隨著新冠肺炎疫情的爆發(fā)，它已經(jīng)成為了全球關(guān)注度最高的話題了。根據(jù)Unit 42的研究，自2月初以來，與冠狀病毒相關(guān)的Google搜索和URL大量增加。與此同時(shí)，黑客也試圖渾水摸魚，從中發(fā)現(xiàn)攻擊機(jī)會(huì)。在這種情況下，甚至是數(shù)十億美元的不幸。

疫情發(fā)生以來，Unit 42就一直在監(jiān)控用戶對(duì)相關(guān)話題以及與這些主題相關(guān)的新注冊(cè)域名的興趣，因?yàn)楹诳蜁?huì)經(jīng)常利用它們進(jìn)行惡意活動(dòng)。伴隨著用戶瀏覽冠狀病毒話題的增長，研究人員發(fā)現(xiàn)從2月到3月，冠狀病毒相關(guān)域名的每日平均注冊(cè)量增長了656%。在這段時(shí)間內(nèi)，包括惡意軟件和網(wǎng)絡(luò)釣魚在內(nèi)的惡意注冊(cè)數(shù)量同時(shí)也增長了569%;并且“高風(fēng)險(xiǎn)攻擊”注冊(cè)的數(shù)量增加了788%，其中包括詐騙，未經(jīng)授權(quán)的貨幣開采以及具有與惡意URL關(guān)聯(lián)域。截至3月底，有116357個(gè)與冠狀病毒相關(guān)的新注冊(cè)域名。其中，2022個(gè)是惡意的域，40261是“高風(fēng)險(xiǎn)”的域。

研究人員根據(jù)這些域的Whois信息，DNS記錄和屏幕截圖對(duì)這它們進(jìn)行聚類分析，以檢測(cè)注冊(cè)活動(dòng)。觀察發(fā)現(xiàn)，許多域名都已用于知名的惡意活動(dòng)，比如借著銷售短缺商品，來進(jìn)行網(wǎng)絡(luò)攻擊。傳統(tǒng)的惡意濫用冠狀病毒攻擊包括托管惡意軟件、釣魚網(wǎng)站、欺詐網(wǎng)站、惡意廣告、加密和黑帽搜索引擎優(yōu)化(SEO)，以提高搜索排名不道德的網(wǎng)站。有趣的是，盡管許多使用新注冊(cè)域名的網(wǎng)絡(luò)商店試圖欺騙用戶，但研究人員發(fā)現(xiàn)了一個(gè)特別不道德的攻擊，就是利用用戶對(duì)冠狀病毒的恐懼來恐嚇?biāo)麄冑徺I惡意產(chǎn)品的域名群。此外，研究人員還發(fā)現(xiàn)了一組以冠狀病毒為主題的域，這些域現(xiàn)在使用高風(fēng)險(xiǎn)JavaScript為停放的頁面提供服務(wù)，這些JavaScript可能隨時(shí)會(huì)開始將用戶重定向到惡意內(nèi)容。

在本文中，我們首先通過Google搜索趨勢(shì)和服務(wù)流量日志中的數(shù)據(jù)來展示互聯(lián)網(wǎng)上與冠狀病毒相關(guān)主題的用戶興趣的增長趨勢(shì)。其次，我們會(huì)說明最近包含與冠狀病毒相關(guān)關(guān)鍵字的域名的域名注冊(cè)活動(dòng)顯著增加。第三，我們提供了一個(gè)詳細(xì)的案例研究，說明網(wǎng)絡(luò)犯罪分子如何在互聯(lián)網(wǎng)上濫用這些關(guān)注點(diǎn)尋覓攻擊機(jī)會(huì)。

與冠狀病毒相關(guān)主題的用戶興趣的增長趨勢(shì)

用戶搜索冠狀病毒相關(guān)關(guān)鍵字的趨勢(shì)

