滥用HTTPS站点隐藏的/.well-known/目录传播恶意软件

WordPress和Joomla是最流行的内容管理系统（Content Management Systems, CMS），因为其流行性也成为网络犯罪分子攻击的目标。过去几周，ThreatLabZ的安全研究人员就发现多起WordPress和Joomla站点服务于Shade/Troldesh勒索软件、后门和钓鱼页面的情况。CMS站点最常见的威胁就是插件、主题和扩展等引入的漏洞。

本文中主要介绍上个月上百个被黑的CMS站点中发现的Shade/Troldesh勒索软件和钓鱼页面。

研究人员分析发现被黑的WordPress站点都使用v 4.8.9到5.1.1版本，并且都使用Automatic Certificate Management Environment (ACME)相关的证书机构办法的SSL证书，比如Let’s Encrypt, GlobalSign, cPanel,和DigiCert。这些被黑的WordPress站点都使用过期的CMS插件、主题、或服务端软件。

图1:检测到的CMS站点中Shade和钓鱼情况的数量

研究人员对这些被黑的HTTPS站点进行了持续监控，发现攻击者利用HTTPS中/.well-known/隐藏目录来保存和分发Shade勒索软件和钓鱼页面。

站点中隐藏的/.well-known/目录是IETF定义的知名站点的URI前缀，常被用来证明域名的所有权。使用ACME来管理SSL证书的HTTPS站点的管理员会将唯一的token放置在/.well-known/acme-challenge/或/.well-known/pki-validation/目录中来表明控制该域名的CA。CA会在特定目录中的HTML页面发送特定的代码，CA也会扫描该代码来验证域名的有效性。

攻击者使用这些位置来隐藏恶意软件和钓鱼页面以免被管理员发现。这种技术非常有效，因为目录已经存在于HTTPS站点中了，而且是隐藏的，这就增加了恶意内容在被黑站点中存活的时间。

研究人员统计了上个月在隐藏目录中的不同威胁的种类，总结如下图所示：

图2:隐藏目录中的威胁

图3: 隐藏目录中的Shade勒索软件和钓鱼页面

Case 1:隐藏目录中的Shade/Troldesh勒索软件

下图是上个月研究人员在隐藏目录中发现的Shade/Troldesh勒索软件的情况：

图4: 上个月隐藏目录中发现的Shade/Troldesh勒索软件

在Shade/Troldesh勒索软件的案例中，每个被黑的站点都有3种类型的文件：分别是HTML，zip和EXE (.jpg)，如下图所示：

图5: 隐藏在SSL验证目录中的Shade

inst.htm和thn.htm是用来重定向来下载ZIP文件的HTML文件。

reso.zip, rolf.zip和stroi-invest.zip是含有JS文件的ZIP文件。

msg.jpg和msges.jpg是Shade勒索软件可执行文件，也就是EXE文件。

图6: Shade感染链

Troldesh主要是通过含有zip附件或到HTML重定向页面的链接进行传播的，该重定向页面最终也会下载zip文件。恶意垃圾邮件假装是一个订单更新的邮件，示例如下：

图7 恶意垃圾邮件

图8: 下载ZIP文件的重定向器

ZIP文件只含有俄文名字的JS文件。JS文件是严重混淆过的，加密的字符串只有在运行时才通过下面的函数解密。

图9: 解密函数

解密后，JS的功能如下所示，会尝试连接到以下2个URL之一，并将payload下载到%TEMP%文件夹中并执行。

图10: 简化的JavaScript代码

下载的payload是Shade/Troldesh勒索软件的一个新变种，该勒索软件从2014年就开始活跃了，分别有custom和UPX两层打包。解包后，会将配置文件保存在HKEY_LOCAL_MACHINE\SOFTWARE\System32\Configuration中。

图11: Shade配置数据

· xcnt = Count of encrypted files加密文件的数量

· xi = ID of infected machine被感染机器的ID

· xpk = RSA public key for encryption加密用的RSA公钥

· xVersion = Version of current Shade ransomware当前Shade勒索软件的本报

C2服务器域名为a4ad4ip2xzclh6fd[.]onion。会在%TEMP%目录中释放一个TOR客户端来连接到C2服务器。对每个文件，文件的内容和文件名都使用AES-256在cbc模式下用两个不同的密钥进行加密。解密后，会将文件名修改为BASE64(AES(file_name)).ID_of_infected_machine.crypted000007。

图12: 加密的文件

还会在%ProgramData%\Windows\csrss.exe中释放一个恶意软件本身的副本，并用名BurnAware做为该副本的运行入口。它会释放README1.txt到README10.txt到桌面，并把墙纸修改成下面的样子。

图13: Shade墙纸

README.txt中有英文和俄文的勒索信息。

图14: Shade勒索信

图15: Zscaler对Shade/Troldesh勒索软件的沙箱报告

Case 2:隐藏目录中的钓鱼页面

下图是研究人员上个月检测到的隐藏目录中的钓鱼页面的类型：

图16: 上个月的钓鱼页面

研究人员发现SSL验证相关的隐藏目录中的钓鱼页面与Office 365, Microsoft, DHL, Dropbox, Bank of America, Yahoo, Gmail等相关。

图17: OneDrive钓鱼页面

图18: Yahoo钓鱼页面

 图19: DHL钓鱼页面