Когда в конце апреля 2018 года я открыл StreamingPhish с открытым исходным кодом, я сразу же настроил автоматизированную систему сбора информации для каждого SSL-сертификата, помеченного оценкой 60% или выше (все оценивались как высокие, подозрительные или низкие). »). Эта информация включает в себя метаданные, такие как записи серверов имен, ASN, сетевые блоки, владельцы IP-адресов, пассивный DNS, HTML, заголовки протоколов, значки, снимки экрана и многое другое (если вас интересуют эти данные, свяжитесь с нами). В начале сентября я выборочно проверял свои инструменты для создания скриншотов веб-страниц и заметил следующий открытый каталог по адресу hxxps://accountinfologin[.]co.uk:
Утилита StreamingPhish предназначена для обнаружения фишинговых кампаний, поэтому гораздо чаще в этих открытых каталогах можно найти zip-файлы наборов для фишинга, а не исполняемые файлы. В этом сообщении блога я расскажу о своем процессе изучения базовой инфраструктуры и определения назначения исполняемого файла.
Анализ инфраструктуры
Центр сертификации (ЦС) не может проверять удостоверения для незарегистрированных доменов, поэтому первым шагом является проверка информации о регистрации домена. Использование утилиты whois из командной строки показывает, что домен был зарегистрирован 29 июля 2018 года у регистратора 1 & 1. Ограничения GDPR вынудили такие организации, как ICANN, редактировать или полностью исключить полезную информацию, такую как имя владельца регистрации, адрес электронной почты или номер телефона, которые в противном случае могли бы быть ценными точками данных для изучения дополнительных доменов, зарегистрированных этим субъектом:
Скриншот открытого каталога показывает, что исполняемый файл последний раз изменялся в тот же день, когда был зарегистрирован домен, поэтому кажется, что открытый каталог с этим файлом работал как минимум целый месяц.
Далее нужно узнать больше о хостинг-провайдере, стоящем за веб-сервером. Важно, чтобы любой поиск DNS для этого шага выполнялся с прокси-сервера или виртуального частного сервера. Если субъект, стоящий за инфраструктурой, лично управляет авторитетным сервером имен, IP-адрес из вашего поиска может быть обнаружен субъектом. Злоумышленники будут лично управлять этими серверами имен для таких атак, как, например, туннелирование DNS.
Утилита nslookup с моего виртуального частного сервера показывает, что этот домен разрешается в 162.244.94[.]135. Затем я использовал DNSdumpster, чтобы лучше понять, какие службы могут работать на цели. В приведенном ниже выводе указаны службы HTTP, HTTPS и FTP, включая соседний сервер по адресу 162.244.94[.]136:
Еще один полезный инструмент для перечисления открытых портов и запущенных служб на IP-адресе — это Shodan, который показывает гораздо больше, чем изначально показал DNSdumpster: IMAP, SMTP, cPanel и MySQL, и это лишь некоторые из них:
Затем я использовал библиотеку pyasn на Python для сопоставления IP-адреса с его ASN (53667), а затем использовал cidr-report для сопоставления ASN с его хостинг-провайдером (PONYNET — FranTech Solutions, США):
Я не уверен в репутации FranTech навскидку, но я помню Брайан Креб подробно описал случай в прошлом году, когда владелец FranTech проигнорировал сообщения о злоупотреблениях каналами управления ботнетом IoT, которые он размещал, и впоследствии подвергся резкой критике со стороны ботнот Mirai полностью отключил инфраструктуру FranTech. Запрос моего сборщика данных StreamingPhish на наличие SSL-сертификатов, чье общее имя (CN) разрешается в IP-адрес, размещенный FranTech, не показывает недостатка в очень подозрительных доменах с высокой оценкой:
Переходя на пассивный DNS, PassiveTotal — это мой сервис для изучения исторических разрешений доменных имен, а бесплатная учетная запись дает вам 15 бесплатных запросов в день. На первый взгляд кажется, что есть еще 60 доменов с лексическим сходством с accountinfologin[.]co.uk, которые также разрешаются в 162.244.94[.]135, что позволяет предположить, что они могут быть частью той же кампании. Тепловая карта ниже показывает, что эти разрешения IP-адресов начались 28 июля и продолжают разрешаться по сей день:
