??黑客是如何在新冠肺炎疫情中大肆尋覓攻擊機(jī)會(huì)的?(上)??

用于C2通信的冠狀病毒域

惡意軟件使用C2域被用來接收惡意命令和傳送數(shù)據(jù)泄露，盡管網(wǎng)絡(luò)攻擊者主要使用與冠狀病毒相關(guān)的域來傳播惡意軟件、網(wǎng)絡(luò)釣魚和詐騙，但我們還觀察到了它們參與C2通信。

??

NATsupport網(wǎng)絡(luò)通信

惡意NATSupportManager遠(yuǎn)程訪問工具(RAT)示例使用了域covidpreventandcure[.]com。從圖9所示的網(wǎng)絡(luò)流量中，你可以看到域解析為5.181.156[.]14。然后，它將多個(gè)POST請(qǐng)求發(fā)送到hxxp://5.181.156[.]14/fakeurl.htm，并將TCP數(shù)據(jù)包發(fā)送到端口443。如圖10所示，POST通信基于HTML表單，C2服務(wù)器將這些表單附加到HTTP響應(yīng)中的編碼命令和有效載荷上，而木馬則發(fā)送經(jīng)過編碼的被盜數(shù)據(jù)。

??

HTML表單通信

covidpreventandcure[.]com于3月26日注冊(cè)，結(jié)果兩天后我們就開始觀察到相關(guān)的DNS流量，該活動(dòng)一直持續(xù)到4月11日。在4月份，解析該域的DNS流量顯著增加，這表明相關(guān)的攻擊數(shù)量可能會(huì)激增。該木馬還試圖解決另一個(gè)未注冊(cè) COVID-19 covidwhereandhow[.]xyz，這很可能是為將來的攻擊做準(zhǔn)備。

惡意軟件使用COVID-19的另一個(gè)域是coronavirusstatus.space，該域與一個(gè)AzoRult下載程序相關(guān)聯(lián)，該下載程序據(jù)稱是一個(gè)全球COVID-19跟蹤應(yīng)用程序。

利用網(wǎng)上商店的短缺商品廣告發(fā)起攻擊

我們還發(fā)現(xiàn)了幾項(xiàng)高風(fēng)險(xiǎn)的域名注冊(cè)，其中有不法之徒創(chuàng)建了虛假的網(wǎng)上商店，并試圖誘騙用戶購(gòu)買短缺的商品。網(wǎng)上商店詐騙的跡象有很多，用戶可以利用這些跡象作為避免上當(dāng)受騙的線索。例如，這些網(wǎng)絡(luò)商店經(jīng)常做廣告，說在目前的冠狀病毒大流行中，這些東西好得讓人難以置信，這意味著它們會(huì)以打折的價(jià)格提供口罩或洗手液等需求量很大的產(chǎn)品。如果我們發(fā)現(xiàn)這個(gè)網(wǎng)站是新的，那么就要起疑了。其他的例子包括強(qiáng)迫用戶立即購(gòu)買，虛假評(píng)論，虛假聯(lián)系信息，網(wǎng)上商店中的剪切和粘貼文本，語法錯(cuò)誤和帶有關(guān)鍵字的頁(yè)面。

??

allsurgicalfacemask[.]com詐騙網(wǎng)站

一個(gè)特定的機(jī)構(gòu)注冊(cè)了兩個(gè)域allsurgicalfacemask[.]com 和surgicalfacemaskpharmacyonline[.]com，這些站點(diǎn)大量宣傳口罩的廣告，這兩個(gè)站點(diǎn)之間的唯一區(qū)別是所使用的聯(lián)系信息和虛假的用戶推薦。

當(dāng)訪問這些詐騙網(wǎng)站時(shí)，我們發(fā)現(xiàn)這兩個(gè)域都只有一個(gè)月的歷史，與冠狀病毒大流行的上升相吻合。接下來，我們觀察到國(guó)家和域注冊(cè)信息不匹配。域名在印度注冊(cè)，而網(wǎng)站上卻是法國(guó)的地址和電話號(hào)碼。另一個(gè)站點(diǎn)的地址在德國(guó)，但電話號(hào)碼在美國(guó)。

除了在與冠狀病毒相關(guān)的域名上發(fā)現(xiàn)可疑的欺詐性商店外，我們還在其他出售與流行性疾病相關(guān)商品的商店上發(fā)現(xiàn)了web skimmer腳本，示例商店www.sunrisepromos[.]com/promotional-personal-care- accessories/personalize-handsanitizer.html如下圖所示。

