作者:heige@知道創宇404實驗室
日期:2021年9月9日
原文鏈接:https://mp.weixin.qq.com/s/2WOfABt6QAoTG2H-3IfA4g

在《趣訪“漏洞之王”黑哥,探尋知道創宇十年網絡資產測繪之路!》的采訪中我提到了知道創宇在網絡空間測繪領域的多個優勢,其中:

第六,知道創宇提出了很多先進的測繪理念并實踐,如黑哥提出的“動態測繪”,時刻關注數據的動態變化及趨勢。前面提到的心臟流血漏洞,就是利用動態測繪的理念分析得出的各種有趣的結論。再比如2019年委內瑞拉大停電事件, ZoomEye是全球唯一及時響應、通過動態測繪理念完成該國的網絡關鍵基礎設施及重要信息系統測繪的工具。此外還有 “交叉測繪” 的思想,基于它可以完成IPv4 vs IPv6 、暗網 vs IP/域名的交叉比;通過“行為測繪”理念來實現重要基礎設施的識別定位等等。

高端訪談,公眾號:知道創宇趣訪“漏洞之王”黑哥,探尋知道創宇十年網絡資產測繪之路!

提到了由我們提出的多個測繪理念:“動態測繪”、“交叉測繪”、“行為測繪”,在之前我有詳細專題文章進行闡述:

再談“動態測繪”

https://zhuanlan.zhihu.com/p/183952077

聊聊網絡空間“交叉”測繪溯源

https://mp.weixin.qq.com/s/QTyfHbcnoMYoVUXhcbCYCw

談談網絡空間“行為測繪”

https://mp.weixin.qq.com/s/fQatA5iyewqRBMWtpVjsRA

其中關于“行為測繪”的文章昨天才正式對外發布,同時也寫了下英文文檔給老外們科普科普,我擔心那蹩腳的英文影響老外的理解,所以想著今天補充個例子說明,所以順帶也給國內的朋友們分享一下!

所以今天的主題就是:How to hunt more BazarLoader C2s through a ZoomEye Query?

我留意這個BazarLoader還是在@TheDFIRReport在推特9月1日發布的一個威脅情報:

https://twitter.com/TheDFIRReport/status/1433055791964049412 #BazarLoader64.227.73.8064.225.71.198

按照我一貫的作風,遇到IP或者新設備都忍不住往ZoomEye里一搜:

圖片

從搜索的banner來看兩個IP的443端口有著非常相似特征,唯一區別跟追蹤Trickbot遇到過的一樣,也就是有一個有"Connection: close",一個沒有,考慮到特征比較明顯,所以我這里先選了這個有"Connection: close"的 64.227.73.80:443

經過幾次的搜索嘗試,得到一個比較準確的指紋:

"HTTP/1.1 404 Not found" +"Server: nginx" +"Content-Type: text/html; charset=UTF-8" +"Connection: close Date" -"Content-Length" -"<head>" -"Cache-Control"

圖片

因為這個只是初步分析,意在獲得更多更明顯的特征,肯定存在誤報的情況的,這里查詢出157條數據,主要集中在443端口且都是https協議(順帶書喲下這個也跟樣本IP 64.227.73.80:443是一致的),所以我們繼續提取了證書里特征比較明顯的"issuer" 進行特征觀察:

圖片

很明顯可以看出來"issuer"的證書大多數表現出來分詞結構相似的情況,因為數據量不多,我肉眼手工提取了這些證書里的特征做了個特征集:

(ssl:"System,CN" ssl:"Amadey Org,CN" ssl:"O=Global Security,OU=IT Department,CN=example.com" ssl:"NZT,CN" ssl:"O=Lero,OU=Lero" ssl:"Security,OU=Krot" ssl:"O=Shioban,OU=Shioban")

在配合前面掌握到的https服務返回的banner特征:

 +"HTTP/1.1  404 Not found" +"Server: nginx" +"Content-Type: text/html; charset=UTF-8"

當然結合這兩個條件還存在一些誤報,所以進行一些排除運算:

 -ssl:"OU=System" -ssl:digicert -"Content-Length" -"Connection: keep-alive"

所以最后得到的查詢語句為:

