执行概要
以最近的《云图》命名服务器活动为起点,DomainTools的研究人员列举了一个潜在的天坑网络,其中包含数百个此前已知的恶意域名,跨越数十个活动。利用这些领域知识,辩护者和研究人员可以在日常分析中做出推断,例如一个活动的终点,或者某个特定样本是否仍然危险。此外,DomainTools研究人员提供了一种基于名称服务器活动的基础设施枚举方法。
背景
在过去的六个月里,DomainTools的研究人员进行了调查多个活动从被称为云阿特拉斯或《盗梦空间》。正如前面提到的,《云图》的目标跨越了许多政府实体和行业,主要是前苏联和欧洲的部分地区,但在亚洲、北美和中东也很活跃。《云图》利用模板注入在受害系统上加载恶意的有效负载,并将其C2基础设施分散到各种云提供商,这使得跟踪其活动变得更加困难。
命名服务器运动
5月26日,DomainTools研究人员观察到之前已知的云图域正在从位域转移NS记录。域名服务器中,每个域名服务器包含大约150个域名,根据DomainTools数据科学团队的风险评分,这些域名具有很高的恶意风险。原始的命名服务器,位域[。]biz,属于接受比特币支付的折扣托管提供商,这是APT群托管提供商选择的一个常见特征。位域中存在大量不相关的域[。所以这并不专属于《云图》,也不是移动到其他命名服务器。
名称服务器之间的移动可以表示许多事情,但最重要的是,移动意味着有人或某个进程必须更改记录时与域进行了交互。许多恶意的域在使用后就会变得过时,但是在命名服务器之间移动的域表明该域还有其他意图。这可能是一个组织良好的活动的清理过程的最后步骤,也可能是未来其他活动的领域的进一步老化,或者由于各种原因转移到其他基础设施。
由于这些域名的使用时间都不到100天,所以它们的原始注册还没有过期,所以这不是一个“抓住下降”的情况。这些命名服务器也不属于DomainTools研究人员的任何天坑这时才意识到.最后,2乘2的配对似乎是一种奇怪的模式,因为人们会假设天坑基础设施会将来自相同活动的域保存在相同的服务器上,用于测量遥测。
检查新域名服务器
这些新域名服务器背后的域名,《云图》之前没有被发现使用过,它们的年龄在三个域名之间,平均年龄超过5年半。在整个网络威胁情报行业的恶意预测产品中,年轻是一个重要指标,许多威胁行为者已开始转向年龄较长的域名转售商服务,或试图抓住最近从注册中退出的域名。乐动体育下载链接这方面的一个典型例子就是avsvmcloud[。com域在备受关注的SolarWinds供应链折衷方案中使用今年早些时候.在这种情况下,我们在历史Whois中有一个长且连续的所有权记录集,用于附加到这些名称服务器的域,所以上面的可能性似乎都不适合这里。
最上面的IP地址似乎属于一个域名停车提供商,该提供商自2010年以来一直存在。然而,下面的两个地址指向Amazon EC2节点,它们在53端口上只运行DNS服务,充当DNS转发服务——这表明这可能是一个未知的地陷。深入挖掘这些域名服务器上的域名历史,将它们与其他恶意行为联系起来,比如net鼠SamoRAT的域samorat(。在newregs-domain[.]或域名360mediashare[。]] com看到分发另一个老鼠通过网络钓鱼邮件在2020年晚些时候。事实上,域转换1[也是如此。com命名服务器,它托管像porkhalal[.]这样的域。)的网站Zusy银行木马一直观察使用C2和alhajikudi[。com已经被观察到2021年初的其他恶意软件样本.