使用Google趨勢(shì)和流量日志，我們發(fā)現(xiàn)與冠狀病毒相關(guān)主題的用戶興趣急劇增加。在圖1中，我們可以看到用戶對(duì)基于Google趨勢(shì)的冠狀病毒相關(guān)關(guān)鍵字的興趣。特別是，我們看到在2020年1月底，2月底和3月中旬出現(xiàn)了三個(gè)高峰。第一個(gè)高峰與中國的病毒爆發(fā)相吻合，第二個(gè)高峰表示美國第一起來源不明的病例，第三個(gè)高峰與美國病毒爆發(fā)同時(shí)發(fā)生。圖1中一個(gè)有趣的例外是酒精，因?yàn)橛脩羧甓紝?duì)酒精感興趣，圣誕節(jié)時(shí)達(dá)到高峰。直覺上，全年對(duì)酒精的興趣是喝酒，但是與冠狀病毒對(duì)準(zhǔn)的峰是針對(duì)醫(yī)用酒精的。

訪問冠狀病毒相關(guān)URL的用戶趨勢(shì)

與我們對(duì)Google趨勢(shì)中有關(guān)用戶興趣的觀察結(jié)果相吻合，在圖2中，與2月初到3月下旬相比，客戶訪問的與冠狀病毒相關(guān)的獨(dú)特URL的數(shù)量增加了近十倍。

用戶對(duì)冠狀病毒越來越感興趣，這為網(wǎng)絡(luò)罪犯提供了一個(gè)攻擊的機(jī)會(huì)。攻擊者從熱門話題中獲利的一種常見方法是注冊(cè)包含相關(guān)關(guān)鍵詞的域名，如“冠狀病毒”或“COVID”。這些域名經(jīng)常托管著看似合法的內(nèi)容，并被用于各種各樣的惡意活動(dòng)，包括欺騙用戶下載惡意文件、網(wǎng)絡(luò)釣魚、詐騙、惡意組織和加密貨幣挖掘。

為了防止攻擊者使用與冠狀病毒相關(guān)域名發(fā)起攻擊，我們從熱門話題中獲取關(guān)鍵字。首先，我們使用谷歌Trends API自動(dòng)提取關(guān)鍵字。然后我們手動(dòng)選擇與冠狀病毒最相關(guān)的關(guān)鍵詞。最后，使用我們的關(guān)鍵字集，密切監(jiān)控新注冊(cè)的與冠狀病毒相關(guān)的域名。

冠狀病毒域名的興起

Unit 42對(duì)新注冊(cè)域名(NRD)進(jìn)行了9年多的跟蹤調(diào)查，此前曾發(fā)表過對(duì)這些域名的全面分析報(bào)告。為了研究COVID-19新出現(xiàn)的威脅，他們檢索了2020年1月1日至2020年3月31日包含冠狀病毒相關(guān)關(guān)鍵字的NRD。在此期間，系統(tǒng)檢測(cè)到116357個(gè)相關(guān)NRD，每天大約有1300個(gè)域。圖3顯示了我們研究期間新域名注冊(cè)的每日趨勢(shì)。隨著時(shí)間的推移，我們發(fā)現(xiàn)冠狀病毒域的數(shù)量在增加，3月12日之后，平均每天發(fā)現(xiàn)3000多個(gè)新域。除了整體的增長趨勢(shì)外，我們也觀察到注冊(cè)域名數(shù)目的突然增加。這些注冊(cè)的增長緊隨在谷歌趨勢(shì)中出現(xiàn)的用戶興趣高峰之后，只是延遲了幾天。

每日冠狀病毒相關(guān)的域名注冊(cè)趨勢(shì)

我們使用了Palo Alto Networks的威脅情報(bào)來評(píng)估與冠狀病毒相關(guān)的NRD。這個(gè)工具可以將NRD分為兩類。首先，惡意NRD包括用于命令和控制(C2)、惡意軟件傳播和網(wǎng)絡(luò)釣魚的域。其次，高風(fēng)險(xiǎn)NRD包含詐騙頁面，貨幣挖掘以及與已知惡意托管相關(guān)的域。在此文中，我們將分類分為惡意和高風(fēng)險(xiǎn)。

