1 摘要
2 概述
2024年9月8日,推特社交平台上有一位安全研究员发布了一则C2的IP地址及其相关文件信息,如下图所示。
我们基于该C2的IP线索89.197.154.116,使用ZoomEye平台,来进行C2资产拓线。
3 摸底C2服务器
3.1 开放端口
我们首先使用ZoomEye平台搜索该C2 IP地址89.197.154.116(下文简称“IP地址A”)的信息,如下图所示,发现“IP地址A”位于英国伦敦,开放两个端口:80和3000,两个端口均为HTTP服务。
ZoomEye平台搜索语句为 ip:89.197.154.116
我们访问“IP地址A”80端口的HTTP服务,发现“IP地址A”的服务器上存放了多个文件。图3是2024年9月10日访问的页面截图,图4是2024年9月13日访问的页面截图。对比两张示意图,发现该黑客组织在2024年9月12日更新了5个文件。
3.2文件分析
我们对服务器上的文件进行网络行为分析,发现这些文件多为C2(CobaltStrike)木马文件,其中大部分在近期被人提交至互联网恶意软件分析平台进行过分析。结合上文中黑客组织在2024年9月12日更新5个文件的信息,可以推断出黑客攻击者在近期时间内处于活跃的攻击状态。
此外,还发现“IP地址A”服务器上C2通信端口为7810端口。
经过对服务器上的文件hash值进行比对,发现文件“lazagne.exe”是一个GitHub开源应用程序,用于检索存储在本地计算机上的密码;文件“AvosLocker.exe”是2021年新兴勒索组织AvosLocker所使用的勒索软件,根据国家关键基础设施安全应急响应中心在2021年09月17日的《近期活跃的四个新型勒索软件组织分析》报告 [2] 来看,该组织于2021年6月底开始活动,在2021年7月4日首次被发现。
2024年9月12日,“IP地址A”服务器新增文件中有一个名为“Meeting.exe”的文件,经过分析发现该文件运行后会释放icon.exe、word.png、word_favicon.ico三个文件,其中icon.exe运行后会与“IP地址A”服务器自身建立连接。
3.3结论
基于以上信息,我们可以猜测:
-
“IP地址A”服务器资产疑似属于AvosLocker勒索组织,攻击者使用C2控制端控制失陷主机,通过收集密码等方式进一步横向拓展来传播勒索程序
-
截止2024年9月12日,“IP地址A”服务器资产仍处于使用状态,该组织仍在活跃
4 拓线C2资产
4.1 基于资产特征拓线
通过ZoomEye平台查看“IP地址A”的资产详情,如下图所示,主机名为“89-197-154-116.virtual1.co.uk”,形式为“–––.virtual1.co.uk”,存在一定的特征;自治系统编号为“AS47474”。
我们利用主机名的特征,结合其80端口页面标题“Index of /”的特征(参见图3),通过如下搜索语句在ZoomEye上平台进行查询。
hostname:”.virtual1.co.uk” +title:”Index of /”
查询获取17条结果,结果IP地址均位于英国,详细信息如下表所示。我们针对这17条结果依次排查,并对2个IP地址“89.197.154.115”和“193.117.208.148”进行详细描述。
| IP地址 | 端口 | 测绘时间 | 存活状态 |
|---|---|---|---|
| 193.117.208.154 | 80 | 2021-05-28T14:09:48 | 存活 |
| 89.197.85.226 | 8080 | 2021-09-18T19:45:15 | |
| 89.197.199.219 | 443 | 2023-02-14T18:25:33 | |
| 193.117.232.154 | 80 | 2022-03-25T05:52:54 | |
| 193.117.208.149 | 80 | 2022-12-16T05:20:27 | |
| 193.115.235.251 | 80 | 2024-07-20T22:49:12 | |
| 193.115.218.2 | 443 | 2024-07-17T02:30:56 | 存活 |
| 89.197.94.11 | 4443 | 2024-07-16T05:34:49 | |
| 193.117.209.43 | 10443 | 2024-07-01T22:00:34 | |
| 193.117.238.38 | 443 | 2023-06-20T21:11:26 | |
