域名注册费用标准_详解全球联合执法摧毁的 Grandoreiro 僵尸网络

ESET 与巴西联邦警察合作拆除僵尸网络。 由于僵尸网络通信协议的设计缺陷，研究人员利用该缺陷来跟踪受害者。

自 2017 年以来，恶意软件已被视为西班牙语国家的主要网络安全威胁，通过冒充法院或电信和能源公司等公认组织的网络钓鱼电子邮件引入。

一旦进入内部，恶意软件就会跟踪键盘输入，模拟鼠标活动，共享屏幕并显示欺骗性弹出窗口，收集用户名、操作系统信息、设备运行时间等数据，最重要的是，银行标识符。 在完全控制受害者的银行账户后，犯罪分子清空了账户，并通过钱骡网络将资金转移到洗黑钱，然后将资金转移到巴西。

研究人员构建了自动分析系统，可以处理数以万计的样本文件。 自2020年10月以来，该恶意软件每天使用DGA算法生成一个主域名，以及多个备用域名。 除了今天的日期外，DGA算法还支持静态配置。

该僵尸网络的运营商滥用 Azure 和 AWS 等云服务提供商来部署攻击基础设施，并根据分析师提供的提示，执法部门逮捕了使用这些服务器的个人。

背景

该僵尸网络是拉丁美洲最常见的银行木马之一，自2017年以来一直活跃。该僵尸网络的主要目标是西班牙、巴西和墨西哥。 当然，攻击者也有阶段。 2020年至2022年，西班牙是受攻击最严重的国家，随后明显转向了墨西哥和阿根廷。

检测分布

僵尸网络的主要功能没有太大变化。 最初，当入侵成功时，会向C&C服务器发起HTTP GET请求，返回被入侵主机的基本信息。 随着时间的推移，开发人员后来放弃了该功能。 前台窗口会定期监视属于 Web 浏览器进程的窗口。 当窗口名称与硬编码的银行相关字符串匹配时，恶意软件就会启用与 C&C 服务器的通信，每秒发送一次请求，然后终止进程。

操作员必须手动与受感染的主机交互才能窃取受害者的财产。 该恶意软件支持以下功能：

该僵尸网络不断更新，每周最多都会发布几个新版本。 2022年2月，恶意样本中添加了版本标识符。 统计可以发现，从2022年2月到6月，平均每四天就会发布一个新版本。 6月底V37版本发布后，版本号就一直没有变过，这个功能应该已经被放弃了。

版本迭代

拉丁美洲的银行木马大多相似，僵尸网络也与其他银行木马相似。 将捆绑在 MSI 安装程序中，有时与 和 共享。 最初，僵尸网络仅在主样本中使用了二进制填充，后来也添加了这种反分析技术。 令人惊讶的是，攻击者在 2023 年第三季度停用了这项技术，并且再也没有使用过它。

分析人士自2022年2月起一直在追踪该僵尸网络的第二个变种。该变种的大部分C&C服务器域名均未绑定解析，核心功能仍在变化。 应该是开发工作还在进行中。

长期跟踪

研究人员自 2017 年以来一直在监控该僵尸网络，提取版本信息、C&C 服务器、受害者等。

DGA算法

DGA 算法被硬编码到僵尸网络中，并通过名为的字符串引用。 分析人员从样本文件中提取了 105 个不同的 IP 地址，其中 79 个配置具有绑定解析。

生成的域名通过No-IP的动态DNS服务进行注册。 僵尸网络的运营者滥用该服务，频繁改变解析关系。 这些域名解析的IP地址大部分是由云服务提供商提供的，主要是AWS和Azure。

C&C地址统计

具有不同配置的 DGA 算法生成的域名都解析为相同的 IP 地址，这意味着不同样本文件入侵的受害者都将连接回同一 C&C 服务器。

攻击基础设施

在极少数情况下，同一 IP 地址会在几天后被其他人重复使用。 研究人员最初认为每个都是独一无二的，但这是不正确的，样本之间存在共享相同的配置。 下图显示，所有共享至少一个 IP 地址的 DGA 配置都聚合在同一集合中，受害者比例较低的集合将被忽略。

DGA系列

最大的集合包含 78%，其中包括 93.6% 的 C&C 服务器和 94% 的受害者。 有报告称提供恶意软件即服务（MaaS），并且C&C服务器可以同时被不同的攻击者使用。 根据以上数据，DGA生成的IP地址绝大多数可以聚集在一起，没有明确的分布模式。 考虑到网络通信的带宽要求，研究人员认为不同的C&C服务器实际上是一个负载均衡器，很可能由单个或多个组紧密协调。

