鸣谢个人研究员:LugA、Zero17010、Sn2waR提供溯源帮助,共同完成了本次事件的恶意组织披露。
奇安信威胁情报中心在日常监控中观察到 analyzev.oss-cn-beijing.aliyuncs.com 恶意域名的访问量从 9 月初陡增,一直持续到 9 月底,在此期间并没有观察到可疑的 payload,只有一些奇怪的 js,之后进入了一段时间的潜伏期。
直到 10 月底开始爆发,并且观察到恶意的 payload 程序。
|
URL
|
|
hxxps://analyzev.oss-cn-beijing.aliyuncs.com/update.exe
|
|
hxxps://analyzev.oss-cn-beijing.aliyuncs.com/ntp.exe
|
|
hxxps://analyzev.oss-cn-beijing.aliyuncs.com/flash_update.exe
|
|
hxxps://analyzev.oss-cn-beijing.aliyuncs.com/ntp_windows.exe
|
网络日志显示在请求上述 URL 时的 Referer 字段都是 CSDN 的正常博客,非常奇怪。
|
Referer
|
|
hxxps://blog.csdn.net/Liuyanan990830/article/details/139475453
|
|
hxxps://blog.csdn.net/A186886/article/details/135279820
|
|
hxxps://blog.csdn.net/gitblog_06638/article/details/142569162
|
|
hxxps://blog.csdn.net/qq_44741577/article/details/139236697
|
|
hxxps://blog.csdn.net/jsp13270124/article/details/100738172
|
基于相关日志最终确认 CSDN 被挂马,并且成功复现。
加载了额外的 js:
|
Js
|
|
https://analyzev.oss-cn-beijing.aliyuncs.com/jquery-statistics.js
|
基于奇安信全球鹰测绘数据,国内大量网站正文页面中包含该恶意域名,其中包含政府、互联网、媒体等网站:
所涉及的域名均挂有 CDN,对应IP也都为 CDN 节点,由于我们缺乏大网数据,只能推测 CDN 厂商疑似被污染。
jquery-statistics.js 解混淆后逻辑如下:
获取本机的 IP 与内置的IP列表进行比对,如果匹配成功,则跳转到下一个 js,该 js 主要用来钓鱼,页面如下:
诱导有害者更新证书,下载上述 payload 并执行,这一阶段的钓鱼 js 有多种,还观察到 flash 更新页面,正常情况下受害者会误以为该页面是浏览器的更新请求,手动下载该 payload 并执行从而导致中招。
我们对内置的 IP 列表进行了分析,攻击者似乎比较关注媒体行业。
|
MD5
|
Name
|
签名
|
|
0b42839d1d07f93f2c92c61416d589c3
|
sslupdate.exe
|
Octopus
Data Inc.
|
|
cafe15fde16f915c014cc383b9503681
dc0d62cb42a56a3fd7458a2f5519f4cc
|
ntp_windows.exe
|
Chengdu Nuoxin Times Technology Co., Ltd.
|
|
eba2a788cf414ab9674a84ed94b25d46
|
flash_update.exe
|
Chengdu
Nuoxin Times Technology Co., Ltd.
|
相关样本在 VT 上 0 查杀:
sslupdate.exe 是个 downloader,首先解密出要链接的 C2:server.centos.ws:8848。
发送和接收的数据包有固定前缀特征 64 6D 07 08。
之后 recv 接收数据,收到的数据是个 .NET DLL。
接收完毕后会加载 CLR 执行该 DLL,调用其导出函数 Client.Program.Start。
此 DLL 是个特马,将其配置信息加密后以 Base64 形式存储,解密后如下,C2 与 Loader 一致。