 (ssl:"System,CN" ssl:"Amadey Org,CN" ssl:"O=Global Security,OU=IT Department,CN=example.com" ssl:"NZT,CN" ssl:"O=Lero,OU=Lero" ssl:"Security,OU=Krot" ssl:"O=Shioban,OU=Shioban") +"HTTP/1.1  404 Not found" +"Server: nginx" +"Content-Type: text/html; charset=UTF-8" -ssl:"OU=System" -ssl:digicert -"Content-Length" -"Connection: keep-alive" 
https://www.zoomeye.org/searchResult?q=(ssl%3A%22System%2CCN%22%20ssl%3A%22Amadey%20Org%2CCN%22%20ssl%3A%22O%3DGlobal%20Security%2COU%3DIT%20Department%2CCN%3Dexample.com%22%20ssl%3A%22NZT%2CCN%22%20ssl%3A%22O%3DLero%2COU%3DLero%22%20ssl%3A%22Security%2COU%3DKrot%22%20ssl%3A%22O%3DShioban%2COU%3DShioban%22)%20%2B%22HTTP%2F1.1%20%20404%20Not%20found%22%20%2B%22Server%3A%20nginx%22%20%2B%22Content-Type%3A%20text%2Fhtml%3B%20charset%3DUTF-8%22%20-ssl%3A%22OU%3DSystem%22%20-ssl%3Adigicert%20-%22Content-Length%22%20-%22Connection%3A%20keep-alive%22

圖片

圖片

一共得到254條數據,到這里實際上我們就已經實現了“一個ZoomEye查詢打盡BazarLoader C2”的目標,當然少了不了數據分析的部分:

BazarLoader C2 國家 Top 10

 美國 112 荷蘭 53 德國 22 英國 15 羅馬尼亞 11 捷克 8 拉脫維亞 8 摩爾多瓦 4 俄羅斯 4 法國  3

BazarLoader C2 運營商 Top 10

amazon.com 79digitalocean.com 68Unknown 14hosting.international 7itldc.com 7colocrossing.com 5ovh.com 5smarthost.net 5dedipath.com 4eonix.net 4

從這些結果來看,如果你經常對僵尸網絡惡意IP地址進行追蹤我想這些國家你可能并不陌生,當然我們對這些數據的證書里的域名及JARM進行提取:

證書中的域名統計

amadeamadey.at   46asdotaera.it      7baget.fr          1bigter.ch         3confarencastyas.it  3enjobero.ch       1example.com      33forenzik.kz      64gosterta.fr       2haner.it          3hangober.uk       5holdasdg.it       1holdertoysar.uk   4jerbek.fr         2jermegib.fr       3jersjersy.com     2kajekin.je        6komanchi.com      1ksorun.it         2laralabana.it     3maloregerto.it    6mataner.at        4monblan.ua       14munichresed.de    1nortenarasta.fr   1nztportu.pg       2ofgasrty.fr       2parismaote.fr     1perdefue.fr       7pnercon.tr        1pokilorte.es      7rosteranar.uk     1selfoder.gb       6smartoyab.it      1smartoyta.uk      1smartoytaas.it    4zalustipar.uk     3

JARM 統計(有一些目標沒有獲取到JARM) :

2ad2ad16d2ad2ad22c2ad2ad2ad2ad7329fbe92d446436f2394e041278b8b2  92ad2ad16d2ad2ad22c2ad2ad2ad2ad47321614530b94a96fa03d06e666d6d6  322ad2ad0002ad2ad22c2ad2ad2ad2adce7a321e4956e8298ba917e9f2c22849  392ad2ad0002ad2ad0002ad2ad2ad2ade1a3c0d7ca6ad8388057924be83dfc6a  25

這里順帶提一下單一的JARM表現不是很準,誤報比較多,但是它還是有一定的統計學上,數據排除等上面有一定的意義的。

詳細數據見:https://pastebin.com/Y9T4KKYr

本文只是個具體例子進行說明,理論相關詳見:

談談網絡空間“行為測繪”

https://mp.weixin.qq.com/s/fQatA5iyewqRBMWtpVjsRA

題外話:

我覺得我搞的這些套路,真真的好用,真的!而且我也沒禿頂,也沒有不務正業,也還在搞技術,真的!真的!真的!

Paper 本文由 Seebug Paper 發布,如需轉載請注明來源。本文地址:http://www.bjnorthway.com/1703/