联合通讯

当受感染主机上线时，受害者的信息将被发送回C&C服务器，研究人员将相应地跟踪受害者的情况。 每个连接到C&C服务器的受害者都由C&C服务器识别，不同版本的样本文件使用不同的格式。 通过该字符串可以提取的信息如下：

它是一个硬编码的字符串，不是通过执行命令获得的，并且更有可能是攻击者的目标受害者所在的国家/地区。 银行是银行或其他金融机构的关键字符串。 当受害者访问该网站时，C&C链接将被触发。 也是硬编码的，标识特定的构建系列、版本和时间戳。 请注意，有些时间戳仅包含月份和日期，有些包含年份。

版本信息

有些人认为 Build ID 实际上可以识别攻击者，但其他人不同意。 这个字符串的格式非常混乱，可能与攻击者的身份无关。 此外，研究人员坚信，P1X是指以操作员使用的控制台命名的。

跟踪受害者

这里的统计数据是从C&C服务器获得的，而不是从ESET遥测数据获得的。

旧样本仍然有效

每一个都包含时间戳信息，其中绝大多数都包含时间戳信息。 最早发现的时间戳是2023年9月15日，这也是DGA算法首次引入僵尸网络的时间，最新的时间戳是2023年12月23日。

操作系统

所有这些都包含操作系统信息，其中 10 个是受害者中最常见的。

操作系统分布

国家分布

大约40%的受害者在巴西，其他的情况如下：

受害人分布

这正是攻击者所期望的国家分布，例如阿根廷的受害者完全没有反应。 其中巴西、墨西哥和西班牙几乎占全部，极少数受害者被标记为PM（圣皮埃尔和密克隆群岛）、GR（希腊）或FR（法国）。 分析人士认为，这些要么是拼写错误，要么具有这些国家特有的其他含义。

研究人员发现，平均每天约有 563 名受害者连接到 C&C 服务器。 但这个数字肯定包含重复的，在长时间保持连接的情况下会不断发现连接请求。 因此，使用独特的特征（例如计算机名称、用户名等）作为标识符，分析人员平均每天可以看到 551 个受害者。 考虑到已经受到威胁的受害者，平均每天有 114 个新受害者连接到 C&C 服务器。

DGA算法

该算子采用了多种DGA算法，但核心逻辑没有太大变化。 最新更新出现在 2020 年 7 月。

DGA 使用硬编码在二进制文件中的特定配置，存储在多个字符串中。 JSON 格式如下：

DGA配置信息

在绝大多数情况下，该字段是 or。 如前所述，使用No-IP进行域名注册。 字段对应于 DGA 使用的自定义字母表。 它用于用月份数字替换字符。

构成配置的主要部分。 它由 12 个字符串组成，每个字符串有 35 个字段，以 | 分隔。 每行的第一个条目是 。 第二个也是最后一个条目表示该行的预期月份，其余 32 个字段表示该月不同日期的值。

DGA算法的逻辑如下。 最终输出结果是一个子域名，将其拼接起来作为当天的C&C服务器。

实现DGA算法

以红色突出显示的部分是一种故障安全机制，以防主域名无法解析。 尽管并非所有示例文件都具有此机制，但使用的配置文件是固定的。 如下所示，每个条目由Key、前缀和基本域名组成。

故障安全机制将使用主C&C子域名生成的部分逻辑，遍历所有条目，对其进行异或加密，最后为其添加前缀。

故障安全机制

2022 年 9 月，攻击者对子域进行了取消编码，作为最后一步，而是在前面附加了硬编码前缀。 据分析师跟踪，该方式自2023年7月起已成为主流机制。

网络协议

利用 RTC 进行 C&C 通信，这是构建在 SDK 之上的组件。 RTC已于2017年停止更新，源代码已发布到. 本质上，RTC 允许一个或多个控件远程访问一台或多台主机。

操作员使用控制台连接到 C&C 服务器并与受感染的主机进行通信。 连接网关需要三个参数：密钥、密钥长度、登录名。

RTC 文档指出它一次只能处理有限数量的连接。 考虑到每个连接的主机每秒至少需要发送一个请求，否则其连接将被断开。 研究人员认为，使用多个 C&C 服务器的原因是为了避免其中任何一个服务器被压垮。

综上所述

本文详细介绍了 DGA 算法，以及攻击基础设施的 IP 重叠。 根据对攻击的跟踪，技术分析支持了巴西联邦警察领导的执法行动，逮捕了多名高级操作人员。