濫用HTTPS站點隱藏的/.well-known/目錄傳播惡意軟體
WordPress和Joomla是最流行的內容管理系統(Content Management Systems, CMS),因為其流行性也成為網路犯罪分子攻擊的目標。過去幾周,ThreatLabZ的安全研究人員就發現多起WordPress和Joomla站點服務於Shade/Troldesh勒索軟體、後門和釣魚頁面的情況。CMS站點最常見的威脅就是插件、主題和擴展等引入的漏洞。
本文中主要介紹上個月上百個被黑的CMS站點中發現的Shade/Troldesh勒索軟體和釣魚頁面。
研究人員分析發現被黑的WordPress站點都使用v 4.8.9到5.1.1版本,並且都使用Automatic Certificate Management Environment (ACME)相關的證書機構辦法的SSL證書,比如Let』s Encrypt, GlobalSign, cPanel,和DigiCert。這些被黑的WordPress站點都使用過期的CMS插件、主題、或服務端軟體。
圖1:檢測到的CMS站點中Shade和釣魚情況的數量
研究人員對這些被黑的HTTPS站點進行了持續監控,發現攻擊者利用HTTPS中/.well-known/隱藏目錄來保存和分發Shade勒索軟體和釣魚頁面。
站點中隱藏的/.well-known/目錄是IETF定義的知名站點的URI前綴,常被用來證明域名的所有權。使用ACME來管理SSL證書的HTTPS站點的管理員會將唯一的token放置在/.well-known/acme-challenge/或/.well-known/pki-validation/目錄中來表明控制該域名的CA。CA會在特定目錄中的HTML頁面發送特定的代碼,CA也會掃描該代碼來驗證域名的有效性。
攻擊者使用這些位置來隱藏惡意軟體和釣魚頁面以免被管理員發現。這種技術非常有效,因為目錄已經存在於HTTPS站點中了,而且是隱藏的,這就增加了惡意內容在被黑站點中存活的時間。
研究人員統計了上個月在隱藏目錄中的不同威脅的種類,總結如下圖所示:
圖2:隱藏目錄中的威脅
圖3: 隱藏目錄中的Shade勒索軟體和釣魚頁面
Case 1:隱藏目錄中的Shade/Troldesh勒索軟體
下圖是上個月研究人員在隱藏目錄中發現的Shade/Troldesh勒索軟體的情況:
圖4: 上個月隱藏目錄中發現的Shade/Troldesh勒索軟體
在Shade/Troldesh勒索軟體的案例中,每個被黑的站點都有3種類型的文件:分別是HTML,zip和EXE (.jpg),如下圖所示:
圖5: 隱藏在SSL驗證目錄中的Shade
inst.htm和thn.htm是用來重定向來下載ZIP文件的HTML文件。
reso.zip, rolf.zip和stroi-invest.zip是含有JS文件的ZIP文件。
msg.jpg和msges.jpg是Shade勒索軟體可執行文件,也就是EXE文件。
圖6: Shade感染鏈
Troldesh主要是通過含有zip附件或到HTML重定向頁面的鏈接進行傳播的,該重定向頁面最終也會下載zip文件。惡意垃圾郵件假裝是一個訂單更新的郵件,示例如下:
圖7 惡意垃圾郵件
圖8: 下載ZIP文件的重定向器
ZIP文件只含有俄文名字的JS文件。JS文件是嚴重混淆過的,加密的字元串只有在運行時才通過下面的函數解密。
圖9: 解密函數
解密後,JS的功能如下所示,會嘗試連接到以下2個URL之一,並將payload下載到%TEMP%文件夾中並執行。
下載的payload是Shade/Troldesh勒索軟體的一個新變種,該勒索軟體從2014年就開始活躍了,分別有custom和UPX兩層打包。解包後,會將配置文件保存在HKEY_LOCAL_MACHINESOFTWARESystem32Configuration中。
圖11: Shade配置數據
·xcnt = Count of encrypted files加密文件的數量
·xi = ID of infected machine被感染機器的ID
·xpk = RSA public key for encryption加密用的RSA公鑰
·xVersion = Version of current Shade ransomware當前Shade勒索軟體的本報
C2伺服器域名為a4ad4ip2xzclh6fd[.]onion。會在%TEMP%目錄中釋放一個TOR客戶端來連接到C2伺服器。對每個文件,文件的內容和文件名都使用AES-256在cbc模式下用兩個不同的密鑰進行加密。解密後,會將文件名修改為BASE64(AES(file_name)).ID_of_infected_machine.crypted000007。
圖12: 加密的文件
還會在%ProgramData%Windowscsrss.exe中釋放一個惡意軟體本身的副本,並用名BurnAware做為該副本的運行入口。它會釋放README1.txt到README10.txt到桌面,並把牆紙修改成下面的樣子。
README.txt中有英文和俄文的勒索信息。
圖14: Shade勒索信
圖15: Zscaler對Shade/Troldesh勒索軟體的沙箱報告
Case 2:隱藏目錄中的釣魚頁面
下圖是研究人員上個月檢測到的隱藏目錄中的釣魚頁面的類型:
圖16: 上個月的釣魚頁面
研究人員發現SSL驗證相關的隱藏目錄中的釣魚頁面與Office 365, Microsoft, DHL, Dropbox, Bank of America, Yahoo, Gmail等相關。
TAG:嘶吼RoarTalk |