背景
2021年4月21日,Netlab发布了一份关于他们命名的恶意软件样本的出色报告RotaJakiro,一个长期存在的后门,针对64位Linux系统,在VirusTotal上没有检测到0。这个后门使用了许多技术来保持不被注意到,并且样本的狡猾引起了DomainTools研究团队的注意。Netlab的文章最后谈到了二进制文件的分析如何只是发现这个样本的冰山一角,这也是我们认为DomainTools拥有超过20年的Whois和DNS信息的完整历史数据集必须看一看的地方。对于二进制本身的分析,我们建议阅读他们的优秀文章,而我们在这里专注于我们的专长之一:数字考古学。
初始指标
在这种情况下,Netlab发现的样本于2018年首次添加到VirusTotal。如前所述,VirusTotal使用的任何引擎都没有检测到它们。这些示例都调用了以下域的C2基础结构:
新闻
在被动DNS中快速查看会发现,这些域只列出了这些子域,而且它们似乎不是任何动态DNS系统的一部分,因此我们可以假设这些sld由相同的运营商拥有。稍后我们将更多地讨论被动DNS,但现在我们可以将这些域扔到虹膜调查中,以了解更多关于它们的内在属性。
首先是使用Web4Africa注册器。这个注册商只有18000多个域名,所以注册的频率是相当低的。其次,我们看到所有域名的注册日期都差不多,都是2015年12月9日和10日。这与Netlab报告中的研究一致,并可能表明在野外实际上可以找到更古老的样本。第三,我们看到除了一个域之外,所有域名服务器都是相同的。异常值总是有用的,因为它们经常链接到更广泛的域名数据集中其他地方的附加连接。最后,使用Confluence Networks的IP为他们的顶点A记录,这只有点价值。这是一个停车页IP地址,这是有意义的,因为这个后门的操作者使用的子域都有a记录,指向C2的特定IP地址。
附加信息和它告诉我们什么摘要
| Web4Africa注册 | 低音量注册。 |
| 分组创建日期 | 分组创建日期加上低容量注册商意味着我们可以在同一天寻找额外的注册。 |
| 离群值命名服务器 | 异常值通常导致额外的基础设施,因为它们被特殊对待是有原因的。 |
| Apex域的停车页面IP | 指出这一点很好,因为它可能是一个兔子洞。 |
潜得比域名更深
从这里开始的第一步是我们看看Whois的历史。在这种情况下,自2015年域名首次注册以来,隐私保护就已经到位。最重要的是,我们可以知道,因为域名从来没有被允许过期,这些域名不是被删除和重新注册的。这让我们知道自2015年以来,这些域名均为同一人所有.这是一个重要的区别,因为对手越来越意识到,获取一个丢弃捕获域是一种很好的方式,可以立即“老化”一个域,这样它就不会被检测到,因为许多机器学习算法严重依赖注册日期来确定恶意意图。在我们的分析中,我们确实发现绝大多数的攻击来自于新注册的域名。
由于Whois的历史记录提供了最小的额外点,我们可以转向被动DNS。从Internet上的递归解析器被动收集的查询和响应对的数据集显示了任意对的首见和末见条目以及计数。这可以帮助确定使用的广度,以及某物首次开始运行和最后一次被看到运行的时间。在C2基础设施的所有四个子域使用的IP地址的情况下,我们得到了以下列表,显示了早在2017年11月08日到最近的2021年4月29日(本文撰写时)的活动。除此之外,我们还得到了三个新的域名,都指向2017年几个月前完全相同的IP地址。
虽然这很有趣,但重要的是不要草率下结论,不要把它直接与其他领域联系起来。首先,该IP与一家总部位于乌克兰和荷兰的VPS提供商DeltaHost绑定。VPS供应商出租服务器和IP地址。当RotaJakiro背后的运营商决定活跃起来时,这个IP本可以被回收利用。其次,没有匹配先前域的命名约定的子域模式。考虑到这个IP只托管了已确认的RotaJakiro C2域名和这些新域名,尽管如此,任何分析师都有必要进行更深入的研究。
