CDN可能是罪魁禍?zhǔn)祝繃?guó)內(nèi)最大IT社區(qū)CSDN被掛馬！

安全 2024-12-12 22:29

聲明：該文章來(lái)自（奇安信威脅情報(bào)中心）版權(quán)由原作者所有，K2OS渲染引擎提供網(wǎng)頁(yè)加速服務(wù)。

奇安信威脅情報(bào)中心在日常監(jiān)控中觀察到 analyzev.oss-cn-beijing.aliyuncs.com 惡意域名的訪問(wèn)量從 9 月初陡增，一直持續(xù)到 9 月底，在此期間并沒(méi)有觀察到可疑的 payload，只有一些奇怪的 js，之后進(jìn)入了一段時(shí)間的潛伏期。

直到 10 月底開(kāi)始爆發(fā)，并且觀察到惡意的 payload 程序。

URL

hxxps://analyzev.oss-cn-beijing.aliyuncs.com/update.exe
hxxps://analyzev.oss-cn-beijing.aliyuncs.com/ntp.exe
hxxps://analyzev.oss-cn-beijing.aliyuncs.com/flash_update.exe
hxxps://analyzev.oss-cn-beijing.aliyuncs.com/ntp_windows.exe

網(wǎng)絡(luò)日志顯示在請(qǐng)求上述 URL 時(shí)的 Referer 字段都是 CSDN 的正常博客，非常奇怪。

Referer

hxxps://blog.csdn.net/Liuyanan990830/article/details/139475453
hxxps://blog.csdn.net/A186886/article/details/135279820
hxxps://blog.csdn.net/gitblog_06638/article/details/142569162
hxxps://blog.csdn.net/qq_44741577/article/details/139236697
hxxps://blog.csdn.net/jsp13270124/article/details/100738172

基于相關(guān)日志最終確認(rèn) CSDN 被掛馬，并且成功復(fù)現(xiàn)。

加載了額外的 js：

Js

https://analyzev.oss-cn-beijing.aliyuncs.com/jquery-statistics.js

基于奇安信全球鷹測(cè)繪數(shù)據(jù)，國(guó)內(nèi)大量網(wǎng)站正文頁(yè)面中包含該惡意域名，其中包含政府、互聯(lián)網(wǎng)、媒體等網(wǎng)站：

所涉及的域名均掛有 CDN，對(duì)應(yīng)IP也都為 CDN 節(jié)點(diǎn)，由于我們?nèi)狈Υ缶W(wǎng)數(shù)據(jù)，只能推測(cè) CDN 廠商疑似被污染。jquery-statistics.js 解混淆后邏輯如下：

獲取本機(jī)的 IP 與內(nèi)置的IP列表進(jìn)行比對(duì)，如果匹配成功，則跳轉(zhuǎn)到下一個(gè) js，該 js 主要用來(lái)釣魚，頁(yè)面如下：

誘導(dǎo)有害者更新證書，下載上述 payload 并執(zhí)行，這一階段的釣魚 js 有多種，還觀察到 flash 更新頁(yè)面，正常情況下受害者會(huì)誤以為該頁(yè)面是瀏覽器的更新請(qǐng)求，手動(dòng)下載該 payload 并執(zhí)行從而導(dǎo)致中招。

我們對(duì)內(nèi)置的 IP 列表進(jìn)行了分析，攻擊者似乎比較關(guān)注媒體行業(yè)。

木馬分析

初始 payload 一般帶有簽名：

MD5	Name	簽名
0b42839d1d07f93f2c92c61416d589c3	sslupdate.exe	Octopus ?Data Inc.
cafe15fde16f915c014cc383b9503681 dc0d62cb42a56a3fd7458a2f5519f4cc	ntp_windows.exe	Chengdu Nuoxin Times Technology Co., Ltd.
eba2a788cf414ab9674a84ed94b25d46	flash_update.exe	Chengdu ?Nuoxin Times Technology Co., Ltd.

相關(guān)樣本在 VT 上 0 查殺：

目前奇安信天擎已經(jīng)可以對(duì)上述樣本進(jìn)行查殺：

sslupdate.exe 是個(gè) downloader，首先解密出要鏈接的 C2：server.centos.ws:8848。

之后連接 C2 并發(fā)送數(shù)據(jù)。

發(fā)送和接收的數(shù)據(jù)包有固定前綴特征 64 6D 07 08。

之后 recv 接收數(shù)據(jù)，收到的數(shù)據(jù)是個(gè) .NET DLL。

接收完畢后會(huì)加載 CLR 執(zhí)行該 DLL，調(diào)用其導(dǎo)出函數(shù) Client.Program.Start。

此 DLL 是個(gè)特馬，將其配置信息加密后以 Base64 形式存儲(chǔ)，解密后如下，C2 與 Loader 一致。

該后門的插件需要攻擊者手動(dòng)下發(fā)。

溯源分析

jquery-statistics.js 中的 IP 列表除了國(guó)內(nèi)的目標(biāo) IP 之外還包含了一些境外 IP，推測(cè)可能是攻擊者的測(cè)試 IP 或者境外目標(biāo)，境外 IP 大部分為 p2p 節(jié)點(diǎn)和 tor 節(jié)點(diǎn)，如果將其當(dāng)作目標(biāo)很難入侵到對(duì)應(yīng)的人員。

基于奇安信 xlab 的僵尸網(wǎng)絡(luò)數(shù)據(jù) 80.67.167.81 的 tor 節(jié)點(diǎn)最近非?；钴S，使用jenkins RCE Nday 漏洞投遞 lucifer 團(tuán)伙的挖礦木馬。

該 tor 節(jié)點(diǎn)似乎由法國(guó)的 NGO 組織提供，目前已經(jīng)被黑灰產(chǎn)團(tuán)伙所利用，如果是測(cè)試 IP，那么本次活動(dòng)可能與 lucifer 團(tuán)伙有關(guān)。

總結(jié)

目前，基于奇安信威脅情報(bào)中心的威脅情報(bào)數(shù)據(jù)的全線產(chǎn)品，包括奇安信威脅情報(bào)平臺(tái)（TIP）、天擎、天眼高級(jí)威脅檢測(cè)系統(tǒng)、奇安信NGSOC、奇安信態(tài)勢(shì)感知等，都已經(jīng)支持對(duì)此類攻擊的精確檢測(cè)。