| 193.117.208.148 | 80 | 2024-04-16T04:07:58 | |
| 193.117.208.101 | 80 | 2024-09-10T18:46:37 | 存活 |
| 193.115.235.251 | 443 | 2024-07-17T02:30:34 | 存活 |
| 193.117.210.47 | 10443 | 2023-07-23T00:40:39 | |
| 89.197.154.116 | 80 | 2024-07-20T14:42:53 | 存活 |
| 89.197.198.150 | 443 | 2024-04-19T14:01:23 | |
| 89.197.154.115 | 80 | 2024-07-20T14:43:05 | 存活 |
4.2 IP地址89.197.154.115
首先排查与“IP地址A”位于同一个C段的相邻IP地址“89.197.154.115”(下文简称“IP地址B”)。
根据zoomeye平台测绘数据来看,“IP地址B”开放了80端口,提供HTTP服务。我们访问“IP地址B”80端口的HTTP服务,如下图所示,发现“IP地址B”服务器与“IP地址A”类似,存放着多个文件。
这些文件时间的最早日期为2024年7月11日,推测“IP地址B”服务器在2024年7月11日之前就已经被黑客组织所使用。
我们对各个文件进行分析,发现“IP地址B”服务器C2通信端口为7700,文件名与木马运行方式与“IP地址A”高度类似,且两者都使用“Debian”操作系统和“Apache httd”服务软件。
针对文件“UpdaterLOC.dll”文件的分析中,发现该文件中绑定的C2服务器回连地址“192.168.180.11”是内网地址。回连地址为内网地址的原因,大概率是攻击者为定向攻击活动做准备,测试C2木马能否通过免杀正常回连上线;也不排除是为攻击目标内部网络横向拓展,但受网络限制因素只能回连上线至内网IP地址主机。
其中有一个名为“meeting.sfx.exe”的文件,与“IP地址A”服务器上“Meeting.exe”的文件命名相似。经过分析发现该文件运行后会释放word.png、Meeting.exe两个文件,其中Meeting.exe运行后会与“IP地址B”服务器自身建立连接。
实际运行“meeting.sfx.exe”的文件,发现其伪装成一个安装包,当用户双击运行之后并不会立即上线到C2,而是在用户点击“Install”按钮之后再释放用于上线C2的“Meeting.exe”,同时还会打开一个正常的png图片用于迷惑攻击目标,如下方图12所示。
与章节3.2中的分析进行对比,“IP地址A”服务器的“Meeting.exe”文件具有极其类似的行为,区别在于释放的迷惑文件不一样。
综合以上分析结果,我们推断“IP地址B”和“IP地址A”归属于同一个黑客组织。
4.3 IP地址193.117.208.148
IP地址193.117.208.148 (下文简称“IP地址C”)的端口服务,当前已经无法访问,但是通过ZoomEye平台历史测绘数据,可以看到该IP服务器上曾存在过一些文件。
文件列表:
Journal.exe 2024-04-12 15:37 321k
Organiser.zip 2024-04-08 20:07 2.4k
Session.exe 2024-04-08 15:54 19k
这些文件的命名与“IP地址A”、“IP地址B”服务器文件命名非常类似,同样是使用“Debian”操作系统和“Apache httd”服务软件。
鉴于“IP地址C”的ASN、运营商、主机名等信息与“IP地址A”、“IP地址B”都保持一致,因此判断“IP地址C”也曾经归属于同一个黑客组织,目前已经被下线不再使用。
4.4 基于ASN编号二次拓线
介于目前已获得的IOC资产具有很强的地域性,于是将ASN作为特征再次进行C2资产拓线,通过如下搜索语句在ZoomEye上平台进行查询。
asn:47474 +title:”Index of /” +”HTTP/1.1 200 OK”
查询获取26条结果,结果IP地址均位于英国。我们逐个对这些IP地址进行精细化检索排查,筛选出与C2相关的IP地址,信息如下表所示。我们针对这些结果依次排查,并对IP地址 “193.117.208.101”进行详细描述。
| IP地址 | C2通信端口 |
|---|---|
| IP地址A 89.197.154.116 | 7810 |
| IP地址B 89.197.154.115 | 7700 |