這些商店包括帶有注入的惡意代碼的信用卡驗(yàn)證腳本，它會(huì)在你輸入完信用卡信息后立即發(fā)送出去。注入的代碼片段如下圖所示。頁(yè)面加載后，腳本通過將其URL與正則表達(dá)式列表進(jìn)行匹配，來檢查該頁(yè)面是否為相關(guān)的結(jié)帳頁(yè)面，并開始定期嘗試每150毫秒收集并發(fā)送一個(gè)輸入的信用卡號(hào)。特別是，它調(diào)用函數(shù)send，該函數(shù)首先將事件偵聽程序添加到表單提交和按鈕單擊事件中，以收集輸入的信息，然后根據(jù)regex檢查收集到的信息，查看信用號(hào)碼，然后將其發(fā)送到/js/index.php中可能存在問題的路徑。

??

在幾個(gè)銷售與流行病相關(guān)商品的網(wǎng)站上發(fā)現(xiàn)了信用卡分離器代碼

利用對(duì)冠狀病毒的恐懼來獲利

??

survivecoronavirus[.]org恐嚇用戶購(gòu)買他們的生存手冊(cè)

有趣的是，我們發(fā)現(xiàn)一組網(wǎng)站建立在人們已經(jīng)存在的對(duì)冠狀病毒的恐懼上，并試圖恐嚇?biāo)麄冑?gòu)買電子書，如上圖所示。首先，他們播放了一段關(guān)于冠狀病毒最可怕的情況和令人不安的事件視頻，然后宣傳這本書是在這場(chǎng)大流行中生存的關(guān)鍵。

我們發(fā)現(xiàn)了8個(gè)注冊(cè)域名來實(shí)施這個(gè)騙局，包括coronavirussecrets[.]com和pandemic-survival-coronavirus[.]com。當(dāng)我們想買他們的書時(shí)，就要登陸到buygoods[.]com 站。該網(wǎng)站在 San Diego Consumers’ Action Network和Better Business Bureau的網(wǎng)站上都有客戶的不同評(píng)價(jià)。 San Diego Consumers’ Action Network網(wǎng)絡(luò)上的文章稱他們?yōu)樾畔⒃p騙者，他們的定義是“使用欺詐手段以虛假價(jià)格向消費(fèi)者出售誤導(dǎo)或虛假信息”。此外，許多用戶報(bào)告說他們沒有收到已經(jīng)付款的商品。

冠狀病毒域傳播的經(jīng)典騙局

??

covid19center[.]online上的技術(shù)支持騙局頁(yè)面示例

經(jīng)典騙局活動(dòng)還利用了冠狀病毒域的流行，例如，我們檢測(cè)到一個(gè)由 coronavirusaware[.]xyz 和covid19center[.]online提供的知名技術(shù)支持欺詐活動(dòng)，如上圖所示。在過去的半年里，超過3000個(gè)獨(dú)特的域名和IP地址(使用本文中描述的行為簽名)上出現(xiàn)了這種騙局。攻擊者的目的是恐嚇網(wǎng)絡(luò)用戶，讓他們打電話與攻擊者進(jìn)行溝通，然后付款購(gòu)買商品。

另一個(gè)例子是WhatsApp的“免費(fèi)互聯(lián)網(wǎng)”詐騙活動(dòng)，這是之前看到的使用不同的WhatsApp相關(guān)的域。例如 whatsapp[.]version[.]gratis 和whatsapp[.]cc0[.]co，但現(xiàn)在使用了internet-covid19.xyz。有趣的是，這個(gè)活動(dòng)在它的域中重用了相同的谷歌分析ID——UA-108418953-1(更多關(guān)于通過分析ID跟蹤活動(dòng)的信息可以在本文中找到)。

Google Analytics(分析)提供了一種簡(jiǎn)單，免費(fèi)的方式來跟蹤和分析各種機(jī)構(gòu)網(wǎng)站上的訪問者。一個(gè)機(jī)構(gòu)每月可能有數(shù)千甚至數(shù)百萬的訪問者，但如果管理者對(duì)這些訪問者一無所知，那些訪問者幾乎毫無意義。借助其強(qiáng)大的網(wǎng)絡(luò)分析和報(bào)告工具，Google Analytics可以幫助管理者充分利用訪問者并將其轉(zhuǎn)化為客戶。