在分析中，我們確定了2022個(gè)惡意NRD和40261個(gè)高風(fēng)險(xiǎn)NRD。惡意率為1.74%，高風(fēng)險(xiǎn)率為34.60%。在這些惡意域中，有15.84%的網(wǎng)絡(luò)釣魚攻擊試圖竊取用戶的憑據(jù)，而84.09%的主機(jī)則托管著各種惡意軟件，包括特洛伊木馬和信息竊取程序。與網(wǎng)絡(luò)釣魚和惡意軟件不同，我們僅發(fā)現(xiàn)了幾個(gè)用于C2通信的域。

從2月到3月，與冠狀病毒相關(guān)的域的平均每日數(shù)量增加了656%。我們看到了惡意和高風(fēng)險(xiǎn)冠狀病毒域的類似趨勢(shì)，分別增長了569%和788%。在圖3中，我們可以觀察到惡意注冊(cè)符合了NRD趨勢(shì)，在某些情況下甚至超過了它們。

與冠狀病毒相關(guān)的每日客戶DNS查詢趨勢(shì)

此外，我們發(fā)現(xiàn)，盡管這些域是最近注冊(cè)的，但根據(jù)我們收集的被動(dòng)DNS數(shù)據(jù)，我們總共觀察到了這些域的2835197個(gè)DNS查詢(不包括緩存)。此外，平均查詢到的惡意NRD比非惡意NRD高出88%，這符合攻擊者在被列入黑名單之前利用其域名的動(dòng)機(jī)。圖4顯示了使用7天移動(dòng)平均值在我們的被動(dòng)DNS數(shù)據(jù)庫中觀察到的DNS查詢的每日趨勢(shì)。我們注意到，3月16日查詢的良性和惡意NRD數(shù)量急劇增加。這一增長與我們之前在美國因病毒爆發(fā)而在幾天前達(dá)到的用戶興趣和域名注冊(cè)量達(dá)到峰值有關(guān)。

NRD中最常濫用的關(guān)鍵字

我們用于分析的關(guān)鍵字集包含冠狀病毒流行的特定術(shù)語，如“冠狀病毒”和“COVID-19”。我們還使用了諸如“大流行”之類的更通用的詞，除了與病毒直接相關(guān)的詞外，我們還使用了與醫(yī)用耗材有關(guān)的關(guān)鍵字，例如“口罩”和“消毒劑”。

在圖5中，我們列出了與大多數(shù)NRD匹配的前15個(gè)關(guān)鍵字。一般來說，具體的條款更有利于注冊(cè)人，并且針對(duì)相關(guān)用品進(jìn)行了多次注冊(cè)活動(dòng)。除了檢測(cè)數(shù)量之外，這些熱門關(guān)鍵字的風(fēng)險(xiǎn)級(jí)別都高于平均水平(高風(fēng)險(xiǎn)率> 40%)，這意味著它們更容易被濫用。另一方面，它們的惡意率與平均關(guān)鍵字相似。一種特殊情況是匹配344個(gè)NRD的“virusnews”，其中33%是惡意的。

攻擊者是如何濫用冠狀病毒大流行的?

觀察到惡意和高風(fēng)險(xiǎn)冠狀病毒NRD的增加，我們進(jìn)一步分析了這些域，以了解網(wǎng)絡(luò)攻擊者如何利用它們。我們首先根據(jù)Whois信息和DNS記錄對(duì)域名進(jìn)行聚類，包括注冊(cè)日期，注冊(cè)商，注冊(cè)人的組織，自治系統(tǒng)編號(hào)(ASN)和名稱服務(wù)提供商。此外，我們根據(jù)域名與主網(wǎng)頁的視覺相似度對(duì)它們進(jìn)行聚類。我們使用k近鄰算法，使用Keras庫中DenseNet 201模型的最后一層作為特征。在我們的集群上，我們發(fā)現(xiàn)了幾個(gè)惡意或?yàn)E用注冊(cè)活動(dòng)，并將與典型的惡意用例場(chǎng)景一起進(jìn)行討論。

