作者:liuchuang@360高級攻防實驗室
原文鏈接:http://blog.noah.360.net/fake-dnspy-when-hackers-have-no-martial-ethics/
前景提要
dnSpy是一款流行的用于調試,修改和。反編譯.NET程序的工具。網絡安全研究人員在分析 .NET 程序或惡意軟件時經常使用。
2022 年1月8日, BLEEPING COMPUTER 發文稱, 有攻擊者利用惡意的dnSpy針對網絡安全研究人員和開發人員發起了一次攻擊活動。@MalwareHunterTeam 發布推文披露了分發惡意dnSpy編譯版本的Github倉庫地址,該版本的dnSpy后續會安裝剪切板劫持器, Quasar RAT, 挖礦木馬等。
查看 dnSpy 官方版的 Git,發現該工具處于Archived狀態,在2020年就已經停止更新,并且沒有官方站點。
攻擊者正是借助這一點,通過注冊 dnspy[.]net 域名, 設計一個非常精美的網站, 來分發惡意的dnSpy 程序。
同時購買Google搜索廣告, 使該站點在搜索引擎的結果排名前列,以加深影響范圍。
截止 2022 年 1 月 9 日, 該網站已下線
樣本分析
dnspy[.]net 下發的為 dnSpy 6.1.8 的修改版,該版本也是官方發布的最后一個版本。
通過修改dnSpy核心模塊之一的dnSpy.dll入口代碼來完成感染。
dnSpy.dll正常的入口函數如下:
修改的入口添加了一個內存加載的可執行程序
該程序名為dnSpy Reader
并經過混淆
后續會通過mshta下發一些挖礦,剪切板劫持器,RAT等
Github
攻擊者創建的兩個 github 分別為:
- https[:]//github[.]com/carbonblackz/dnSpy
- https[:]//github[.]com/isharpdev/dnSpy
其中使用的用戶名為:isharpdev 和 carbonblackz,請記住這個名字待會兒我們還會看到它
資產拓線
通過對dnspy[.]net的分析,我們發現一些有趣的痕跡進而可對攻擊者進行資產拓線:
dnspy.net
域名 dnspy[.]net 注冊時間為2021年4月14日。
該域名存在多個解析記錄, 多數為 Cloudflare 提供的 cdn 服務, 然而在查看具體歷史解析記錄時,我們發現在12月13日- 01月03日該域名使用的IP為45.32.253[.]0 , 與其他幾個Cloudflare CDN服務的IP不同,該IP僅有少量的映射記錄。
查詢該IP的PDNS記錄, 可以發現該IP映射的域名大多數都疑似為偽造的域名, 且大部分域名已經下線。
這批域名部分為黑客工具/辦公軟件等下載站點,且均疑似為某些正常網站的偽造域名。
以及披露事件中的dnspy.net域名, 基于此行為模式,我們懷疑這些域名均為攻擊者所擁有的資產,于是對這批域名進行了進一步的分析。
關聯域名分析
以 toolbase[.]co 為例, 該域名歷史為黑客工具下載站點, 該網站首頁的黑客工具解壓密碼為 “CarbonBlackz”, 與上傳惡意 dnspy 的 Github 用戶之一的名字相同。
該站點后續更新頁面標題為 Combolist-Cloud , 與45.32.253[.]0解析記錄中存在的combolist.cloud域名記錄相同, 部分文件使用 mediafire 或 gofile 進行分發。
該域名疑似為combolist[.]top的偽造站點, combolist[.]top 是一個提供泄露數據的論壇。
torfiles[.]net也同樣為一個軟件下載站。
Windows-software[.]co以及windows-softeware[.]net均為同一套模板創建的下載站。
shortbase[.]net擁有同dnspy[.]net一樣的CyberPanel安裝頁面.且日期均為2021年12月19日。
下圖為dnspy[.]net在WaybackMachine記錄中的CyberPanel的歷史安裝頁面。