随着DomainTools研究人员进一步研究这些域名服务器和其中包含的域名,很明显,这一定是一个域名转售网络或天坑遥测网络,因为大量已知的恶意域名随着时间的推移通过这些域名服务器转移。DomainTools自己的接近性风险评分对所有这些相关域的平均评分为80分,因为它们与行业标准屏蔽列表上已知的恶意基础设施接近。通常情况下,根据DomainTools研究人员的经验,得分超过70意味着一个域不值得信任,应该进一步调查。很明显,绘制这个网络将是一个有用的练习。
寻找更多的命名服务器
下面这两个域有一个模式,我们可以把它看作复合对象寻找额外的基础设施:
- 它们拥有托管在域本身上的名称服务器。
- 该域托管在Amazon的AWS上的一个EC2节点上。
- 域包含破折号。
- Whois记录中的邮件都有privacyprotect[。org和bigrock[。在记录中。
中搜索这些特性DomainTools虹膜调查数据集揭示了总共5个额外的域,DomainTools的研究人员可以高度自信地说属于同一个集群:
注意suspended-domians[.]com中的拼写错误。在这些域名服务器的基础上,我们发现了超过1086个域名,其中大部分在过去都与某种网络犯罪活动有关。在这1086个域名中,当导航到域名时没有一个转售者页面,转售者公司使用该域名来表示该域名正在出售。最后,DomainTools Research注意到,所有与这些域名服务器相关的域都指向3个IP地址中的一个,分布在所有的域名服务器中,这明确地将集群连接在一起。
| Nameserver集群的ip |
|---|
| 123年18.235.92(。) |
| 224年50.17.5(。) |
| 220年54.227.98(。) |
将搜索从名称服务器属性倒转到单独的A记录,会发现一个站点是异常值:dropbox-download[.]com。它是一个离群值,因为它在domain-imminent3[中包含了一个不同的名称服务器。该命名模式几乎与本报告开始时与原始云图运动相关的命名服务器之一相同,即domain- immediate [.]com。值得注意的是,下载[。com域在此关联与TA505的幕后组织Dridex银行木马,是他们两年前的一个行动。
查看domain-imminent3[.]上的所有域。com,重复上面的过程,揭示了另一个公共IP地址(52.6.206[.]192),跨越多个新的名称服务器,包括domain-imminent1[.]。com, domain-imminent2。com。这最后两个域名服务器包含Whois记录上的隐私保护最近的疏忽和一个电子邮件地址resellerclub@protonmail[。com和他们联系在一起。
这封电子邮件在Whois历史记录中与20个记录相关联,跨越了DomainTools研究列举的大多数域名服务器。最重要的是,该组中的许多域(包括总域列表中的其他地方)移动到foundationapi的命名服务器[。耐力国际集团(Endurance International Group)是一家在域名和网络服务领域拥有许多资产的公司,包括BigRock、HostGat乐动体育官网下载or和ResellerClub。
ResellerClub允许大量转售的域名。搜索他们的文档,你可以看到使用foundationapi[。. com作为后端,以及他们为批量域名购买提供的服务和定价。
域的沼泽
在所有域名服务器绑定的域名中,共有1378个域名,其中559个在已知的行业恶意软件黑名单上,在DomainTools风险评分引擎中平均得分超过80分。在这1378个域名中,没有一个在域名拍卖网站上找到,也没有一个在出售,所以这进一步证明了这是一个由耐力国际集团或其子公司运营的天坑网络的可能性。为了显示大量相关的域名和活动,DomainTools的研究人员将一个域名服务器的资产domain-imminent1[。com,下面是Alienvault OTX脉冲。
| 域 | 相关的活动 |
|---|---|
| 1999次。com | 琉克Ransomware |
| 401年kplansinfo。com | |
| aahnaturals。净 | 琉克Ransomware,Emotet |
| acquistic。空间 | |
| adguard[]的名字 | FIN7 Carbanak |
| adwordsgooglee(。)的网站 | |
| agenziainformazioni。icu | 迷宫Ransomware |
| amadiohaowo。com | 各种各样的活动 |
| anonymous-sec。com | AZORult |
| anz-payments。com | |
| babstefbab。com | Dimnie |
| babtrabbab。商业 | Dimnie |
| 大夏。欧盟 | SLoad |
| bdsnhatnam。信息 | 琉克Ransomware,Emotet |
| berjaya88。净 | 琉克Ransomware,Emotet |
| bigbluepay。com | 琉克Ransomware |
| brahmanimetal。com | 琉克Ransomware,Emotet |
| corn-en-us。com | DarkBasin |
| dixii。org | |
| 下载- 365。com | XDSpy |
| dweandro。com | Salfram |
| eitivo。com | |
| electronic-messagecom。com | Banload |
| eltta。主机 | |
| feltongexp。com | AZORult |
| firstbankhome。com | 浣熊 |
| gccorsp。com | 各种各样的活动 |
| green0green。com | AZORult |
| grnaeil。com | APT37 |
| help-covid。com | Covid Phisting us - cert |
| hictip。com | 各种各样的活动 |