А вот фрагмент 60 доменных имен, разрешающихся в IP:
Список из 60 доменных имен побудил меня проверить, перехватил ли StreamingPhish выданные им SSL-сертификаты. Оказывается, он обнаружил 4 SSL-сертификата, выданных этим доменам 31 августа, в тот же день, когда был выдан сертификат accountinfologin[.]co.uk:
Я был удивлен, увидев так мало сертификатов, обнаруженных StreamingPhish — всего 4 из потенциально 60. Было ли это связано с тем, что SSL-сертификаты не были выданы для этих доменов, или потому, что мой классификатор их отсутствовал? К сожалению, кажется, что это немного и то, и другое. Существующий вектор признаков в классификаторе не определял достаточно фишинговых характеристик, чтобы гарантировать высокую оценку:
[Phishing] accountinfologin.co.uk 0.827 [Phishing] accountinfologinservices.co.uk 0.953 [Phishing] www.accountinfologinservices.co.uk 0.953 [Not Phishing] acc-info-login.co.uk 0.367 [Not Phishing] accinfologinshop.co.uk 0.091 [Not Phishing] accinfoservicessolutions.co.uk 0.007 [Not Phishing] www.accinfoservicessolutions.co.uk 0.007 [Not Phishing] theaccinfologin.co.uk 0.127 [Not Phishing] accinfologin.co.uk 0.089 [Not Phishing] accinfologinservices.co.uk 0.304 [Not Phishing] acc-infos-logined.co.uk 0.177 [Not Phishing] theaccinfoslogin.co.uk 0.140 [Not Phishing] myaccinfologin.co.uk 0.080 [Phishing] theaccountinfologin.co.uk 0.859 [Not Phishing] accinfoslogined.co.uk 0.127 [Not Phishing] theaccinfoslogined.co.uk 0.152 [Not Phishing] acc-info-services.co.uk 0.016 [Phishing] account-info-login.co.uk 0.997 [Not Phishing] poawrizr.co.uk 0.000 [Phishing] www.theaccountinfologin.co.uk 0.859 [Not Phishing] www.accinfologin.co.uk 0.089 [Not Phishing] www.acc-info-login.co.uk 0.367 [Not Phishing] accinfoslogin.co.uk 0.102 [Not Phishing] www.accinfoslogin.co.uk 0.102 [Not Phishing] www.acc-infos-login.co.uk 0.478 [Not Phishing] acc-infos-login.co.uk 0.478 [Not Phishing] www.theaccinfoservices.co.uk 0.007 [Not Phishing] theaccinfoservices.co.uk 0.007 [Not Phishing] www.theaccinfologin.co.uk 0.127 [Not Phishing] accinfoservicesonline.co.uk 0.043 [Not Phishing] www.accinfoservicesonline.co.uk 0.043 [Not Phishing] www.theaccinfoslogin.co.uk 0.140 [Not Phishing] www.myaccinfologin.co.uk 0.080 [Not Phishing] www.accinfoservices.co.uk 0.006 [Not Phishing] www.accinfologinservices.co.uk 0.304 [Not Phishing] accinfoservices.co.uk 0.006 [Not Phishing] www.accinfoslogined.co.uk 0.127 [Not Phishing] www.poawrizr.co.uk 0.000 [Not Phishing] www.theaccinfoslogined.co.uk 0.152 [Not Phishing] www.acc-infos-logined.co.uk 0.177 [Not Phishing] www.accinfoservicesexpress.co.uk 0.006 [Not Phishing] accinfoservicesexpress.co.uk 0.006 [Not Phishing] accinfosloginedservices.co.uk 0.318 [Not Phishing] www.accinfosloginedservices.co.uk 0.318 [Not Phishing] accinfosloginservices.co.uk 0.301 [Not Phishing] www.accinfosloginservices.co.uk 0.301 [Phishing] www.myaccountinfologin.co.uk 0.971 [Not Phishing] www.myaccinfoservices.co.uk 0.005 [Not Phishing] www.accinfosloginshop.co.uk 0.091 [Phishing] myaccountinfologin.co.uk 0.971 [Not Phishing] accinfosloginshop.co.uk 0.091 [Not Phishing] myaccinfoservices.co.uk 0.005 [Not Phishing] www.myaccinfoslogined.co.uk 0.108 [Not Phishing] myaccinfoslogined.co.uk 0.108 [Not Phishing] myaccinfoslogin.co.uk 0.089 [Not Phishing] www.myaccinfoslogin.co.uk 0.089 [Not Phishing] www.acc-info-services.co.uk 0.016 [Not Phishing] www.accinfologinshop.co.uk 0.091 [Phishing] www.account-info-login.co.uk 0.997 [Phishing] www.accountinfologin.co.uk 0.827
Я добавил три совпадения ключевых слов к моему вектору признаков («acc», «info» и «login»), провел переобучение, используя существующие обучающие данные, и, к счастью, классификатор теперь обнаруживает все домены, кроме двух.