coolmint[.]net同樣為下載站, 截止 2022 年1月12日依然可以訪問.但下載鏈接僅僅是跳轉到mega[.]nz
filesr[.]net與toolbase[.]co為同一套模板
此站點的About us 都未做修改,
該頁面的內容則是從FileCR[.]com的About us頁面修改而來
filesr[.]net的軟件使用dropbox進行分發,但當前鏈接均已失效
最后是zippyfiles[.]net, 該站點為黑客工具下載站
我們還在reddit上發現了一個名為tuki1986的用戶兩個月前一直在推廣toolbase[.]co及zippyfiles[.]net站點。
該用戶在一年前推廣的網站為bigwarez[.]net
查看該網站的歷史記錄發現同樣為一個工具下載站點,且關聯有多個社交媒體賬號。
推特
Facebook@software.download.free.mana
該賬號現在推廣的網站為itools[.]digital,是一個瀏覽器插件的下載站。
Facebook組@free.software.bigwarez
領英 - 當前已經無法訪問 @free-software-1055261b9
tumblr@bigwarez
繼續分析tuki1986的記錄發現了另一個網站blackos[.]net
該網站同樣為黑客工具下載站點
且在威脅情報平臺標注有后門軟件
通過該網站發現有一個名為sadoutlook1992的用戶,從18年即開始在各種黑客論壇里發布掛馬的黑客工具。
在其最新的活動中,下載鏈接為zippyfiles[.]net
從惡意的Gihubt倉庫及解壓密碼可知有一個用戶名為”CarbonBlackz”, 使用搜索引擎檢索該字符串, 發現在知名的數據泄露網站raidforums[.]com有名為“Carbonblackz”的用戶。
同樣的在俄語的黑灰產論壇里也注冊有賬號,這兩個賬號均未發布任何帖子和回復,疑似還未投入使用。
其還在越南最大的論壇中發布軟件下載鏈接:
歸因分析
通過查看這些域名的WHOIS信息發現, filesr[.]net的聯系郵箱為carbon1986@protonmail.com
查詢該郵箱的信息關聯到一位35歲,疑似來自俄羅斯的人員。
從carbon1986和tuki1986這兩個ID來看,1986疑似為其出生年份,同時也符合35歲的年齡。
根據這些域名的關聯性,行為模式與類似的推廣方式,我們認為這些域名與dnspy[.]net的攻擊者屬于同一批人。
這是一個經過精心構建的惡意組織,其至少從2018年10月即開始行動,通過注冊大量的網站,提供掛馬的黑客工具/破解軟件下載,并在多個社交媒體上進行推廣,從而感染黑客,安全研究人員,軟件開發者等用戶,后續進行挖礦,竊取加密貨幣或通過RAT軟件竊取數據等惡意行為。
結論
破解軟件掛馬已經屢見不鮮,但對于安全研究人員的攻擊則更容易中招,因為一些黑客工具,分析工具的敏感行為更容易被殺軟查殺,所以部分安全研究人員可能會關閉防病毒軟件來避免煩人的警告。
雖然目前該組織相關的惡意網站,gihub倉庫以及用于分發惡意軟件的鏈接大部分已經失效.但安全研究人員和開發人員還是要時刻保持警惕。對于各種破解/泄露的黑客工具建議在虛擬環境下運行,開發類軟件,辦公軟件要從官網或正規渠道下載,且建議使用正版.以避免造成不必要的損失。
IOCs
dnSpy.dll - f00e0affede6e0a533fd0f4f6c71264d- ip
ip:
45.32.253.0- domain
zippyfiles.net
windows-software.net
filesr.net
coolmint.net
windows-software.co
dnspy.net
torfiles.net
combolist.cloud
toolbase.co
shortbase.net
blackos.net
bigwarez.net
buysixes.com
itools.digital
4api.net
本文由 Seebug Paper 發布,如需轉載請注明來源。本文地址:http://www.bjnorthway.com/1812/
暫無評論