黑客冒充火絨域名 黑客利用云服務器漏洞投放后門病毒
黑客可以通過域名前置攻擊,隱藏真正的C&C服務器域名,從而欺騙安全檢測設備、誤導分析人員的溯源分析。除所述后門病毒外,我們監測到近期還有很多此類具備域名前置的病毒樣本在傳播。
值得警惕的是,黑客選取用來冒名頂替的域名都是有較高信任度的域名,以此獲取信任躲避審查。除了火絨以外,所有在該云平臺上使用CDN服務的廠商都有可能會受到此類攻擊的影響。
實際上,為了避免此類攻擊,基于Google、亞馬遜等云服務提供商早已在2018年和2020年禁用域名前置。目前,我們已經將該情況反饋至相關漏洞平臺,并同步給所述云廠商,該廠商也已確認此事,表示將于近日修復該邏輯漏洞。
1、詳細攻擊方式分析
根據火絨工程師排查分析,病毒通過域名前置技術,最終訪問真實的C&C服務器的主機名為http://down1.huorong.cn,該主機名對應的CNAME響應指向病毒要連接到的源站地址為(121.199.1.32)。
而該主機名在早期已被黑客搶注,其所指向的C&C服務器源站地址(121.199.1.32)與火絨無關。除此之外,我們還發現了更多此類曾被C&C服務器所使用的主機名,此類主機名與火絨均無任何關聯。相關主機名及CNAME,如下圖所示:
曾被C&C服務器所使用的主機名
上述CNAME與源站地址對應關系,如下圖所示:
上述CNAME與源站地址對應關系
病毒與C&C服務器通訊流程,如下圖所示:
病毒與C&C服務器通訊流程
病毒與C&C服務器通訊數據包內容示意圖,如下圖所示:
病毒與C&C服務器通訊數據包內容示意圖
2、本次出現病毒代碼分析
前文中所述病毒樣本為使用域名前置技術的Cobalt Strike后門病毒,該病毒在請求遠程惡意代碼和獲取后門指令時均使用了域名前置技術。病毒請求遠程惡意代碼時所使用的域名前置邏輯,如下圖所示:
病毒請求遠程惡意代碼時所使用的域名前置邏輯
遠程惡意代碼下載地址為:hxxps://http://down1.huorong.cn/2IF119(該下載地址只在云服務商的CDN集群內部有效),該數據為混淆后的Cobalt Strike后門shellcode代碼。調用shellcode相關惡意代碼邏輯,如下圖所示:
調用shellcode相關惡意代碼邏輯
shellcode入口與原始代碼解密相關代碼,如下圖所示:
shellcode入口與原始代碼解密相關代碼
解密后的shellcode主要用于解密后門病毒的原始代碼,相關代碼邏輯,如下圖所示:
解密后門病毒的原始代碼
原始PE鏡像在映射過程中會跳過PE頭數據,所以在內存中執行時不會出現完整的映射后PE鏡像。原始PE為后門病毒,部分后門指令處理邏輯代碼,如下圖所示:
部分后門指令處理邏輯代碼
3、同源樣本分析
除此之外,還有更多此類病毒樣本利用此類方式下發遠程惡意代碼。相關病毒行為,如下圖所示:
相關樣本惡意行為
經分析,我們發現此類樣本與報告中所述樣本存在同源性,且shellcode下發流程與shellcode混淆形式也完全相同。與報告中提到的shellcode下發方式相同,都是直接將shellcode以二進制形式下發到受害人終端,且數據沒有經過任何加密。兩者的shellcode入口代碼也存在一定的相似性,代碼對比情況如下圖所示:
shellcode對比圖
4、附錄
病毒樣本hash
推薦站點
牛嘎視頻解析
牛嘎vip視頻解析網提供最專業的vip會員視頻解析,具體包括有:vip電影和vip電視劇免費看、全民解析VIP視頻免費看、在線解析、vip視頻解析、優酷vip解析、愛奇藝vip解析、騰訊vip解析、樂視vip解析、全網影視vip、芒果vip解析等。
niuga.cn戶戶通衛星直播中心
戶戶通,國家新聞出版廣電總局廣播電視衛星直播管理中心,廣播電視衛星直播管理中心,衛星直播管理中心,衛星直播中心。 國家廣播電視總局廣播電視衛星直播管理中心(簡稱:衛星直播中心)成立于2011年10月,是經中央編辦批準設立的總局直屬事業單位。主要負責衛星直播節目平臺的建設、播出、運行、管理;組織開展衛星直播廣播電視公共服務工作;服務管理衛星直播廣播電視用戶,受理用戶反饋意見和投訴;推進衛星直播廣播電視新技術新業態創新融合發展;制訂衛星直播技術發展規劃,跟蹤研究相關新技術,組織技術開發和應用研究;承辦總局交辦的其他事項。
www.huhutv.com.cnGBT樂賞游戲空間
GBT樂賞游戲空間網站其實是一個共享網盤,其中整理了2006年到現在的各種熱門的大型單機游戲,網站內是以時間分類的文件夾。由于是共享網盤,所以網站目前不支持游戲檢索,但可以使用“Ctrl+F”進行頁面搜索。
gbtgame.ysepan.comopenAI
OpenAI 的知名度在今年 1 月初還僅限于科技圈內,但伴隨著 ChatGPT 的全球火爆,OpenAI 進入公眾視野。OpenAI 自推出 ChatGPT 預覽版之后,網站訪問量快速攀升,目前已躋身全球 TOP50 網站。 OpenAI 網站在去年 11 月的全月訪問量為 1830 萬,主要訪問人群是技術社區。而在今年 1 月份,該網站的訪問量突破了 6.72 億,增長了 3572%。 OpenAI is an AI research and deployment company. Our mission is to ensure that artificial general intelligence benefits all of humanity.
