批量到期域名查询什么意思_Sundown攻击套件的升级

目前，套件行业正在经历新的调整。许多原来的攻击性漏洞攻击工具包要么消失了，要么市场份额减少了。比如EK等行业巨头几乎同时消失。我们推测这可能与相关俄罗斯黑客有关。组织被捕。

目前互联网上，RIG和RIG最常被黑客利用，用于勒索软件传播等黑客攻击。

什么是？

正是这两年突然出现的漏洞利用工具包，填补了这些掠食者的空白。安全研究人员早在 2015 年就发现了它，但当时还不是很引人注目。现在随着EK的崛起，其开发者也不断对这套套件进行升级，以不断满足各种攻击的需求。

但由于开发时间短，缺乏其他大型漏洞利用工具包的复杂性，加之其攻击代码中存在很多简单易检测的攻击标识符，因此EK在这些方面。升级。例如，研究人员发现，近期有不少过期域名被批量购买。

升级正在进行中

例如，为了提高攻击效率，该公司的开发人员将控制面板和DGA算法部分外包给了一个名为“YBN（）”的组织。同时，他们还移植了大量其他套件的漏洞利用代码。

包含从 RIG 的 CVE-2016-0034、团队的 CVE-2015-5119 和 CVE-2016-4117 移植的 CVE-2015-2419 代码。

登录页面将执行简单的浏览器环境检查。不同的环境执行不同的任务。此外，许多Adobe Flash漏洞也被利用。

直接访问登录页面会得到一个html页面，里面的数据会被解密得到YBN组织的标志：

YBN组织的标志不包含恶意代码。只有包含特定HTTP的请求才能攻击成功。

但由于这些移植的套件代码很容易在HTTP标头和组织标识符中找到，因此这些标识符被URL的用户用来频繁浏览。所以在过去的几个月里，这些移植的套件代码已经被开发者删除了。如下图所示，用于清楚识别 YBN 的 HTTP 标头现在已经消失了。

原来可以识别YBN的版本

目前没有 YBN 的登陆页面版本

此外，如果用户尝试浏览着陆页 URL，他们将收到“HTTP 404”错误。然而，与登陆页面相关的其他更重要的升级正在进行中。下面是几个月前看到的原始登陆页面。

这与 RIG 攻击套件有一些显着的相似之处，包括使用基于编码的文本块的所有三个变体。这与 RIG 使用“s”变量非常相似，这些变量也参与检索恶意 swf 文件。除此之外，我们还发现使用了其他几种类型的混合代码，包括许多不同的字符。下面的示例显示了使用 ASCII chr() 语法作为混淆模式，这些是查看混淆代码时常见的技术。

原始登陆页面发生了许多变化，第一个变化可以在上图中看到。开发人员现在修改了许多移植的标识符，例如，“s”变量已替换为随机字符串。

从上图中，我们可以看到使用 ASCII chr() 的字符已被替换为十六进制字符。最近登录页面的相关代码中有很多注释。

已开始使用 Lorem Ipsum 的文本。 Lorem Ipsum 是排版和设计领域常用的拉丁文文章。主要目的是测试文章或文本在不同字体和布局下的外观。基本上，登陆页面充满了随机的文本评论，试图进一步阻碍分析。

回到着陆页的解码版本，我们可以看到与利用页面 URL 结构相关的其他一些变化。以前，使用数字子文件夹（即“/12346/”）和具有适当扩展名的数字文件名（即“/496.swf”）。现在新版本已经改变了它，下图显示了恶意Flash文件的请求之一。

语法现已更改为仅使用数字字符串作为“/7/”子文件夹的查询请求。有些请求还会包含 ID 参数。此外，不再包含扩展。目前，我们还没有发现任何漏洞，这表明利用浏览器插件漏洞的尝试已经被放弃。最近，很多漏洞利用工具都添加了基于公开PoC的Edge漏洞。由于目标页面本身存在另一个 PoC 漏洞，因此这是唯一的浏览器漏洞。