| IP地址C 193.117.208.148 | 7800 |
| 193.117.208.101 | 7777 |
| 193.117.208.106 | 7100 |
| 193.117.208.107 | 7200 |
4.5 IP地址193.117.208.101
IP地址193.117.208.101(下文简称“IP地址D”)服务器上的木马文件命名与“IP地址A”、“IP地址B”、“IP地址C”的风格不同,但是在其服务器上发现了一个文件“Cloudshare.vbs”,该文件与“IP地址A”服务器上的文件高度相似。
“IP地址D”服务器上文件“Cloudshare.vbs”与“IP地址A”服务器上文件“Macro.vbs”进行对比可以发现,两个文件除了混淆变量不同,其他内容完全一致。
通过沙箱可以直观查看到两个程序的执行路径,首先释放文件“wscript.exe”文件,然后再次释放一个随机名称的exe文件,C2回连至自身服务器。两个文件的行为近乎一致。
“IP地址A”服务器上文件“Macro.vbs”的执行路径如下图所示:
“IP地址D”服务器上文件“Cloudshare.vbs” 的执行路径如下图所示:
基于以上信息,我们判断“IP地址D”也是属于该组织的资产。值得一提的是,在2024年9月10日挖掘到该资产时,服务器可以如图15所示正常访问并下载样本,而2024年9月11日该站已经关闭无法访问,极有可能是10日在使用ZoomEye平台在线更新数据的时候,测绘行为引起了相关攻击者的注意,这说明攻击者拥有较高的警惕性。
使用ZoomEye平台检索“IP地址D”资产信息的时候,发现其端口7777为C2通信端口,banner信息有较强的特征性;在章节4.1拓线结果列表中的一个IP地址193.117.208.154(下文简称“IP地址E”),其7100端口banner信息与“IP地址D”的banner信息是一致的。
我们推测是CobaltStrike使用了相同的profile文件来实现隐匿效果,因此我们基于这个Banner特征再次进行拓线。
4.6 基于Banner特征再次拓线
从“IP地址D”端口7777的banner中,提取特征构造zoomeye语法进行搜索,找到803 条结果。
(“alt=”IIS7″ width=”571″ height=”411″”+”Expires: 0″ +title:”IIS7”)
目前获得C2资产的通信端口全部都集中在7000到8000,因此我们通过ZoomEye聚合分析功能来查看搜索结果的端口统计,如下图所示,找到位于7000到8000之间的端口:7777、7000、7070和7100。
同时结合ASN编号特征在ZoomEye平台进行搜索,找到2条结果,分别是:“IP地址D”和“IP地址E”。
(“alt=”IIS7″ width=”571″ height=”411″”+”Expires: 0″ +title:”IIS7”) + (port:7777 port:7000 port:7070 port:7100) + asn:47474
搜索结果只有“IP地址D”和“IP地址E”,说明这种Banner特征具备一定的特殊性,其他网络资产不太可能具备这样的特征。同时结合“IP地址D”、“IP地址E”与“IP地址C”位于同一个C段,我们判断“IP地址E” 也是属于该组织的资产。
4.7 木马文件简析
针对C2资产拓线过程中获取的众多木马样本文件进行分析,发现都是CobaltStrike和Metasploit的木马,具有原生木马的特征。
我们针对线索来源C2服务器上的文件“Journal.exe”,以及拓线获取的两个服务器上文件“TripVPN.exe”、“Set_up.exe”进行对比分析。
图23是这三个文件的PE文件属性,发现它们都具备Apache Bench(ab.exe)的特征信息,而该文件是Metasploit框架生成木马所使用默认模板。
图24和图25是“TripVPN.exe”的反编译信息,可以看到其中有“This is ApacheBench”的特征字符串,说明木马尝试使用。
“ApacheBench”信息来伪装成合法文件;出现了明文IP“193.117.208.101”,说明该文件经过加壳后,字符串未混淆。
由此,可以判
-
攻击者似乎并不具备独立开发C2的能力,攻击者只是对所有木马文件进行了相同的加壳处理;
-
拓线获取IP服务器木马文件,与线索来源C2服务器木马文件一样,都是CobaltStrike和Metasploit的木马,且文件属性基本一致,印证了这些IP服务器资产归属于同一个组织。