openai.com互聯網檔案館
互聯網檔案館(網址web.archive.org),是一個公益項目,專門收集互聯網上的各種信息,例如視頻、音頻、網頁等等并存儲在他家的服務器中。 互聯網檔案館(英語:Internet Archive)是美國的一個由Alexa創始人布魯斯特·卡利創辦于1996年的非營利性的、提供互聯網多媒體資料文件閱覽服務的數字圖書館,總部位于加利福尼亞州舊金山的列治文區,其使命是“普及所有知識”(英語:universal access to all knowledge.)[注 1][注 2]。該“檔案館”提供的數字資料有如網站、網頁、圖形材料音樂、視頻、音頻、軟件、動態圖像和數百萬書籍等的永久性免費儲存及獲取的副本。 迄至2012年10月,其信息儲量達到10PB(即10,240TB)[5][6]。除此之外,該檔案館也是網絡開放與自由化的倡議者之一。 ——摘自維基百科 其中值得關注的就是他們的網頁備份項目。這個項目已經做到了對于非常多的網頁,對于每一個版本都留下了歷史記錄。即通過這個項目可以訪問大多數網頁的任意時間節點的版本,即使這個網站本身已經關停. 為了將這個由字符組成的文明盡可能地保存下來,美國的一家名為互聯網檔案館(Internet Archive)的非營利性數字圖書館,收集了大量的網頁、視頻、音頻、軟件和電子書。 互聯網檔案館從 1996 年起利用網絡爬蟲抓取了大量網頁并存檔,至今已經超過 3510 億個網頁,其稱為「時光機」(Wayback Machine)項目。 「時光機」的頁面非常簡潔,只有一個輸入欄和搜索按鈕,有點像 Google 等搜索引擎。在輸入欄輸入你想「回到過去」的網站,選擇想要穿越日期,就能查看當天被保存下來的網頁截圖。
web.archive.org阿里研究院
阿里研究院成立于2007年,是國內互聯網企業中第一家內設研究智庫。過去12年,阿里研究院見證、參與和推動了電子商務、數字經濟的發展,已成為在國內外數字經濟和數字治理研究領域具有廣泛影響力的企業智庫。 阿里研究院秉承開放、分享、透明、責任的互聯網精神,扎根阿里巴巴數字經濟體豐富的商業生態,依托海量的數據和案例,洞察新知、共創未來,引領著數字經濟和數字治理研究。
www.aliresearch.com全歷史
全歷史(Allhistory)以AI知識圖譜為核心引擎,通過高度時空化、關聯化數據的方式構造及展現數字人文內容,尤其是歷史知識。讓用戶沉浸在縱橫開闊、左圖右史的(歷史、人文、社科等)知識海洋中。
www.allhistory.com易搜-網盤搜索
易搜(網站)一個在線網盤資源搜索網站,界面清爽干凈而且完全免費,一鍵聚合四大網盤資源搜索,非常給力! 易搜(yiso.fun),一個在線網盤資源搜索網站,一次搞定四大平臺!直接在輸入框里輸入關鍵詞即可開始檢索,可以選擇特定的搜索線路,或者直接搜索四大網盤資源。
yiso.fun軟倉
軟倉是一個集合專業軟件的導航網站,免費下載供學習使用,本站承諾無毒無廣告,純公益項目,不以此盈利. 軟倉是一款免費的設計軟件分享網站,收錄的都是設計軟件,已收錄 385 個專業軟件,包括 Adobe 系列、AutoCAD、平面設計、三維設計、影視動畫、建筑設計、機械設計、電子電路。 軟件都是學習版,基本更新到了最新版本,提供了百度網盤下載鏈接,直接點擊即可獲取保存或下載。 開發者承諾網站永遠免費下載,永遠保持網站面貌干凈整潔,純公益項目,不以此盈利為建站目的,全憑興趣愛好。
www.ruancang.net