似乎仍然存在一个 CVE-，这是被利用的脚本引擎中的远程代码执行漏洞。在我们分析漏洞利用工具包登陆页面时，发现了另一个编码的漏洞利用页面。

如上图所示，我们发现开发者仍在复制之前使用的漏洞PoC，其中包括CVE-。不过与PoC最大的区别在于它包含了两个函数：()和fire()。 fire()是()函数调用的main函数，替代了PoC中原来“.exe”的执行，同时fire()包含了启动下载并通过cmd执行的代码。EXE文件。

还值得注意的是，大多数漏洞利用工具包都会尝试利用系统上的漏洞，黑客利用这些漏洞来破坏系统。通常我们会看到 IE 脚本和一些恶意 Flash 文件的漏洞。虽然这种方法很杂，但这也使得它成为黑客的最佳选择。

有效负载变化

我们注意到的最大变化之一是其有效负载的检索方式。以前的版本将通过网络浏览器检索名为“z.php”的文件的有效负载，尽管新版本也会搜索名为“z.php”的文件。 php”，但是获取的方法和位置发生了变化。

现在可以通过命令行并使用 检索其有效负载，类似于 RIG-v 当前检索其有效负载的方式。这并不奇怪，因为它是通过“借用”其他套件的技术和方法而发展起来的。下面是 cmd.exe 的两个获取请求，一个来自 RIG-v，另一个来自 RIG-v。在许多相似之处，代码是相同的。显然，这部分代码是从RIG-v套件移植过来的。

有效负载

钻机有效载荷

另一个变化是，有效负载与用于检索登录和页面漏洞的服务器位置分开，尽管两个服务器共享一个公共根域但使用不同的子域：

但目前我们无法访问后端系统，无法判断这些文件是否来自同一来源。然而，这是一个漏洞套件，目前仅实现拆分服务器活动。关于有效负载的另一个注意事项是它们没有编码或加密（如上所示），这使得它们易于识别和分析。

受监控的活动

我们一直在分析漏洞利用工具包的活动，其中还包括使用域通配符来托管其活动，而不是使用 EK 等域阴影 ( ) 技术。域名影子是利用被盗的正常域名账户创建大量子域名来进行钓鱼攻击。这种恶意攻击方法非常有效且难以阻止。由于您不知道黑客接下来会使用谁的帐户，因此几乎没有办法了解下一个受害者。

影响域内任何内容的所有流量可能会导致所有子域开始将客户端重定向到恶意内容。例如，通过使用通配符，具有公共子域“www”的网站将受到影响，并将被重定向到恶意内容。定向到恶意服务器。因此，我们开始寻找受影响的子域及其共同点。第一个是与域名关联的注册帐户使用的名称。在调查该活动时，我们使用名称“ ”登录了多个帐户，常用电子邮件地址为@gmail[.]com。一件非常有趣的事情是使用此帐户的域数量之多。通常，当我们运行恶意活动的注册者帐户时，与该帐户关联的注册者只有一百个或更少。在域阴影的情况下，如果注册者的帐户已被泄露，用户通常不会意识到这种情况。随着调查的继续，我们最终发现一名注册者正在利用 Gmail 的问题处理方式。使用此电子邮件地址，我们发现多个不同的注册帐户与同一个@gmail[.]com 帐户绑定。以下是针对“”注册人帐户发现的变体示例。

·

·

·

·

然后，我们使用名称“ ”开始转移，并使用另一个也用于托管的电子邮件地址找到了第二个注册帐户。该注册者与电子邮件地址@[.]com 关联。经调查，与@[.]com相关的域名有3000多个。

根据这些信息，我们开始深入挖掘这些注册用户如何拥有此类非法活跃域名。尽管域名注册商会推广特定类型的 TLD 或其他域名，但我们发现的域名是转让而非购买。因此我们开始研究这个特定的用户名，结果发现这是一个域名转售网络，旨在批量购买过期或即将到期的域名。

域名转售

我们对这个特定行为者的深入调查始于大多数域名都是以“ ”名义注册的事实。由于这是一个拼写奇怪的名字，我们最初对它进行了简单的搜索。如下所示，搜索顶部的结果与 [.]com 相关联，这是一个域名转售网站。

域名转售是试图从已注册域名中获取价值的个人常用的策略，尤其是在这些域名即将过期的情况下。如果他们不打算续约，转售可以让他们从交易中获得一些剩余价值。因此，我们开始查看与该特定用户相关的活动，并发现了一些相关帖子。