除了跟蹤訪問者數(shù)量之外，Google Analytics還提供了有關(guān)網(wǎng)站效果以及可以采取哪些措施來實(shí)現(xiàn)目標(biāo)的重要見解。網(wǎng)站管理者可以跟蹤網(wǎng)站流量的來源以及訪問者的行為方式等所有內(nèi)容。甚至可以監(jiān)控社交媒體活動(dòng)、跟蹤移動(dòng)應(yīng)用流量、識(shí)別趨勢(shì)并集成其他數(shù)據(jù)源，以幫助管理者做出明智的業(yè)務(wù)決策。

虛假藥房

??

anticovid19-pharmacy[.]com托管的非法藥房

研究人員長(zhǎng)期以來一直在研究非法的網(wǎng)上藥店，他們發(fā)現(xiàn)了由三個(gè)冠狀病毒域組成的集群，這些域上托管著非常相似的藥房圖片，如圖18所示，分別是covid19-remedy[.]com, rxcovid[.]com 和anticovid19-pharmacy[.]com.。該研究人員還發(fā)現(xiàn)這些藥房沒有營(yíng)業(yè)執(zhí)照，并利用受攻擊的網(wǎng)站來增加它們?cè)凇傲畠r(jià)偉哥”等關(guān)鍵詞組合搜索結(jié)果中的位置。更糟糕的是，這些藥店可能會(huì)以不正確的劑量和潛在的危險(xiǎn)劑量出售藥物。雖然域名表明這些商店出售冠狀病毒的藥物，但它們主要宣傳偉哥和其他與該病毒無關(guān)的藥物。

黑帽SEO是如何利用冠狀病毒趨勢(shì)的

為了使用冠狀病毒的話題來吸引網(wǎng)站流量，黑帽SEO描述了用于使網(wǎng)站人為地出現(xiàn)在某些關(guān)鍵字的搜索引擎結(jié)果頂部的一系列技術(shù)。

??

coronavirus-latest-update[.]info 看起來像一個(gè)冠狀病毒信息頁(yè)面

我們發(fā)現(xiàn)用于黑帽SEO的9個(gè)與冠狀病毒相關(guān)的域的集群，其中的所有域都托管有關(guān)冠狀病毒的類似信息頁(yè)面，例如上圖中所示的coronavirus-latest-update[.]info 。但是，這些網(wǎng)站不是實(shí)際的信息頁(yè)面。首先，我們可以看到許多鏈接到基于比特幣的在線賭場(chǎng)sharkroulette[.]com。其次，即使我們嘗試點(diǎn)擊承諾重定向到coronavirus-com[.]info的鏈接，由于鏈接上的JavaScript覆蓋，我們?nèi)詫⒈恢囟ㄏ虻絪harkroulette[.]com。

注冊(cè)可疑寄存頁(yè)面

??

在coronavirus2day[.]com上可疑的寄存注冊(cè)示例

如圖20所示，我們觀察到以新注冊(cè)的冠狀病毒為主題的域上托管的許多可疑的寄存頁(yè)面。例如，在200多個(gè)以冠狀病毒為主題的獨(dú)特域名中發(fā)現(xiàn)了一種寄存頁(yè)面。這些頁(yè)面都從一個(gè)父URL http[:]//cdn[.]dsultra[.]com/js/registrar.js加載一個(gè)潛在的惡意JavaScript。

腳本的部分代碼片段如下所示，頁(yè)面加載后，將執(zhí)行dL函數(shù)，它向hashtag.sslproviders[.]net發(fā)送帶有URL、引用者、時(shí)間戳和cookie信息的請(qǐng)求。注意，特定的子域會(huì)隨著腳本的重新加載而改變。然后，它會(huì)監(jiān)聽bL函數(shù)中的響應(yīng)，并通過更改parent.top.window.location.href值將用戶的瀏覽器重定向到接收到的任何目標(biāo)。盡管在許多觀察到的情況下，腳本在響應(yīng)中均未收到新的目標(biāo)URL，但腳本本身最終可以充當(dāng)潛在的惡意任意URL重定向器。

??

在許多以冠狀病毒為主題的寄存域中發(fā)現(xiàn)的惡意重定向器的部分代碼段

冠狀病毒域的IP日志

??

