安基网 欢乐生肖 资讯 安全报 查看内容

黑客大曝光 | 某恶意软件即服务(MaaS)平台的黑客网络ID曝光

2019-8-10 13:02| 投稿: |来自:


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 近期,安恒猎影威胁分析团队监测发现多个伪装为“DHL快递中国”的钓鱼邮件在展开网络钓鱼活动。钓鱼邮件会携带恶意程序或打包恶意程序的压缩包,点击运行用户电脑就可被远程控制。经过一系列关联分析,发现了诸多隐匿在网络中的个人黑客或组织,这些个人黑客或组织通常会购买兜售的恶意软件工具包、漏 ...

近期,安恒猎影威胁分析团队监测发现多个伪装为“DHL快递中国”的钓鱼邮件在展开网络钓鱼活动。

钓鱼邮件会携带恶意程序或打包恶意程序的压缩包,点击运行用户电脑就可被远程控制。

经过一系列关联分析,发现了诸多隐匿在网络中的个人黑客或组织,这些个人黑客或组织通常会购买兜售的恶意软件工具包、漏洞利用工具套件、租用恶意软件服务或使用开放使用的恶意软件或漏洞利用工具进行网络攻击行为

1

分析

通过对DHL-#AWB130501923096.exe(MD5:5689e31d76ba60638baaab883acdba28)进行分析,其C2地址为160[.]202[.]163[.]240,通过对该C2进行关联分析

可以关联到许多样本,如

17DHL-AWB130501923096PDF。exe(MD5:83fb9c6982ce166e81bafa08489cf11c)这个样本,

其PDB信息为

  • C:xampphtdocsAspirefilesnonsookeke84@yahoo.com_vHLZjekrLVcyESFUvHLZjekrLVcyESFUma.pdb

这条PDB信息非常奇特,中间包含nonsookeke84@yahoo[.]com这样一个邮箱,猜测这是一个用户名,通过威胁分析平台关联性搜索,可以发现更多这类PDB信息,如:

  • C:xampphtdocsAspirefilesdabadaba212_CVIJdSiEDSQpnQFwCVIJdSiEDSQpnQFwma。pdb

  • c:xampphtdocsAspirefilespololoco_mFSLvkLxNEHAeFEKmFSLvkLxNEHAeFEK.pdb

  • C:xampphtdocsAspirefilessyscore_NKvQFClSbBXRkAevNKvQFClSbBXRkAev_packed.pdb

  • C:xampphtdocsAspirefilesshadowmeks_APuZCGYlJzutgjphAPuZCGYlJzutgjph_packed.pdb

  • C:xampphtdocsAspirefilesjohnclark_aKaTItYbxxnMASPnaKaTItYbxxnMASPn_packed.pdb

  • c:xampphtdocsAspirefileskentex_DGqqhzYgETxGvxhkDGqqhzYgETxGvxhk.pdb

  • C:xampphtdocsAspirefilesBanditoclassic_PPGrLQesaHUzaMiXPPGrLQesaHUzaMiXma.pdb

  • C:xampphtdocsAspirefilesAspeedp_ufsZwpcZstbRUHOGufsZwpcZstbRUHOGma.pdb

    ……

具体可以看下文“附1:PDB泄露不完全统计表”,已统计出50多个不同用户名ID,其可视化效果如下:

C:xampphtdocsAspirefiles看上去疑似一个网络化的服务,这非常像一个MaaS(恶意软件即服务),然后会根据注册用户生成相应的PDB,显而易见的是用户名被泄露了。

怎么得知中间这部分就是用户名呢,其实我们可以在各大黑客论坛找到这些用户名ID,如Aspeedp:

拥有这类PDB的恶意软件大多数为.net平台的Nanobot恶意软件,也包含有AgentTesla、Azorult、Zegost、Quasar等恶意软件。

另外通过这些样本可以获取更多关联信息如挂马地址、C2地址,如

  • tfvn [.] com [.] vn

    这个挂马地址,曾被披露为HawkEye新版本和漏洞利用文档的挂马地址,这里也有许多样本关联向该地址,如


  • hxxps://tfvn[.]com[.]vn/nno/btj[.]exe(MD5:35a0dadf0a2686266ac9a52358edfb15)

    PDB为C:xampphtdocsAspirefilestony82_TVVYbnesNRrpxChyTVVYbnesNRrpxChyma.pdb


  • hxxps://tfvn[。]com[。]vn/dmi/jm/dj[。]exe(MD5:355308d961f1b4f8366544881b342b11)

    PDB为c:xampphtdocsAspirefilesgloria1303_ILteYagMoPpTqwtDILteYagMoPpTqwtDma。pdb

这两个用户名为tony82、gloria1303的黑客使用该域名进行网络攻击活动,该域名下还关联