安全路透社
当前位置:安全路透社 > 网络转载 > 正文

渗透思路 | 加密货币矿工和信用卡信息泄露

本文中所引用的假Flash更新文件,目前已被攻击者从GitHub转移到了port.so[.]tl上,并且bit.wo[.]tc脚本也被转移到了byte.wo[.]tc。

 加密货币矿工和信用卡信息泄露

不久前,我们曾发表过一篇有关受感染的Magento站点,被黑客用于推送假Flash Player更新banner,盗取用户凭据的报告文章。在这篇文章中,我们将揭示与该攻击密切相关的一个非常热门的话题——加密货币和挖矿。

信息窃取木马(infostealer)分析

我们发现的恶意软件二进制文件已被Themida打包过,因此文件分析并没有提供太多有用的信息(这也解释了我们之前在VirusTotal上看到的,所有常规检测结果)。快速的活动分析表明,该恶意软件的行为是典型的信息窃取木马。最初我们猜测它是一个Lokibot。

在阅读过我们之前发布的帖子后,恶意软件研究人员Paul Burbage认为该恶意软件应该是另一个具有相似功能的infostealer,称之为Azorult v2.9

确切地说,Azorult v2.9是恶意软件。这个家族是一种infostealer恶意软件,并在俄罗斯的地下黑客论坛上被出售。

C2 gate: hxxp://port.so[.]tl/log.php

C2 admin: hxxp://port.so[.]tl/index.php pic.twitter.com/yDZwWRSWhI

— Paul Burbage (@hexlax) 2018.3.15

Paul提到该恶意软件还会在受感染的计算机上分发加密货币矿工。Sucuri专注于网站,对于客户端恶意软件并不擅长,但是,我们也发现了这种攻击与加密货币矿工的联系。

与之关联的网站

当MalwareBytes的同事向我分享了该恶意软件的PCAP文件后,我分析了它与其它站点的关系。

除此之外,我还发现了一个下载这个文件的请求:hxxp://frogloud[.]com/TOP/wp-content/uploads/2016/cmd.bin

VirusTotal快速恶意软件识别的检测率为21/66

之后,我注意到frogloud[.]com本身是一个合法的网站,但已被黑客控制。除了恶意的cmd.bin文件外,该站点还有两个来自siteverification[.]online的可疑脚本。

 加密货币矿工和信用卡信息泄露

hxxp://siteverification[.]online/lib/status.jshxxp://siteverification[.]online/lib/lib.js拥有相同的内容并在隐藏的iframe中加载站点的主页:

 加密货币矿工和信用卡信息泄露

让我们来查看下这个页面。这是一个Apache服务器的默认欢迎页面,并没有配置真实的站点。

 加密货币矿工和信用卡信息泄露

别急,让我们再查看下这个页面的源代码。

 加密货币矿工和信用卡信息泄露

在HTML代码的底部我们发现了一个CoinHive矿工,其网站密钥为”f63LSXxFY7jdZhns0PTiz67v8tU03If8“

所以,这些脚本实际上做的只是注入一个iframe,一旦有访问者访问该网站就会成为黑客们的挖矿工具,为其挖掘所罗门币。

相关感染

让我们来检查其他感染了相同恶意软件的站点。PublicWWW为我们快速找到了1787个受到感染的网站,它们的恶意内容均来自siteverification[.]online

除了我们在frogloud[.]com上发现的“status.js”和“lib.js”文件之外,还有一些其他的变体,如“info.js”,“stat.js”,甚至 一些直接的iframe注入。

就像我们在上一篇文章中看到的那样,受影响的网站大多是Magento。当对它们扫描时,我们发现多数网站都受到这两种感染 -即来自bit.wo[.]tc的假Flash更新和来自siteverification[.]online的加密货币矿工。

 加密货币矿工和信用卡信息泄露

这意味着这些站点很可能在同一时间,被不同的黑客组织所利用。

我们还发现一些其他与bit.wo[.]tc假Flash更新共存的常见感染 – 例如,旧的Magento重定向脚本,或来自hxxps://onlinestatus[.]site/js/status.js的信用卡信息盗取脚本 (PublicWWW

Magento恶意软件的常见特性

另一方面也有很多的迹象表明,这些最近的感染可能是相关的,因为它们具有许多共同的特征并且共存于相同的网站上。

恶意链接中的路径模式

  • 假Flash更新:bit.wo[.]tc/js/lib/js.js
  • 信用卡盗取:onlinestatus[.]site/js/status.js
  • 加密货币矿工:siteverification[.]online/lib/status.js
  • 加密货币矿工2017年九月回归:hxxps://camillesanz[.]com/lib/status.js

默认的Apache2 Debian页面

如果我们打开onlinestatus[.]site网站的主页,我们会看到与siteverification[.]online主页相同的默认Apache2页面 – 不同的是这次并没有发现加密货币矿工。但是在同一台服务器上(185.202.103.37)有另外一个域 – onlinestatus[.]stream – 其默认也是“Apache2的欢迎页面”并且也包含了一个注入的矿工,该网站密钥为“ZjAbjZvbYgw68hyYGhrl7xgDEqUK9FiZ”,以及一个混淆的CoinHive JavaScript保存在一个我们熟悉的路径模式文件中:onlinestatus[.]stream/lib/status.js

api2.checkingsite.site

让我们回到由假Flash更新产生的PCAP文件,在那里我们看到一系列POST请求到api2.checkingsite[.]site (e.g. POST /2.0/method/checkConnection, POST /2.0/method/error, POST /4.0/method/installSuccess)。