服務(wù)于IP記錄器的coronavirus-game[.]ru

一些內(nèi)容豐富的與冠狀病毒相關(guān)的網(wǎng)站也會(huì)包括可疑的腳本，這類腳本的一個(gè)很好的例子是IP日志記錄器，例如在coronavirus-game[.]ru 中，這是一個(gè)模糊的腳本，它刪除了一個(gè)不可見的iframe，該iframe將用戶的IP地址發(fā)送到合法的IP日志記錄服務(wù)iplogger[.]org。

具有(無效)加密劫持腳本的冠狀病毒網(wǎng)站

??

coronavirusinrealtime[.]com上的瀏覽器密碼劫持失敗

有趣的是，我們注意到許多新的冠狀病毒網(wǎng)站，例如 coronamasksupply[.]com和 coronavirusinrealtime[.]com 都在瀏覽器內(nèi)嵌入了無效的貨幣挖掘代碼，如上圖所示。大多數(shù)使用過時(shí)的Coinhive服務(wù)，或者Webminerpool和Crypto-Loot腳本已過時(shí)，因此無法加載相應(yīng)的挖掘庫(kù)或無法與不再活動(dòng)的Websocket端點(diǎn)建立連接。我們懷疑這些攻擊者是從其較舊的網(wǎng)站復(fù)制粘貼以前的攻擊代碼，而沒有檢查代碼是否仍在工作。同樣，即使利用與大流行相關(guān)信息的普及的內(nèi)容豐富的網(wǎng)頁(yè)也無法成功執(zhí)行加密劫持，從而在與過時(shí)的挖掘端點(diǎn)的websocket連接上接收到錯(cuò)誤。

此外，我們還發(fā)現(xiàn)了在瀏覽器中工作的加密腳本示例，例如位于coronashirts[.]store中的JSE-coin。

總結(jié)

總有人會(huì)發(fā)災(zāi)難財(cái)，甚至沒有任何的道德底線，比如這次新冠肺炎疫情。

就冠狀病毒而言，我們觀察到每天注冊(cè)的與冠狀病毒相關(guān)的域名數(shù)量急劇增加，與用戶對(duì)大流行的興趣上升相吻合。令人擔(dān)憂的是，與2月至3月相比，我們發(fā)現(xiàn)惡意冠狀病毒NRD的每日平均每日數(shù)量增加了569%，而高風(fēng)險(xiǎn)域的平均每日數(shù)量增加了788%。自1月1日以來，我們發(fā)現(xiàn)了2,022個(gè)惡意和40261個(gè)高風(fēng)險(xiǎn)NRD。我們發(fā)現(xiàn)這些域名被用于各種惡意目的，包括惡意軟件傳播、網(wǎng)絡(luò)釣魚攻擊、詐騙和黑帽SEO。

在此，我提醒各位用戶，應(yīng)該高度懷疑任何帶有COVID-19主題的電子郵件或新注冊(cè)的網(wǎng)站，無論他們聲稱擁有什么信息、測(cè)試工具或治療方法。應(yīng)該特別注意檢查域名的合法性和安全性，例如確保域名是合法域名，舉個(gè)例子，比如google[.]com 和 g00gle[.]com的區(qū)別，并且合法網(wǎng)站都會(huì)在域名的左側(cè)有一個(gè)鎖定圖標(biāo)，這是用來確保有效的HTTPS連接的。對(duì)于任何以COVID-19為主題的電子郵件，都應(yīng)采安全地打開方法，比如查看發(fā)件人的電子郵件地址通常會(huì)發(fā)現(xiàn)該內(nèi)容可能不合法。

為了保護(hù)用戶免受黑客的侵害，關(guān)于URL過濾的最佳做法建議是禁止訪問“新注冊(cè)的域名”類別。但是，如果你不能阻止對(duì)“新注冊(cè)的域”類別的訪問，則我們的建議是對(duì)這些URL強(qiáng)制實(shí)施SSL解密以提高可見性，阻止用戶下載諸如PowerShell和可執(zhí)行文件之類的危險(xiǎn)文件類型，以應(yīng)用更為嚴(yán)格的威脅防護(hù)策略，并在訪問新注冊(cè)的域時(shí)增加日志記錄。我們還建議使用DNS層保護(hù)，因?yàn)槲覀冎莱^80%的惡意軟件都使用DNS建立C2。

關(guān)于此文中明確概述的攻擊和IOC，我們已采取以下步驟來實(shí)施最佳檢測(cè)和預(yù)防機(jī)制：

• 對(duì)域、IP地址和URL適當(dāng)分類;
• 所有樣本的均已更新或驗(yàn)證;
• 創(chuàng)建、更新或驗(yàn)證入侵防御系統(tǒng)簽名。