| igjqwnedjgqwnqwemnta。净 | 各种各样的活动 |
| indopet(。) | |
| issth。com | 各种各样的活动 |
| jjsmiths。com | 各种各样的活动 |
| lanadlite。com | LokiBot |
| lesehanpelangi。com | 各种各样的活动 |
| lfllallllalaakaka。com | |
| lgjasjdnqwtjasjsadasd。净 | |
| 网上littlebarbar(。) | AZORult |
| loadmanager07。com | AZORult |
| lookper。欧盟 | Kimsuky |
| loxliver。com | 琉克 |
| maleass。欧盟 | sLoad / Ramnit |
| managementdirector。com | APT33 |
| marcussoil。com | |
| mobile-signin1。com | |
| mountasd。com | 琉克 |
| nrevig。主机 | IcedID |
| officelog。org | AZORult |
| out-look-mail-bh。com | Bahamut |
| panunlted。增加 | |
| 制药公司——伙伴乐动首页。com | |
| piavee。com | 各种各样的活动 |
| pilsans。com | AZORult |
| platinet-pl。com | 小马 |
| puckhunterrr。com | 琉克 |
| rakeeerrrrrrrrrr。xyz | AZORult |
| randomware01。信息 | Win32。MereTam |
| reasgt(。)我 | |
| regabok。欧盟 | |
| relkur。欧盟 | |
| sakural。增加 | |
| savarsineklik。com | 各种各样的活动 |
| secure-mobile1。com | 观察到钓鱼 |
| selftasarim。com | AZORult |
| sign-id(。) | 各种各样的活动 |
| spark-login。com | 各种各样的活动 |
| stepsaweb。com | 各种各样的活动 |
| systemltd(。)链接 | Win32。Grimagent |
| sznamuip。com | 各种各样的活动 |
| thelucy(。) | |
| thernagictouch。com | LokiBot |
| tobocoq。com | 各种各样的活动 |
| update-flashs。com | APT32 |
| webuserinfo。com | Kimsuky |
| wefyourfwwggggg。com | |
| worldupdate。生活 | 不组 |
| ytilac pw。 | 各种各样的活动 |
结论
在这一点上,DomainTools研究人员认为,这些名称服务器是一个关押转售网络上已知恶意域名的围栏,直到它们可以被转售或被转售网络积极用作遥测的天坑。由于DomainTools研究人员无法在网上找到天坑网络的描述或任何遥测信息,辩护者只能假设这是一个与Endurance相关的私人天坑网络。
教训的捍卫者
如果您是一名使用恶意软件或映射对手基础设施的分析师,那么了解域数据中的这些死区,以便在试图映射活动基础设施时不会被它们分心,这是有效研究威胁的关键。对于威胁猎人来说,可以通过类似于DomainTools命名服务器监控,可以为在恶意二进制文件的公共存储库上查找查询提供充足的域,并导致新的、没有陷井的基础设施的枢轴。
命名服务器列表
domain-imminent(。com domain-imminent1[。com domain-imminent2[。com domain-imminent3[。com domain-transition1[。com domain-transition2[。com domain-transition3[。com domains-green[。com suspended-domians[。] com newregs-domain。com
对这些命名服务器上的所有域进行虹膜搜索哈希:
U2FsdGVkX19inpzBsHU8tDBrjLPfcJTcmLc + O13CCJpuRlnDdlUogNF5k0NIqexuO4v7GkilkMrvqup8FVTtMVQQrg / xPu / 9 q4avdogsm4x0 + yDsH / 6 + HVweHeKvZEpizpLP3Xtl631NnH2TCEnfgrvwrWX040a2z8HZXoiaFO78AqHDvHtV / q3OYA7lG4k8Hw7ZCkipo / b6nr3TiUNt35edO4IE + IavrfpoTUNu51 / kvJASkxKi8paImchnBwX8hs4BjtrqeolMwwjYClGV5YW1JdOcm23P0s8AjHrN8 + UCGg6sZi5kZLsYsTOWsTpo7 + ZTNsJXzQ / xgYdHbRe5ADC + f1Jg3jyKHdxGKK6UsWZi6ThVo95AxEqttVvYY82AEl8gpybdiw2wnil + + 7 dfonn5ynsl / 5 q6vjjlqhlxscjy0tbof3dqxk1j0nglnpszegyjf62loygdtegt94cvb0skq05v8zizblamyh5wlliito01pqeHylJ10ZWt9VvCaf1ooe3hChHNuGdNzKufo50 + y GtdzYqiYKagIze6niqaWnRtDiW6sEc4m7HgUAEiuqKJ7Z4c5bWmZKIwM6AlILmJzrojnHhyKEiVLAzCmCRuMlVcv9sJ8fHc + 8 + 5 tmeuouu5upfmyybj951iyamtt3zdyudbgdwdofh8zdeodof9i2 / BoM1KkGEzsRBm1K6KN / R69txLMIa6YMuqmvEVYzaNFs9DS0yfxbGWiQTM8 =