果a-work.info和其他三个域名一样,都是同一个人,那基本可以锁定攻击者的真实身份。于是我们通过社交站点找到了David Kazaryan这个人,如下图。

图 David Kazaryan资料

图 David Kazaryan资料

从资料看,David Kazaryan是一名设计师,2012年从美国某大学本科毕业,推算至今28岁左右,俄语流利。

同时,我们尝试对mr.omon@inbox.ru邮箱进行密码找回,发现其附加的找回邮箱是随意填写的地址,除此之外,暂未找到其他与该邮箱有关信息,推测该邮箱可能是一个临时申请邮箱。

图 mr.omon@inbox.ru邮箱的密码找回

综合以上信息,从C2站点a-work.info的分析结果,我们推测攻击者位置为俄罗斯,母语为俄语。虽然其注册人为David Kazaryan,并且个人资料中俄语流利,但综合来看更像美国人。考虑到我们暂未找到其与a-work.info其他交集的信息的情况下,虽然不能排除David Kazaryan(kazaryandesign@gmail.com)的嫌疑,但我们更倾向于认为攻击者仅仅冒用了David Kazaryan这个名字。

4.3 时间线分析

整理C2域名创建、钓鱼网站域名创建和受害者数据日期统计后,得到下图:

图 部署和数据时间线

从图可以看出,攻击者在2月开始进行C2和钓鱼站点域名申请和部署,3月开始投入使用,7月13日不管是受害者上线量,还是密码和记录器数据,都到达了数据顶峰(7月5日之前密码和记录器数据已被转移),说明在7月中旬是攻击者最活跃的时期。

4.4 意图分析

综合以上信息:钓鱼页面为比特币生成器页面,木马是一款密码记录器,受害者为SEO、挖矿等羊毛党,且被窃取的数据多为比特币钱包地址和密码,再结合近半年比特币行情飙升来看,可以断定:

攻击者的意图是盗取羊毛党们的比特币等虚拟货币资产,自己赚一笔。

5 总结

从上述分析结果来看,本例C2完全定性为一起“黑产”事件,不过和以往见到的黑产不太一样的是,这起黑产针对的是“羊毛党”,略带点“黑吃黑”的黑帮剧情。使用的技术不算高深,但依然有效,TTPs简要总结如下:

表 TTPs总结

关键项

本次攻击事件情况说明

主要攻击目标

SEO、挖矿、广告联盟等羊毛党

目标国家

俄罗斯为主,以及周边俄语系国家

关键作用点

个人PC电脑

攻击手法

钓鱼页面->Agent telsa木马

攻击目的

窃取网站账号和密码,盗取比特币等虚拟货币资产

漏洞使用情况

免杀技术

直接购买的定期更新的Agent telsa,本身具备较强的免杀和迷惑性

活跃程度

2月开始部署,3月开始投放并有上线,7月中旬达顶峰

反追踪能力

有一定的跟踪能力,利用vpn来访问C2页

攻击源

位于俄罗斯(194.165.18.*)的俄语系攻击者,有一定的可能性叫David Kazaryan。

此外,从这起事件来看,可以预见木马即服务(MaSS)会越来越热,黑产的上下游越来越清晰,也越来越专业,逐渐演变成一种标准化的软件服务,致使攻击变得更加简单和低成本,攻击者无须自行开发木马,也无须私下联系木马开发者,想要实施一次攻击,只需要在互联网上买一个月就好了。

所以,作者建议用户尽量不要下载使用来源不明的软件和工具,尤其是破解、网赚一类,这些常常是木马伪装的重灾区,当你在考虑轻松赚钱或者免费使用付费软件的时候,也正是被攻击者盯上的时候。如果你的数据资产很敏感很重要,建议加强网络安全方面的建设,并邀请专业的安全团队进行定期的安全检测。

注:

东巽全球C2监控平台,是东巽科技自研的一个全球C2的存活状态的监控平台,用于监控C2的存活情况和分析攻击者的活跃程度,为用户提供威胁情报。

东巽2046Lab,是东巽科技的一个安全研究实验室,主要从事样本研究、异常流量研究、Web攻防研究、C2跟踪等网络安全方面的研究。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-09-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏程序员宝库

改代码套取公积金,程序员被判刑!幽灵漏洞再现新变种;中兴通讯发布半年度业绩预告:预亏70亿-90亿元

据大河客户端报道, 7 月 12 日上午,原信阳市住房公积金管理中心网络科副科长麻某某、原深圳市恒泰丰科技有限公司石家庄分公司职员赵某某因涉嫌贪污罪当庭受审,两...

946
来自专栏区块链

快快改密码!14亿账号密码数据库泄露

点击下方“关键字”,查看更多精彩内容 现在无论是网购还是微信登录都需要注册账户名和设置密码,而相应我们的一些个人资料、手机号甚至是银行卡账户都需要与账户进行绑定...

6509
来自专栏FreeBuf

螳螂捕蝉黄雀在后,免费散播Cobian远控工具背后的秘密

天下没有免费的午餐。 这句话也适用于那些想要寻找黑客工具的人。如果你想在网上找个现成的入侵工具的话就要知道,很多号称黑客“瑞士军刀”的工具都是骗人的。 最近,多...

28610
来自专栏安恒信息

【连载】2016年中国网络空间安全年报(三)

2016年中国网络空间安全年报 1.3. 站点安全事件分析 2016年国内依旧有部分重要站点被黑,出现此类事件意味着站点已被黑客成功入侵,相关站需要及时清除...

3026
来自专栏郭耀华‘s Blog

易客——无线点餐系统

易客——无限点餐系统 ? 项目地址 https://github.com/guoyaohua/yike 宣传视频 http://v.youku.com/v_sh...

5035
来自专栏企鹅号快讯

头条:1900万加利福尼亚州选民的记录被删除

18 Dec,2017 声明:本文由长城网际编译,转载请注明“转自长城网际”,并上微信号CECGW-weixin和二维码。 ※ 看!你比别人先知道这么多! Ⅰ ...

2235
来自专栏安恒信息

Rapid7:IE 0DAY漏洞正活跃于地下

网络罪犯正在活跃的使用地下放出的漏洞代码进行IE 0Day的攻击。 目前仍运行和使用IE浏览器的商业机构应当做出更好的预防工作,在近期的IE 0Day漏洞利用代...

2734
来自专栏FreeBuf

特别企划 | 那些年你“听不懂”的安全名词

也许你已经对网络钓鱼耳熟能详了,也许你也遇到过一些勒索软件或者病毒的攻击。但 catfishing 是什么?水坑攻击为什么叫水坑攻击?51% 攻击又是什么?边信...

3287
来自专栏FreeBuf

新型Android恶意软件可对手机造成物理损坏

由于最近加密货币价格大幅上涨,无论是黑客还是网站管理员都在越来越多地使用基于JavaScript的挖矿脚本,通过利用访客PC的CPU能力来挖掘比特币或其他加密货...

2237
来自专栏FreeBuf

Industroyer去年袭击乌克兰电网?这可能是震网之后最危险的工控恶意程序

2016年12月发生过一起针对乌克兰电网的黑客袭击事件,造成其首都基辅断电超一小时,数百万户家庭被迫供电中断。 最近安全专家经调查发现,侵入乌克兰工控系统的罪...

3315

扫码关注云+社区

领取腾讯云代金券