濫用HTTPS站點隱藏的/.well-known/目錄傳播惡意軟體

WordPress和Joomla是最流行的內容管理系統（Content Management Systems, CMS），因為其流行性也成為網路犯罪分子攻擊的目標。過去幾周，ThreatLabZ的安全研究人員就發現多起WordPress和Joomla站點服務於Shade/Troldesh勒索軟體、後門和釣魚頁面的情況。CMS站點最常見的威脅就是插件、主題和擴展等引入的漏洞。

本文中主要介紹上個月上百個被黑的CMS站點中發現的Shade/Troldesh勒索軟體和釣魚頁面。

研究人員分析發現被黑的WordPress站點都使用v 4.8.9到5.1.1版本，並且都使用Automatic Certificate Management Environment (ACME)相關的證書機構辦法的SSL證書，比如Let』s Encrypt, GlobalSign, cPanel,和DigiCert。這些被黑的WordPress站點都使用過期的CMS插件、主題、或服務端軟體。

圖1:檢測到的CMS站點中Shade和釣魚情況的數量

研究人員對這些被黑的HTTPS站點進行了持續監控，發現攻擊者利用HTTPS中/.well-known/隱藏目錄來保存和分發Shade勒索軟體和釣魚頁面。

站點中隱藏的/.well-known/目錄是IETF定義的知名站點的URI前綴，常被用來證明域名的所有權。使用ACME來管理SSL證書的HTTPS站點的管理員會將唯一的token放置在/.well-known/acme-challenge/或/.well-known/pki-validation/目錄中來表明控制該域名的CA。CA會在特定目錄中的HTML頁面發送特定的代碼，CA也會掃描該代碼來驗證域名的有效性。

攻擊者使用這些位置來隱藏惡意軟體和釣魚頁面以免被管理員發現。這種技術非常有效，因為目錄已經存在於HTTPS站點中了，而且是隱藏的，這就增加了惡意內容在被黑站點中存活的時間。

研究人員統計了上個月在隱藏目錄中的不同威脅的種類，總結如下圖所示：

圖2:隱藏目錄中的威脅

圖3: 隱藏目錄中的Shade勒索軟體和釣魚頁面

Case 1:隱藏目錄中的Shade/Troldesh勒索軟體

下圖是上個月研究人員在隱藏目錄中發現的Shade/Troldesh勒索軟體的情況：

圖4: 上個月隱藏目錄中發現的Shade/Troldesh勒索軟體

在Shade/Troldesh勒索軟體的案例中，每個被黑的站點都有3種類型的文件：分別是HTML，zip和EXE (.jpg)，如下圖所示：

圖5: 隱藏在SSL驗證目錄中的Shade

inst.htm和thn.htm是用來重定向來下載ZIP文件的HTML文件。

reso.zip, rolf.zip和stroi-invest.zip是含有JS文件的ZIP文件。

msg.jpg和msges.jpg是Shade勒索軟體可執行文件，也就是EXE文件。

圖6: Shade感染鏈

Troldesh主要是通過含有zip附件或到HTML重定向頁面的鏈接進行傳播的，該重定向頁面最終也會下載zip文件。惡意垃圾郵件假裝是一個訂單更新的郵件，示例如下：

圖7 惡意垃圾郵件

圖8: 下載ZIP文件的重定向器

ZIP文件只含有俄文名字的JS文件。JS文件是嚴重混淆過的，加密的字元串只有在運行時才通過下面的函數解密。

圖9: 解密函數

解密後，JS的功能如下所示，會嘗試連接到以下2個URL之一，並將payload下載到%TEMP%文件夾中並執行。

下載的payload是Shade/Troldesh勒索軟體的一個新變種，該勒索軟體從2014年就開始活躍了，分別有custom和UPX兩層打包。解包後，會將配置文件保存在HKEY_LOCAL_MACHINESOFTWARESystem32Configuration中。

圖11: Shade配置數據

·xcnt = Count of encrypted files加密文件的數量

·xi = ID of infected machine被感染機器的ID

·xpk = RSA public key for encryption加密用的RSA公鑰

·xVersion = Version of current Shade ransomware當前Shade勒索軟體的本報

C2伺服器域名為a4ad4ip2xzclh6fd[.]onion。會在%TEMP%目錄中釋放一個TOR客戶端來連接到C2伺服器。對每個文件，文件的內容和文件名都使用AES-256在cbc模式下用兩個不同的密鑰進行加密。解密後，會將文件名修改為BASE64(AES(file_name)).ID_of_infected_machine.crypted000007。

圖12: 加密的文件

還會在%ProgramData%Windowscsrss.exe中釋放一個惡意軟體本身的副本，並用名BurnAware做為該副本的運行入口。它會釋放README1.txt到README10.txt到桌面，並把牆紙修改成下面的樣子。

README.txt中有英文和俄文的勒索信息。

圖14: Shade勒索信

圖15: Zscaler對Shade/Troldesh勒索軟體的沙箱報告

Case 2:隱藏目錄中的釣魚頁面

下圖是研究人員上個月檢測到的隱藏目錄中的釣魚頁面的類型：

圖16: 上個月的釣魚頁面

研究人員發現SSL驗證相關的隱藏目錄中的釣魚頁面與Office 365, Microsoft, DHL, Dropbox, Bank of America, Yahoo, Gmail等相關。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！