[Phishing] accountinfologin.co.uk 0.997 [Phishing] accountinfologinservices.co.uk 1.000 [Phishing] www.accountinfologinservices.co.uk 1.000 [Phishing] acc-info-login.co.uk 0.997 [Phishing] accinfologinshop.co.uk 0.992 [Phishing] accinfoservicessolutions.co.uk 0.841 [Phishing] www.accinfoservicessolutions.co.uk 0.841 [Phishing] theaccinfologin.co.uk 0.990 [Phishing] accinfologin.co.uk 0.985 [Phishing] accinfologinservices.co.uk 0.998 [Phishing] acc-infos-logined.co.uk 0.999 [Phishing] theaccinfoslogin.co.uk 0.991 [Phishing] myaccinfologin.co.uk 0.987 [Phishing] theaccountinfologin.co.uk 0.998 [Phishing] accinfoslogined.co.uk 0.990 [Phishing] theaccinfoslogined.co.uk 0.992 [Phishing] acc-info-services.co.uk 0.820 [Phishing] account-info-login.co.uk 1.000 [Not Phishing] poawrizr.co.uk 0.005 [Phishing] www.theaccountinfologin.co.uk 0.998 [Phishing] www.accinfologin.co.uk 0.985 [Phishing] www.acc-info-login.co.uk 0.997 [Phishing] accinfoslogin.co.uk 0.987 [Phishing] www.accinfoslogin.co.uk 0.987 [Phishing] www.acc-infos-login.co.uk 1.000 [Phishing] acc-infos-login.co.uk 1.000 [Phishing] www.theaccinfoservices.co.uk 0.833 [Phishing] theaccinfoservices.co.uk 0.833 [Phishing] www.theaccinfologin.co.uk 0.990 [Phishing] accinfoservicesonline.co.uk 0.966 [Phishing] www.accinfoservicesonline.co.uk 0.966 [Phishing] www.theaccinfoslogin.co.uk 0.991 [Phishing] www.myaccinfologin.co.uk 0.987 [Phishing] www.accinfoservices.co.uk 0.805 [Phishing] www.accinfologinservices.co.uk 0.998 [Phishing] accinfoservices.co.uk 0.805 [Phishing] www.accinfoslogined.co.uk 0.990 [Not Phishing] www.poawrizr.co.uk 0.005 [Phishing] www.theaccinfoslogined.co.uk 0.992 [Phishing] www.acc-infos-logined.co.uk 0.999 [Phishing] www.accinfoservicesexpress.co.uk 0.823 [Phishing] accinfoservicesexpress.co.uk 0.823 [Phishing] accinfosloginedservices.co.uk 0.998 [Phishing] www.accinfosloginedservices.co.uk 0.998 [Phishing] accinfosloginservices.co.uk 0.998 [Phishing] www.accinfosloginservices.co.uk 0.998 [Phishing] www.myaccountinfologin.co.uk 1.000 [Phishing] www.myaccinfoservices.co.uk 0.824 [Phishing] www.accinfosloginshop.co.uk 0.992 [Phishing] myaccountinfologin.co.uk 1.000 [Phishing] accinfosloginshop.co.uk 0.992 [Phishing] myaccinfoservices.co.uk 0.824 [Phishing] www.myaccinfoslogined.co.uk 0.991 [Phishing] myaccinfoslogined.co.uk 0.991 [Phishing] myaccinfoslogin.co.uk 0.989 [Phishing] www.myaccinfoslogin.co.uk 0.989 [Phishing] www.acc-info-services.co.uk 0.820 [Phishing] www.accinfologinshop.co.uk 0.992 [Phishing] www.account-info-login.co.uk 1.000 [Phishing] www.accountinfologin.co.uk 0.997
Я получил бы еще более высокие баллы, если бы расширил свой вредоносный тренировочный набор, включив в него домены, которые я оцениваю (но это сродни тому, чтобы получить ответы на экзамен перед его сдачей, а затем хвастаться полученной пятеркой). Однако я планирую обновить обучающие данные в StreamingPhish, чтобы включить эти домены в более позднюю версию.
На данный момент это охватывает большую часть анализа инфраструктуры. В следующем посте я расскажу о своем подходе к пониманию назначения исполняемого файла в этом открытом каталоге (статический анализ, динамический анализ, интерактивный поведенческий анализ и дизассемблирование на уровне кода). Я пока только скачал файл и запустил его хэш SHA256 против VirusTotal. Несколько движков пометили его как вредоносный и указали, что это вариант PonyStealer, известного вредоносного ПО для кражи информации:
Спасибо за чтение!