我不会在这里推测这些请求的目的。对我的调查来说更重要的是checkingsite[.]site的IP 37.1.206.48。这与在挖矿攻击中使用的siteverification[.]online站点具有相同的IP。

这是受感染Magento网站上,假Flash更新恶意软件和被注入的CoinHive矿工的最直接联系。根据上面的信息,我们也可以将这些攻击与Magento信用卡窃取者联系起来。

Cryptojacking 360º

最初我忽略了siteverification[.]online站点和假的Flash更新之间,其实还有一个更直接的联系。事实证明,大多数受感染的站点都有两个注入siteverification[.]online脚本(如lib/info.js and lib/lib.js)是有原因的。

这些文件并不是静态的。当你第一次加载脚本时,你会获取到之前文章中提到的一个由bit.wo[.]tc/js/lib/js.js脚本提供的假Flash更新脚本。但是,随后的所有请求都会返回带有CoinHive矿工的隐藏iframe或空文件。

 加密货币矿工和信用卡信息泄露

总结此攻击的新受害者的工作流程,第一个脚本加载了一个信息窃取木马的假 Flash 更新Banner,然后在受害者的计算机上安装加密货币矿工。几乎同时,第二个脚本在隐藏的iframe中打开基于浏览器的加密货币矿工。

顺便说一句,这次攻击并仅仅只依靠挖矿来获取加密货币。 Azorult infostealer最受欢迎的功能之一是它可以从流行的比特币(和其他硬币)钱包(例如wallet.dat和electrum.dat等文件)中窃取私钥。

信用卡窃取向量也是如此。除了劫持Magento结账页面的脚本之外,当受害者在线付款时,木马还会尝试从浏览器窃取付款细节。

这可能并不是新的活动

当我完成了对这次攻击的Magento方面的调查后,我决定检查GitHub部分以更进一步的了解。如果这些黑客的Magento恶意软件自2017年中以来一直存在,那么2018年3月8日创建的flashplayer31存储库可能不是他们第一次尝试在他们的攻击中使用GitHub。

我很快为这个假设找到了证据。 许多安全研究人员发现了这些虚假的Flash更新。

恶意软件并不总是伪装成Flash Player更新。去年10月,同样的方法也被用在了假的“Roboto Condensed字体”下载中。

Hibryd-Analysis网站帮助我识别了来自github[.]com/vaio666999/2/blob/master/GoogleUpdater.exe?raw=true的此恶意软件的变体GoogleUpdater。这个相同的存储库还包含名称为xmrig32.exe(Monero矿工)和64.exe(64位版本的同一矿工)的文件。

通过UrlQuery的快速搜索,在各种GitHub存储库中我发现了一些类似的假updaters。

  • Feb 5, 2018: github[.]com/dizovoz/rui2/raw/master/flashUpdate.exe
  • Jan 23, 2018: github[.]com/ikpt/Ex/raw/master/redis/flashupdate.exe
  • Jan 19, 2018:github[.]com/zopihafo/SMPPClient/raw/master/SMPP/SmppClient/flashupdate.exe
  • Jan 14, 2018: github[.]com/lqzo7/dragandrop/raw/master/flashupdate.exe
  • Dec 28, 2017: github[.]com/lumaf/django-registration-templates/raw/master/registration/flashupdate.exe
  • Aug 22, 2017: github[.]com/kul1337/3.0.43.124/raw/master/upd.exe

正如你所看到的,至少自2017年8月以来,GitHub就一直被此次攻击所使用。一旦旧的帐户和存储库被禁用,就会定期创建新帐户和存储库。

正如我们在之前的博文中所推测的那样,创建新帐户和存储库是件非常容易的事,在短时间内攻击者就可以恢复他们的操作。在我们发布帖子之后,截至2018年3月15日,flashpartyer31帐户已被GitHub禁用,但在第二天,攻击开就始使用了一个新创建的johnplayer32帐户。

来自受感染网站的假Flash Player已重新使用新的@github帐户。

cc @unmaskparasites @hexlax @MarceloRivero 

GitHub:https://t.co/LR6uotjNtx

Payload:https://t.co/14IXNhbjFu   

Sucuri blog:https://t.co/gmUH99yePA pic.twitter.com/0Ao8DqCP8p

— Jérôme Segura (@jeromesegura) March 16, 2018

在Magento中查找恶意软件

这篇文章证明,这个黑客组织有着长期针对Magento网站的历史。

虽然他们的攻击范围很广,从信用卡窃取,浏览器(和Windows)加密货币矿工 到信息窃取木马,但感染的服务器端部分基本相同。

这些脚本通常被注入到core_config_data表中。 例如,在design/head/includes or design/footer/absolute_footer部分。

如果你认为你的网站已遭到入侵,我们很乐意提供帮助。你可以在我们的在线指南中获取到更多有关清理受感染的Magento网站的信息。

*参考来源:sucuri,FB小编 secist 编译

未经允许不得转载:安全路透社 » 渗透思路 | 加密货币矿工和信用卡信息泄露

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册