如上图所示，该用户专门寻找大量域名，而这些域名最好在中国注册。下次回复见。

在上图中，我们可以清楚地看到第一篇帖子中的买家对域名的注册表现出了特殊的偏好。此外，我们可以看到这些域名的买卖价格在 0.10 美元到 0.60 美元之间，并且在所有情况下，使用的付款方式都是比特币。这是一个有吸引力的买卖渠道，买家可以以很小的价格购买到足够多的可用于攻击的域名。有趣的是，在其他一些帖子中，买家特别讨论了只需要持续一周的域名。

这里我们发现了一个关键点。如果买家购买域名的活跃期超过六个月，一些组织和技术机构就会将其定位为合法域名，因为这些组织会将域名的使用期限作为评估域名合法性的一个因素。一个标准。例如，一些技术机构会默认对最近X天内注册的域名设置禁止选项，买家可以通过购买超过六个月的域名来允许攻击者绕过此禁止选项。还值得注意的是，该买家并非在特定时间段内购买该域名。我们发现的用户活动都是过去几周的。

根据这些信息，我们目前无法确定这些域名购买是否确实发生。然而，在深入研究注册人信息时，我们发现该用户购买大量域名的其他实例。最近一次转移是在 2017 年，在此期间至少有 500 个域名已转移。但是，这些托管域与我们几天前发现的活跃域相同。有趣的是，与该用户关联的签名块表明这些域可能正在经历与其基础设施相关的问题。

讽刺的是，在我们与买家沟通后，他竟然声称他们从未与任何人进行过交易。他只是说买卖这样的域名是不道德的。针对这些域的漏洞利用工具包利用的一些最常见的有效负载是勒索软件和银行木马。

我们还观察到该买家试图寻求有关如何在比特币和比特币之间进行金额转换的帮助。该买家似乎试图建立托管服务。他声称整个交易量总共使用了 70 个比特币，并提供 5% 的兑换佣金。

正如我们在过去的域中发现的那样，托管恶意活动通常涉及在根域名上托管某种网页。该买家也是如此，他似乎专门针对某种默认域名管理页面进行买卖，如下所示。

另外，我们根据该买家帖子中的电话号码进行了相关搜索，发现该电话号码出现在一些主要域名注册商网站上，似乎是其子公司的技术支持号码。

的活动突然变得越来越隐蔽

当我们调查我们正在处理的活动时，我们观察到这些域名的买卖活动突然停止，这些帐户的活动也是如此，并且我们注意到买家已经开始出售一些以前使用过的域名。域名。

经过进一步调查，我们确实发现同一购买的域上托管着其他相关活动。最新版本已不再被任何变体使用，并已转至完全隐私模式。此外，它们不再被利用，而是转移到欧洲以外的注册机构。最后，我们没有检测到与现有域名销售相关的其他活动。因此，到目前为止，我们无法知道为什么该活动突然变得更加隐蔽，但无论该域名是否相关，都无法阻止买家将以前的恶意域名转售给其他用户。

IP基础设施

收集域架构数据后，我们开始分析该活动中使用的 IP 基础设施。通常，我们会看到漏洞利用工具包服务器的活动时间很短，通常不超过几天。这很重要，因为域提供商可以快速识别服务器并将其列入黑名单并关闭。然而EK中的域名似乎并不遵循这个规则。在某些情况下，服务器往往会允许这些域名长期运行。

此外，EK的最新活动还表现出与过去的漏洞利用工具包活动相同的特征，例如某些域名提供商被大量利用，以及某些IP地址似乎是连续的地址块。这通常意味着买家购买了一组服务器，并在服务器被阻止或关闭时将它们从一个服务器转移到另一个服务器。下面是按 IP 轮换的说明，类似于过去的漏洞利用工具包。

反向绑定域名

IP地址，请注意，IP地址自2016年12月下旬起注册：

·93.190.143.211

·188.165.163.229

·188.165.163.228

·188.165.163.227

·188.165.163.226

·93.190.143.201

·88.99.41.190

·93.190.143.186

·93.190.143.185

·88.99.41.189

·93.190.143.82

·94.140.120.233

· 109.236.88.87