发现我们的产品,看看Domaintools可以为您的组织做什么。
Domaintools
分享:
在监视新注册的冠状病毒和Covid标记的域名的过程中,Domaintools安全研究团队,发现了一个网站吸引用户以Covid-19热图的幌子下载Android应用程序。对应用程序的分析表明,APK包含勒索软件。恶意域的SSL证书(Coronavirusapp [。]站点)将站点链接到另一个域(Dating4Sex [。] US),该域也正在服务恶意应用程序。链接站点的注册信息指向摩洛哥的一个人。
我们对Covidlock的解密密钥进行了反向工程,并已公开对受此勒索软件影响的任何受害者公开发布:”4865083501“
如果您希望听取Domaintools研究团队讨论他们的分析,那么它将在我们最近的Breaking Badness集中发表。该帖子的底部包括。
Coronavirusapp [。]站点域最初包含直接从Infection2020 [。] COM(来自独立开发人员跟踪美国Covid-19新闻的独立开发人员网站)的iframe采购,并且上面的小横幅鼓励了为恶意应用程序安装以用于安装恶意应用程序以用于实时更新。
几天后,该站点被更改为使用来自多种合法Android应用程序的Domobile的资源,但是从这个新站点提供了同样的恶意应用程序。
在此报告发布时,该页面仍在为恶意Android应用程序提供服务。
Coronavirusapp [。]现场域最初于2020年3月8日使用域隐私登记,以掩盖注册人的详细信息。该网站托管在廉价共享托管的提供商Wrathost上。因此,该域是在与其他100多个无关的其他域共享的IP地址上。但是,查看Let's Encrypt SSL证书的域名揭示了另一个域,该域也为恶意应用程序提供了:Dating4Sex [。] US。
日期[。] US网站包含一个开放目录,该目录包含其他Android应用程序和原始域名恶意APK中的内容。拉动历史化的WHOIS记录显示,注册人声称是摩洛哥的个人。注册人的电子邮件rolling8dice@gmail [。] com还将几乎所有这些域与其他所有域相关联,除了我们在下面的IOC表中所包含的域。通过旧的SSL证书,所有已解决的域名都将其与单个域相息,这似乎是现已停产的广告系列。
该网站还提供了一个标记为eroflix的额外APK,这是一个在互联网上分发的色情Android应用程序。Reddit和其他地方的搜索表明,以前的APK在多个网站上被垃圾邮件以及已提交的日期[。]美国域,并在提交给色情图像论坛的图像上加水。该广告系列的长期历史现在看上去很残疾,这表明这种Covid-19骗局是该恶意软件背后的演员的新事业和实验。
Covidlock是一种新的Android勒索软件,对其受害者进行了锁屏攻击。
作为背景,Android应用程序通常用Java编写。使用DEX编译器将Java类字节码转换为DEX字节码。从那里开始,DEX字节码在Android Runtime(ART)中摄入并执行。
在分析恶意Android APK时,我会看到两个主要组件:字节码和资源。要开始对APK的静态分析,让我们使用“ APKTool”来解码它。
我们有一个解码的APK,靠近原始代码和资源进行静态分析。
AndroidManifest.xml是在Android恶意软件中分析的最重要的文件之一。该文件包含有关Android应用程序所需的权限的信息,以及应用程序和应用程序活动的输入点。我们只能从这个文件中收集很多信息。
我们在Covidlock上有几个收获:我们可以说它具有持久的机制可以在重新启动时幸存下来,寻找运行的用户是否是管理员,并要求拥有管理特权。
Android应用程序可以收听Boot_completed广播,以确保在设备启动时激活该应用程序,这就是Covidlock实现其持久机制的方式。这也在MITER ATT&CK移动框架上列为技术“ T1402”以供参考。
如AndroidManifest XML文件中所述,Covidlock应用程序请求访问权限:BIND_DEVICE_ADMIN。一旦用户允许Covidlock的请求,此权限几乎可以完全控制到Covidlock的设备。
CovidLock’s authors do this by luring the victim to enable full device control via the within the application itself by asking if you want to enable the application in Accessibility to monitor COVID-19 stats, as well as when a victim wants to know when a known COVID-19 patient is near your vicinity.
从网络钓鱼的角度来看,这是一个非常聪明的诱惑。
此外,我们可以查看所述权限的分解Java代码阵列以及在Covidlock中的称呼。
作为特权升级过程的一部分,Covidlock试图确定用户当前作为管理员运行,如果没有,则会尝试要求权限这样做。
检查数据包捕获的DNS标志响应,我们从Covidlock获得以下良性行为。我们可以看到,在与受害者达到特定的互动阶段之前,Covidlock在其感染过程中不会提出任何异常的DNS请求。
从恶意软件分析的角度来看,我们通常正在寻找具有不寻常或唯一域名的任何类型的DNS请求。在大多数情况下,向未知或可疑域的DNS请求从攻击者的基础架构中抢占了C2(命令和控制)操作。
不过,我们看到的是DNS查找和HTTP通信与“ bit.ly”缩短的URL。我们可以将其与Covidlock代码中的URI调用相关联。
追踪“ bit.ly”链接的网络操作,我们可以看到一个重定向到Pastebin网站“ https://pastebin.com/zg6rz6qt”。
检查Web内容,我们可以看到这是发送到用户锁定屏幕的动态生成的勒索软件注释的一部分。虽然,正如我们后来看到的那样,这是Covidlock使用的Pastebin上存储的两个勒索软件笔记之一。
“ Pastebin”网站显示粘贴,显示攻击者比特币钱包ID以及其余的勒索软件注释。来自Pastebin网站的数据被拉到动态生成的赎金纸条中,该票据被推到受害者的屏幕后锁上。
利用Pastebin存储赎金比特币钱包ID,如果攻击者选择编辑粘贴柱,则可以更改使用哪个钱包。
结合来自Pastebin URL的数据,我们具有具有完整图像和内容的动态生成的注释。
虽然,尚不清楚受害者必须选择“ Web Designus”按钮,该按钮要导航到另一个包含实际赎金解密说明的Pastebin网站。
我们没有数据建议Covidlock作者实际上向受害者提供了静态解密密钥(“ 4865083501”)。
查看从Covidlock提取的比特币钱包ID,我们可以看到截至今天(03/15/2020)目前没有受害者支付赎金。
Domaintools安全研究团队正在积极监视与Covidlock相关的任何更改的比特币钱包和其他基础设施。
Covidlock的作者没有费心在应用程序源代码中实施密钥的任何类型的混淆。虽然从恶意软件开发的角度来看,很容易写出这并不复杂的,但重要的是要注意,Covidlock在其锁定屏幕攻击方面仍然有效。
Covidlock的“验证销”功能
我们尚未发现任何迹象表明,与Covidlock作者相关的电子邮件地址已通过OSINT来源在其他攻击或恶意软件中被检测到,并且可能是该广告系列所独有的。
Domaintools安全研究团队将继续监视Covidlock勒索软件和相关的基础架构,并将根据需要提供更新。
乍得·安德森,高级安全研究员
塔里克·萨利赫(Tarik Saleh),高级安全工程师和恶意软件研究员
订阅DomainTools月刊,以获得创新的实用建议,以改善其安全姿势。我们的目标是帮助组织在日常辩护中提高效率,知识渊博和积极主动。
查看Domaintools'隐私政策。