使用冠狀病毒域來竊取用戶憑據(jù)

網(wǎng)絡(luò)釣魚攻擊的目的是誘使用戶向攻擊者泄漏其憑據(jù)和個(gè)人信息，在冠狀病毒域中，我們觀察到了一些經(jīng)典的網(wǎng)絡(luò)釣魚方案，攻擊者向我們的客戶發(fā)送電子郵件，并提供指向假冒網(wǎng)站的鏈接，該假冒網(wǎng)站模仿合法品牌或服務(wù)的網(wǎng)站，欺騙用戶泄露他們的登錄憑證。

corona-masr21[.]com是一個(gè)帶有美國銀行頁面的釣魚域

我們檢測(cè)到在同一天注冊(cè)的20個(gè)域名集群，它們遵循corona-masr*.com模式，其中*是1到101之間的任意數(shù)字。在這個(gè)范圍內(nèi)有101個(gè)可能的域名變體，但只有20個(gè)注冊(cè)了。在圖6中，我們看到了一個(gè)針對(duì)美國銀行的釣魚URL hxxp[:]//corona-masr21[.]com/boa/bankofamerica/login.php的示例。攻擊者的目的是讓用戶相信他們需要登錄這個(gè)假網(wǎng)頁，而且這個(gè)網(wǎng)頁是銀行的。該集群還包括模仿其他服務(wù)的釣魚url，包括針對(duì)蘋果的登錄頁面http[:]//corona-masr21[.]com/apple-online和針對(duì)PayPal的登錄頁面hxxps[:]//corona-masr3[.]com/CAZANOVA%20TRUE%20LOGIN%20SMART%202019/，另一個(gè)網(wǎng)絡(luò)釣魚活動(dòng)的目標(biāo)是來自corona-virusus.com和coronavirus-meds.com域的Outlook帳戶。

此外，我們發(fā)現(xiàn)，那些提供釣魚頁面的域也托管帶有惡意源構(gòu)件的壓縮文件。其中包括網(wǎng)絡(luò)釣魚“前端”的HTML和PHP源代碼(corona-masr4[.]com/test.zip)，以及發(fā)送垃圾郵件和過濾來自良性網(wǎng)絡(luò)爬網(wǎng)程序的請(qǐng)求的代碼(corona-virusus[.]com/OwaOwaowa.zip)。這是惡意活動(dòng)的一種常見做法，目的是托管和分發(fā)打包版的惡意有效載荷，這些載荷可以由惡意程序下載到另一個(gè)受影響的網(wǎng)站上。

美國銀行的合法網(wǎng)站

用戶可以檢查三個(gè)主要指標(biāo)，如圖7所示，以確保他們不是釣魚攻擊的受害者。首先，他們需要確保URL的域部分是他們?cè)噲D登錄的服務(wù)所擁有的預(yù)期域名。其次，用戶需要確保左上角有一個(gè)鎖圖標(biāo)，表示他們通過有效的HTTPS連接，從而防止中間人(MiTM)攻擊。最后，用戶可以驗(yàn)證該域名是否與證書的所有者匹配。

托管惡意可執(zhí)行文件的冠狀病毒域

許多新注冊(cè)的COVID-19域被認(rèn)定與惡意軟件活動(dòng)有關(guān)，其中一個(gè)域名covid-19-gov [.com]值得特別關(guān)注，因?yàn)樗cProofpoint先前報(bào)告的類似RedLine Stealer活動(dòng)是一致的。

盡管最初用于引導(dǎo)潛在受害者到上述網(wǎng)站的感染媒介尚不清楚，但Unit 42的研究人員確定了RedLine Stealer樣本托管在ZIP文件中的URLcovid-19-gov[.]com。提取ZIP文件的內(nèi)容后，RedLine Stealer二進(jìn)制文件的文件名顯示為Covid-Locator.exe。