不幸的是,这三个额外的域没有提供任何可以明确地将它们与其他域联系起来的东西。它们在被动DNS记录中没有重叠时间,并且它们的注册模式不同。然而,一个奇怪的地方是他们的风险评分为100。DomainTools风险评分是由许多事情决定的,但100分表示该域因之前的已知危害报告而被列入黑名单。查看这些域名的历史Whois,我们看到他们的注册邮箱为daniel.madi@mail[。他被绑定到88个基于Office 365的钓鱼域名。
考虑到RotaJakiro后门的复杂性和隐蔽性,如此喧闹的网络钓鱼活动似乎不太可能如此容易地与如此安静的行动联系在一起。如果我们把这些联系在一起,那就是极低的的信心。作为研究人员,我们认为更有可能是DeltaHost在这些域名被封锁后不久回收了这个VPS IP地址,它碰巧被用于其他犯罪活动,该IP地址被RotaJakiro运营商获取。为了支持这一点,被动DNS记录显示,在RotaJakiro的C2域开始对该IP地址操作之前,其中一个旧域被暂停。被动DNS还显示在迁移到DeltaHost之前,其他IP地址上存在的RotaJakiro C2域。这两个事实都支持这两个是独立的理论。
该IP现在属于Hivelocity,这是一家小型云提供商,根据其子网的IP Whois记录上的创建日期,该公司自2019年以来只拥有该IP地址。根据历史IP Whois信息,Hivelocity从Swiftway获得这个范围后收购的公司乐动体育官网下载该公司在荷兰设有服务器。显示的IP, 46.21.147[。87号仍然位于荷兰。
不幸的是,我们也找不到Avast的鸟居僵尸网络中提到的c2之间的任何联系报告和RotaJakiro报告中的域名。Netlab确实提到了RotaJakiro和鸟居僵尸网络在操作上的相似之处。如果这些域名和daniel.madi@mail[。com域名,我们可以增加它们属于同一运营商的信心。
有时,当我们在基础设施数据库上陷入死胡同时,作为分析师,最好的办法就是转向传统的搜索引擎。加上我们发现的初始C2域,出现了一些有趣的结果。第一个是与2016年的链接Tor DNS库日志显示,该域至少自2016年以来被访问过。第二个来自土耳其政府网站,是一个XML格式的URL列表。这些域名被提到出现在2021年4月29日,与撰写本文的时间相同,来自zararlpkk Komuta Kontrol Merkezi,在土耳其语中是恶意软件指挥控制中心的意思,很可能是Netlab原始报告的输入。
附加信息和它告诉我们什么摘要
| C2域从未失效 | 自2015年首次注册以来,这些域名均为同一注册人所有。 |
| IP在DeltaHost VPS Provider上 | VPS供应商在客户端之间共享资源,所以除非我们可以重叠一些记录,否则我们无法确认单个IP将两个事件联系在一起。 |
| IP用于其他恶意 | VPS IP与另一组恶意域名使用完全不同的注册模式和噪声级别进行Office 365钓鱼,但从未重叠。 |
| C2s之前使用了不同的IP | 在可能与其他恶意行为重叠的时间里,c2使用了荷兰另一个VPS提供商的IP。 |
| 没有与代码绑定匹配的基础架构绑定 | Netlab提到的Torii僵尸网络与RotaJakiro没有任何基础设施联系。 |
| 2016年领域解析 | 虽然早在2016年就解决了,但我们无法确认它解决到与DeltaHost IP相同的IP。 |
结论
尽管我们无法将Netlab关于RotaJakiro的报告与另一家运营商联系起来,但我们已经为进一步分析提供了大量的证据和潜在的结论。我们已经能够从Netlab的报告中确认时间线,并标记出关键的奇怪之处,以供进一步的调查。我们还能够识别出C2域以前使用过的其他IP地址,从而降低将其与以前的恶意行为联系起来的置信阈值。当所有这些都将我们带入死胡同时,我们能够扩展我们最初的时间轴,这要感谢使用经典搜索引擎的老式OSINT。每当遇到这样的报告,我们希望客户能发现DomainTools在数字考古学的实践中有用。