作者:Mr.Right、Evancss、K0r4dji
申明:文中提到的攻擊方式僅為曝光、打擊惡意網絡攻擊行為,切勿模仿,否則后果自負。
接到客戶需求,對其互聯網辦公區域主機安全分析。在對某一臺主機通信數據進行分析時,過濾了一下HTTP協議。
一看數據,就發現異常,這臺主機HTTP數據不多,但大量HTTP請求均為“Get heikewww/www.txt”,問題的發現當然不是因為拼音“heike”。點擊“Info”排列一下,可以看得更清楚,還可以看出請求間隔約50秒。
為更加準確地分析其請求URL地址情況,在菜單中選擇Statistics,選擇HTTP,然后選擇Requests。可以看到其請求的URL地址只有1個:“d.99081.com/heikewww/www.txt”,在短時間內就請求了82次。
這種有規律、長期請求同一域名的HTTP通信行為一般來說“非奸即盜”。
我們再過濾一下DNS協議看看。
可以看出,DNS請求中沒有域名“d.99081.com”的相關請求,木馬病毒通信不通過DNS解析的方法和技術很多,讀者有興趣可以自行查詢學習。所以作為安全監控設備,僅基于DNS的監控是完全不夠的。
接下來,我們看看HTTP請求的具體內容。點擊HTTP GET的一包數據,可以看到請求完整域名為“d.99081.com/heikewww/www.txt”,且不斷去獲得www.txt文件。
Follow TCPStream,可以看到去獲得www.txt中的所有惡意代碼。
到這兒,基本確認主機10.190.16.143上面運行了惡意代碼,它會固定時間同199.59.243.120這個IP地址(域名為d.99081.com)通過HTTP協議進行通信,并下載運行上面的/heikewww/www.txt。
那么,是否還有其它主機也中招了呢?
這個問題很好解決,前提條件是得有一段時間全網的監控流量,然后看看還有哪些主機與IP(199.59.243.120)進行通信,如果域名是動態IP,那就需要再解析。
下面我們就根據這個案例,一起了解一下WireShark中“tshark.exe”的用法,用它來實現批量過濾。
Tshark的使用需要在命令行環境下,單條過濾命令如下:
cd C:\Program Files\Wireshark
tshark -r D:\DATA\1.cap -Y "ip.addr==199.59.243.120" -w E:\DATA\out\1.cap
解釋:先進到WireShark目錄,調用tshark程序,-r后緊跟源目錄地址,-Y后緊跟過濾命令(跟Wireshrk中的Filter規則一致),-w后緊跟目的地址。
有了這條命令,就可以編寫批處理對文件夾內大量PCAP包進行過濾。
通過這種辦法,過濾了IP地址199.59.243.120所有的通信數據。
統計一下通信IP情況。
根據統計結果,可以發現全網中已有4臺主機已被同樣的惡意代碼所感染,所有通信內容均一樣,只是請求時間間隔略微不同,有的為50秒,有的為4分鐘。
1 惡意代碼源頭
在www.txt中我們找到了“/Zm9yY2VTUg”這個URL,打開查看后,發現都是一些贊助商廣告等垃圾信息。如下圖:
通過Whois查詢,我們了解到99081.com的域名服務器為ns1.bodis.com和ns2.bodis.com,bodis.com是BODIS, LLC公司的資產,訪問其主頁發現這是一個提供域名停放 (Domain Parking)服務的網站,用戶將閑置域名交給它們托管,它們利用域名產生的廣告流量和點擊數量給用戶相應的利益分成。
2 惡意代碼行為
經過公開渠道的資料了解到Bodis.com是一個有多年經營的域名停放服務提供商,主要靠互聯網廣告獲取收入,其本身是否有非法網絡行為還有待分析。
99081.com是Bodis.com的注冊用戶,即域名停放用戶,它靠顯示Bodis.com的廣告并吸引用戶點擊獲取自己的利潤分成,我們初步分析的結果是99081.com利用系統漏洞或軟件捆綁等方式在大量受害者計算機上安裝并運行惡意代碼訪問其域名停放網站,通過產生大量流向99081.com的流量獲取Bodis.com的利潤分成。通常這種行為會被域名停放服務商認定為作弊行為,一旦發現會有較重的懲罰。
3 攻擊者身份
根據代碼結合其它信息,基本鎖定攻擊者身份信息。下圖為其在某論壇注冊的信息:
