國(guó)內(nèi)最大IT社區(qū)CSDN被掛馬,CDN可能是罪魁禍?zhǔn)祝?/h2>
責(zé)編:gltian |2024-12-13 11:29:15
鳴謝個(gè)人研究員:LugA、Zero17010、Sn2waR提供溯源幫助,共同完成了本次事件的惡意組織披露。
水坑細(xì)節(jié)
奇安信威脅情報(bào)中心在日常監(jiān)控中觀察到 analyzev.oss-cn-beijing.aliyuncs.com 惡意域名的訪問(wèn)量從 9 月初陡增,一直持續(xù)到 9 月底,在此期間并沒(méi)有觀察到可疑的 payload,只有一些奇怪的 js,之后進(jìn)入了一段時(shí)間的潛伏期。
直到 10 月底開(kāi)始爆發(fā),并且觀察到惡意的 payload 程序。
URL
hxxps://analyzev.oss-cn-beijing.aliyuncs.com/update.exe
hxxps://analyzev.oss-cn-beijing.aliyuncs.com/ntp.exe
hxxps://analyzev.oss-cn-beijing.aliyuncs.com/flash_update.exe
hxxps://analyzev.oss-cn-beijing.aliyuncs.com/ntp_windows.exe
網(wǎng)絡(luò)日志顯示在請(qǐng)求上述 URL 時(shí)的 Referer 字段都是 CSDN 的正常博客,非常奇怪。
Referer
hxxps://blog.csdn.net/Liuyanan990830/article/details/139475453
hxxps://blog.csdn.net/A186886/article/details/135279820
hxxps://blog.csdn.net/gitblog_06638/article/details/142569162
hxxps://blog.csdn.net/qq_44741577/article/details/139236697
hxxps://blog.csdn.net/jsp13270124/article/details/100738172
基于相關(guān)日志最終確認(rèn) CSDN 被掛馬,并且成功復(fù)現(xiàn)。
加載了額外的 js:
Js
https://analyzev.oss-cn-beijing.aliyuncs.com/jquery-statistics.js
基于奇安信全球鷹測(cè)繪數(shù)據(jù),國(guó)內(nèi)大量網(wǎng)站正文頁(yè)面中包含該惡意域名,其中包含政府、互聯(lián)網(wǎng)、媒體等網(wǎng)站:
所涉及的域名均掛有 CDN,對(duì)應(yīng)IP也都為 CDN 節(jié)點(diǎn),由于我們?nèi)狈Υ缶W(wǎng)數(shù)據(jù),只能推測(cè) CDN 廠商疑似被污染。jquery-statistics.js 解混淆后邏輯如下:
獲取本機(jī)的 IP 與內(nèi)置的IP列表進(jìn)行比對(duì),如果匹配成功,則跳轉(zhuǎn)到下一個(gè) js,該 js 主要用來(lái)釣魚(yú),頁(yè)面如下:
誘導(dǎo)有害者更新證書(shū),下載上述 payload 并執(zhí)行,這一階段的釣魚(yú) js 有多種,還觀察到 flash 更新頁(yè)面,正常情況下受害者會(huì)誤以為該頁(yè)面是瀏覽器的更新請(qǐng)求,手動(dòng)下載該 payload 并執(zhí)行從而導(dǎo)致中招。
我們對(duì)內(nèi)置的 IP 列表進(jìn)行了分析,攻擊者似乎比較關(guān)注媒體行業(yè)。
木馬分析
初始 payload 一般帶有簽名:
MD5
Name
簽名
0b42839d1d07f93f2c92c61416d589c3
sslupdate.exe
Octopus Data Inc.
cafe15fde16f915c014cc383b9503681dc0d62cb42a56a3fd7458a2f5519f4cc
ntp_windows.exe
Chengdu Nuoxin Times Technology Co., Ltd.
eba2a788cf414ab9674a84ed94b25d46
flash_update.exe
Chengdu Nuoxin Times Technology Co., Ltd.
相關(guān)樣本在 VT 上 0 查殺:
目前奇安信天擎已經(jīng)可以對(duì)上述樣本進(jìn)行查殺:
sslupdate.exe 是個(gè) downloader,首先解密出要鏈接的 C2:server.centos.ws:8848。
之后連接 C2 并發(fā)送數(shù)據(jù)。
發(fā)送和接收的數(shù)據(jù)包有固定前綴特征 64 6D 07 08。
之后 recv 接收數(shù)據(jù),收到的數(shù)據(jù)是個(gè) .NET DLL。
接收完畢后會(huì)加載 CLR 執(zhí)行該 DLL,調(diào)用其導(dǎo)出函數(shù) Client.Program.Start。
此 DLL 是個(gè)特馬,將其配置信息加密后以 Base64 形式存儲(chǔ),解密后如下,C2 與 Loader 一致。
該后門的插件需要攻擊者手動(dòng)下發(fā)。
溯源分析
jquery-statistics.js 中的 IP 列表除了國(guó)內(nèi)的目標(biāo) IP 之外還包含了一些境外 IP,推測(cè)可能是攻擊者的測(cè)試 IP 或者境外目標(biāo),境外 IP 大部分為 p2p 節(jié)點(diǎn)和 tor 節(jié)點(diǎn),如果將其當(dāng)作目標(biāo)很難入侵到對(duì)應(yīng)的人員。
基于奇安信 xlab 的僵尸網(wǎng)絡(luò)數(shù)據(jù) 80.67.167.81 的 tor 節(jié)點(diǎn)最近非常活躍,使用jenkins RCE Nday 漏洞投遞 lucifer 團(tuán)伙的挖礦木馬。
該 tor 節(jié)點(diǎn)似乎由法國(guó)的 NGO 組織提供,目前已經(jīng)被黑灰產(chǎn)團(tuán)伙所利用,如果是測(cè)試 IP,那么本次活動(dòng)可能與 lucifer 團(tuán)伙有關(guān)。
總結(jié)
目前,基于奇安信威脅情報(bào)中心的威脅情報(bào)數(shù)據(jù)的全線產(chǎn)品,包括奇安信威脅情報(bào)平臺(tái)(TIP)、天擎、天眼高級(jí)威脅檢測(cè)系統(tǒng)、奇安信NGSOC、奇安信態(tài)勢(shì)感知等,都已經(jīng)支持對(duì)此類攻擊的精確檢測(cè)。
IOC
C2:
update.sslcsdn.com
fix-ssl.com
47.243.177.243:443
analyze.sogoudoc.com
107.148.62.90:443
47.243.177.243:443
107.148.61.185:8084
8.217.107.66:443
csdnssl.com
sogoucache.com
sslcsdn.com
sogoudoc.com
flash-update.com
centos.ws
45.205.2.101:8848
103.112.98.83:8848
sslupdate.org
analyzev.oss-cn-beijing.aliyuncs.com
updateboot.com
ntpfix.com
MD5:
0b42839d1d07f93f2c92c61416d589c3
cafe15fde16f915c014cc383b9503681
dc0d62cb42a56a3fd7458a2f5519f4cc
eba2a788cf414ab9674a84ed94b25d46
31f84f78241819e6e6b9f80005bc97ae
ede730817f76f4e3c47a522843125eb8
cc15da6879fd31262d71a7e471925548
聲明:本文來(lái)自奇安信威脅情報(bào)中心,稿件和圖片版權(quán)均歸原作者所有。所涉觀點(diǎn)不代表東方安全立場(chǎng),轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán),請(qǐng)聯(lián)系rhliu@skdlabs.com,我們將及時(shí)按原作者或權(quán)利人的意愿予以更正。
鳴謝個(gè)人研究員:LugA、Zero17010、Sn2waR提供溯源幫助,共同完成了本次事件的惡意組織披露。
水坑細(xì)節(jié)
奇安信威脅情報(bào)中心在日常監(jiān)控中觀察到 analyzev.oss-cn-beijing.aliyuncs.com 惡意域名的訪問(wèn)量從 9 月初陡增,一直持續(xù)到 9 月底,在此期間并沒(méi)有觀察到可疑的 payload,只有一些奇怪的 js,之后進(jìn)入了一段時(shí)間的潛伏期。
直到 10 月底開(kāi)始爆發(fā),并且觀察到惡意的 payload 程序。
| URL |
| hxxps://analyzev.oss-cn-beijing.aliyuncs.com/update.exe |
| hxxps://analyzev.oss-cn-beijing.aliyuncs.com/ntp.exe |
| hxxps://analyzev.oss-cn-beijing.aliyuncs.com/flash_update.exe |
| hxxps://analyzev.oss-cn-beijing.aliyuncs.com/ntp_windows.exe |
網(wǎng)絡(luò)日志顯示在請(qǐng)求上述 URL 時(shí)的 Referer 字段都是 CSDN 的正常博客,非常奇怪。
| Referer |
| hxxps://blog.csdn.net/Liuyanan990830/article/details/139475453 |
| hxxps://blog.csdn.net/A186886/article/details/135279820 |
| hxxps://blog.csdn.net/gitblog_06638/article/details/142569162 |
| hxxps://blog.csdn.net/qq_44741577/article/details/139236697 |
| hxxps://blog.csdn.net/jsp13270124/article/details/100738172 |
基于相關(guān)日志最終確認(rèn) CSDN 被掛馬,并且成功復(fù)現(xiàn)。
加載了額外的 js:
| Js |
| https://analyzev.oss-cn-beijing.aliyuncs.com/jquery-statistics.js |
基于奇安信全球鷹測(cè)繪數(shù)據(jù),國(guó)內(nèi)大量網(wǎng)站正文頁(yè)面中包含該惡意域名,其中包含政府、互聯(lián)網(wǎng)、媒體等網(wǎng)站:
所涉及的域名均掛有 CDN,對(duì)應(yīng)IP也都為 CDN 節(jié)點(diǎn),由于我們?nèi)狈Υ缶W(wǎng)數(shù)據(jù),只能推測(cè) CDN 廠商疑似被污染。jquery-statistics.js 解混淆后邏輯如下:
獲取本機(jī)的 IP 與內(nèi)置的IP列表進(jìn)行比對(duì),如果匹配成功,則跳轉(zhuǎn)到下一個(gè) js,該 js 主要用來(lái)釣魚(yú),頁(yè)面如下:
誘導(dǎo)有害者更新證書(shū),下載上述 payload 并執(zhí)行,這一階段的釣魚(yú) js 有多種,還觀察到 flash 更新頁(yè)面,正常情況下受害者會(huì)誤以為該頁(yè)面是瀏覽器的更新請(qǐng)求,手動(dòng)下載該 payload 并執(zhí)行從而導(dǎo)致中招。
我們對(duì)內(nèi)置的 IP 列表進(jìn)行了分析,攻擊者似乎比較關(guān)注媒體行業(yè)。
木馬分析
初始 payload 一般帶有簽名:
| MD5 | Name | 簽名 |
| 0b42839d1d07f93f2c92c61416d589c3 | sslupdate.exe | Octopus Data Inc. |
| cafe15fde16f915c014cc383b9503681dc0d62cb42a56a3fd7458a2f5519f4cc | ntp_windows.exe | Chengdu Nuoxin Times Technology Co., Ltd. |
| eba2a788cf414ab9674a84ed94b25d46 | flash_update.exe | Chengdu Nuoxin Times Technology Co., Ltd. |
相關(guān)樣本在 VT 上 0 查殺:
目前奇安信天擎已經(jīng)可以對(duì)上述樣本進(jìn)行查殺:
sslupdate.exe 是個(gè) downloader,首先解密出要鏈接的 C2:server.centos.ws:8848。
之后連接 C2 并發(fā)送數(shù)據(jù)。
發(fā)送和接收的數(shù)據(jù)包有固定前綴特征 64 6D 07 08。
之后 recv 接收數(shù)據(jù),收到的數(shù)據(jù)是個(gè) .NET DLL。
接收完畢后會(huì)加載 CLR 執(zhí)行該 DLL,調(diào)用其導(dǎo)出函數(shù) Client.Program.Start。
此 DLL 是個(gè)特馬,將其配置信息加密后以 Base64 形式存儲(chǔ),解密后如下,C2 與 Loader 一致。
該后門的插件需要攻擊者手動(dòng)下發(fā)。
溯源分析
jquery-statistics.js 中的 IP 列表除了國(guó)內(nèi)的目標(biāo) IP 之外還包含了一些境外 IP,推測(cè)可能是攻擊者的測(cè)試 IP 或者境外目標(biāo),境外 IP 大部分為 p2p 節(jié)點(diǎn)和 tor 節(jié)點(diǎn),如果將其當(dāng)作目標(biāo)很難入侵到對(duì)應(yīng)的人員。
基于奇安信 xlab 的僵尸網(wǎng)絡(luò)數(shù)據(jù) 80.67.167.81 的 tor 節(jié)點(diǎn)最近非常活躍,使用jenkins RCE Nday 漏洞投遞 lucifer 團(tuán)伙的挖礦木馬。
該 tor 節(jié)點(diǎn)似乎由法國(guó)的 NGO 組織提供,目前已經(jīng)被黑灰產(chǎn)團(tuán)伙所利用,如果是測(cè)試 IP,那么本次活動(dòng)可能與 lucifer 團(tuán)伙有關(guān)。
總結(jié)
目前,基于奇安信威脅情報(bào)中心的威脅情報(bào)數(shù)據(jù)的全線產(chǎn)品,包括奇安信威脅情報(bào)平臺(tái)(TIP)、天擎、天眼高級(jí)威脅檢測(cè)系統(tǒng)、奇安信NGSOC、奇安信態(tài)勢(shì)感知等,都已經(jīng)支持對(duì)此類攻擊的精確檢測(cè)。
IOC
C2:
update.sslcsdn.com
fix-ssl.com
47.243.177.243:443
analyze.sogoudoc.com
107.148.62.90:443
47.243.177.243:443
107.148.61.185:8084
8.217.107.66:443
csdnssl.com
sogoucache.com
sslcsdn.com
sogoudoc.com
flash-update.com
centos.ws
45.205.2.101:8848
103.112.98.83:8848
sslupdate.org
analyzev.oss-cn-beijing.aliyuncs.com
updateboot.com
ntpfix.com
MD5:
0b42839d1d07f93f2c92c61416d589c3
cafe15fde16f915c014cc383b9503681
dc0d62cb42a56a3fd7458a2f5519f4cc
eba2a788cf414ab9674a84ed94b25d46
31f84f78241819e6e6b9f80005bc97ae
ede730817f76f4e3c47a522843125eb8
cc15da6879fd31262d71a7e471925548
聲明:本文來(lái)自奇安信威脅情報(bào)中心,稿件和圖片版權(quán)均歸原作者所有。所涉觀點(diǎn)不代表東方安全立場(chǎng),轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán),請(qǐng)聯(lián)系rhliu@skdlabs.com,我們將及時(shí)按原作者或權(quán)利人的意愿予以更正。
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開(kāi)啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書(shū)
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