執(zhí)行后，該示例首先打開Internet Explorer，并嘗試連接到hxxp://localhost:14109。然后，它向URLhxxp://45.142.212[.]126:6677/IRemotePanel發(fā)起HTTP POST請(qǐng)求，這與RedLine Stealer的簽入行為一致。簽入完成后，遠(yuǎn)程C2服務(wù)器發(fā)出一個(gè)HTTP 200 OK響應(yīng)，開始從主機(jī)中過濾數(shù)據(jù)：

來自RedLine Stealer數(shù)據(jù)過濾的網(wǎng)絡(luò)流量

特別要注意的是在SOAPAction HTTP標(biāo)頭字段中URL hxxp://tempuri[.]org/IRemotePanel/SendClientInfo的使用，雖然該域與惡意活動(dòng)沒有直接關(guān)系，但是它是開發(fā)中Web服務(wù)的標(biāo)準(zhǔn)默認(rèn)占位符域。根據(jù)已建立的Web服務(wù)實(shí)現(xiàn)，應(yīng)該更新此字段以反映適當(dāng)?shù)拿Q空間，以便可以唯一地區(qū)分和標(biāo)識(shí)給定的Web服務(wù)。就是說，即使是合法的Web服務(wù)，有時(shí)也會(huì)忽略此詳細(xì)信息，因此，出于安全識(shí)別的目的，tempuri[.]org不應(yīng)被視為一個(gè)IOC。

本文所講的RedLine Stealer變體的其他有趣的基于主機(jī)的行為都包括在隱藏的命令提示符窗口中執(zhí)行以下命令：

cmd.exe” /C taskkill /F /PID  && choice /C Y /N /D Y /T 3 & Del “” 

根據(jù)命令的內(nèi)容，可以推斷出惡意軟件開發(fā)者的意圖是確保通過cmd.exe執(zhí)行該命令時(shí)，將通過其進(jìn)程標(biāo)識(shí)符(PID)阻止正在運(yùn)行的RedLine Stealer惡意軟件實(shí)例，初始化刪除RedLine Stealer惡意軟件所在的目錄，并嘗試用Y響應(yīng)以編程方式響應(yīng)刪除提示。但是，這種方法存在兩個(gè)問題。首先，這個(gè)概念從一開始就不合理。在此用例中使用choice命令不會(huì)產(chǎn)生期望的結(jié)果。其次，盡管當(dāng)前狀態(tài)下的命令確實(shí)可以阻止正在運(yùn)行的惡意軟件實(shí)例并啟動(dòng)選擇Y(然后根據(jù)命令的/ T開關(guān)在三秒鐘后自動(dòng)選擇Y)，但它在出現(xiàn)文件刪除提示之前提供了此選擇。這意味著，即使可以通過這種方式使用選擇，也仍然行不通。

此外，此RedLine Stealer變體似乎不會(huì)在磁盤上生成其他惡意文件，不會(huì)創(chuàng)建或更改任何互斥鎖或嘗試建立基于主機(jī)的持久性。

除了RedLine Stealer，我們還檢測(cè)到了使用冠狀病毒域進(jìn)行惡意軟件傳播的其他示例。托管在corona-map-data[.]com/bin/regsrtjser346.exe中的另一個(gè)類似示例被標(biāo)識(shí)為Danabot銀行木馬。

我們還發(fā)現(xiàn)了幾個(gè)以冠狀病毒為主題的惡意軟件的實(shí)例，這些惡意軟件旨在攻擊移動(dòng)用戶。具體來說，我們從與架構(gòu) Corona-virusapps[.]com/s

我們還分別在coronaviruscovid19-information[.]com/it/corona.apk和coronaviruscovid19-information[.]com/en/corona.apk中找到了另外兩個(gè)木馬。

目前，前面提到的所有APK均被確認(rèn)為常用木馬。

接下篇文章《黑客是如何在新冠肺炎疫情中大肆尋覓攻擊機(jī)會(huì)的?(下)》