5 结语
本文基于推特社交平台上一则C2的IP地址及其相关文件信息,以此作为线索,进行资产拓线和木马文件分析。
我们通过使用ZoomEye平台进行C2资产拓线,发现了4个IP地址与线索来源IP地址同属一个黑客组织,并通过分析得到如下结论:
-
该黑客组织使用了AvosLocker.exe文件,与AvosLocker组织的勒索软件hash值一致,疑似为AvosLocker勒索组织
-
该黑客组织惯用CobaltStrike和Metasploit渗透框架,本次发现的所有C2木马样本均由CobaltStrike和Metasploit生成;攻击者似乎并不具备独立开发C2的能力,只是对所有木马文件进行了相同的加壳处理
-
该黑客组织C2的惯用通信端口在7000-8000之间
-
该黑客组织C2木马文件惯用Journal、Meeting进行命名
-
该黑客组织C2服务器资产集中在英国,其IP地址位于编号为47474的自治域
-
该黑客组织处于活跃状态,本文涉及服务器资产目前处于使用状态且频繁更新文件
-
该黑客组织惯用HTA、powershell、VBS等方式来加载恶意代码;近期开始使用捆绑等手法用于迷惑引导目标用户点击恶意程序
结合AvosLocker等勒索组织的RAAS化服务,整个组织体系分工明确、配合度很高,使用大众化的攻击工具来达成所预期的目标,说明原有的黑客炫技行为大大降低,朝着低门槛,大众化的发展方向进行。
IOC:
4b0e2e84828685ce5088e5504a0e9574e83c452e52ab6a25af101c31e1e1f714 d16eb8da5c5ce99f1a2e38677eff8d2ae532cb1ad0eddf10a311583004675960 64ffa88cf0b0129f4ececeb716e5577f65f1572b2cb6a3f4a0f1edc8cf0c3d4f efc499a1811ccdb91ec97daecb683b18c9193b6fe2dac087c6cf79a616b7550a 9a4106e091412d9bfe496224044cac352ccc303ac6f84650732eb1bd3a5060cf be7457b45ae1ecedaee4ee764b8cb7d807407e10ec05f952de9d8582b093ef5f a0b724fea63d02a4b665dfb5c047da345e949385758e6bdc20b3c42951c549e4 080be64f9d322aad325f29c6f90f03f5ea394a24affcdd9b6c2fc834d96e5a6f 1a2477e7a05ced92b8897b05b5343996364c64ddfec87c5aa4231b6ff9d7218c 2082e3ef2d3644c643cfa108c0e0da774eda43bb6fbd721b3eed9d518e6f8936 5839d7d67a82e7c93deafb5807391b3a0e12ab31b154cd3f8a7ff3318c14bd0b 5374d3d072c93828f4d1a0feaa8ce21e3c3c005849bdc2d1d92da3123b09a68f 7333d9620b2d6517b3c1d3c4abfb28299973478693bb588f07d8da2cdbf59a07 cdef916e83e2af8a4cf899526eb3032826feb8aad1824f8b9a1b7c52f3f84280 5e4365fd2f80dee215bee29d3aeab95088317d09141449faf0d655cc6094cf66 31a24d9835b55569b96d3eddf9aed12397a745a90bdb8b96e6658d4301a789c3 ea2663e1ea3e05fa44d57653a0fd28ee415847f2becfe6e32c3d06c00ad22012
89.197.154[.]116
89.197.154[.]115
193.117.208[.]148
193.117.208[.]101
193.117.208[.]154
6 参考链接
[1] ZoomEye 网络空间搜索引擎
https://www.zoomeye.org
[2] 近期活跃的四个新型勒索软件组织分析
原文始发于微信公众号(知道创宇404实验室):原创 Paper | 使用 ZoomEye 平台 进行 C2 资产拓线
