滥用HTTPS站点隐藏的/.well-known/目录传播恶意软件

ang010ela Web安全 2019年4月2日发布
Favorite收藏

导语:ThreatLabZ研究人员发现攻击者滥用HTTPS站点隐藏的/.well-known/目录传播勒索软件和钓鱼页面。

WordPress和Joomla是最流行的内容管理系统(Content Management Systems, CMS),因为其流行性也成为网络犯罪分子攻击的目标。过去几周,ThreatLabZ的安全研究人员就发现多起WordPress和Joomla站点服务于Shade/Troldesh勒索软件、后门和钓鱼页面的情况。CMS站点最常见的威胁就是插件、主题和扩展等引入的漏洞。

本文中主要介绍上个月上百个被黑的CMS站点中发现的Shade/Troldesh勒索软件和钓鱼页面。

研究人员分析发现被黑的WordPress站点都使用v 4.8.9到5.1.1版本,并且都使用Automatic Certificate Management Environment (ACME)相关的证书机构办法的SSL证书,比如Let’s Encrypt, GlobalSign, cPanel,和DigiCert。这些被黑的WordPress站点都使用过期的CMS插件、主题、或服务端软件。

图1:检测到的CMS站点中Shade和钓鱼情况的数量

研究人员对这些被黑的HTTPS站点进行了持续监控,发现攻击者利用HTTPS中/.well-known/隐藏目录来保存和分发Shade勒索软件和钓鱼页面。

站点中隐藏的/.well-known/目录是IETF定义的知名站点的URI前缀,常被用来证明域名的所有权。使用ACME来管理SSL证书的HTTPS站点的管理员会将唯一的token放置在/.well-known/acme-challenge/或/.well-known/pki-validation/目录中来表明控制该域名的CA。CA会在特定目录中的HTML页面发送特定的代码,CA也会扫描该代码来验证域名的有效性。

攻击者使用这些位置来隐藏恶意软件和钓鱼页面以免被管理员发现。这种技术非常有效,因为目录已经存在于HTTPS站点中了,而且是隐藏的,这就增加了恶意内容在被黑站点中存活的时间。

研究人员统计了上个月在隐藏目录中的不同威胁的种类,总结如下图所示:

图2:隐藏目录中的威胁

图3: 隐藏目录中的Shade勒索软件和钓鱼页面

Case 1:隐藏目录中的Shade/Troldesh勒索软件

下图是上个月研究人员在隐藏目录中发现的Shade/Troldesh勒索软件的情况:

图4: 上个月隐藏目录中发现的Shade/Troldesh勒索软件

在Shade/Troldesh勒索软件的案例中,每个被黑的站点都有3种类型的文件:分别是HTML,zip和EXE (.jpg),如下图所示:

图5: 隐藏在SSL验证目录中的Shade

inst.htm和thn.htm是用来重定向来下载ZIP文件的HTML文件。

reso.zip, rolf.zip和stroi-invest.zip是含有JS文件的ZIP文件。

msg.jpg和msges.jpg是Shade勒索软件可执行文件,也就是EXE文件。

图6: Shade感染链

Troldesh主要是通过含有zip附件或到HTML重定向页面的链接进行传播的,该重定向页面最终也会下载zip文件。恶意垃圾邮件假装是一个订单更新的邮件,示例如下:

图7 恶意垃圾邮件

图8: 下载ZIP文件的重定向器

ZIP文件只含有俄文名字的JS文件。JS文件是严重混淆过的,加密的字符串只有在运行时才通过下面的函数解密。

图9: 解密函数

解密后,JS的功能如下所示,会尝试连接到以下2个URL之一,并将payload下载到%TEMP%文件夹中并执行。

图10: 简化的JavaScript代码

下载的payload是Shade/Troldesh勒索软件的一个新变种,该勒索软件从2014年就开始活跃了,分别有custom和UPX两层打包。解包后,会将配置文件保存在HKEY_LOCAL_MACHINE\SOFTWARE\System32\Configuration中。

图11: Shade配置数据

· xcnt = Count of encrypted files加密文件的数量

· xi = ID of infected machine被感染机器的ID

· xpk = RSA public key for encryption加密用的RSA公钥

· xVersion = Version of current Shade ransomware当前Shade勒索软件的本报

C2服务器域名为a4ad4ip2xzclh6fd[.]onion。会在%TEMP%目录中释放一个TOR客户端来连接到C2服务器。对每个文件,文件的内容和文件名都使用AES-256在cbc模式下用两个不同的密钥进行加密。解密后,会将文件名修改为BASE64(AES(file_name)).ID_of_infected_machine.crypted000007。

图12: 加密的文件

还会在%ProgramData%\Windows\csrss.exe中释放一个恶意软件本身的副本,并用名BurnAware做为该副本的运行入口。它会释放README1.txt到README10.txt到桌面,并把墙纸修改成下面的样子。

图13: Shade墙纸

README.txt中有英文和俄文的勒索信息。

图14: Shade勒索信

图15: Zscaler对Shade/Troldesh勒索软件的沙箱报告

Case 2:隐藏目录中的钓鱼页面

下图是研究人员上个月检测到的隐藏目录中的钓鱼页面的类型:

图16: 上个月的钓鱼页面

研究人员发现SSL验证相关的隐藏目录中的钓鱼页面与Office 365, Microsoft, DHL, Dropbox, Bank of America, Yahoo, Gmail等相关。

图17: OneDrive钓鱼页面

图18: Yahoo钓鱼页面

 图19: DHL钓鱼页面

本文翻译自:https://www.zscaler.com/blogs/research/abuse-hidden-well-known-directory-https-sites如若转载,请注明原文地址: https://www.4hou.com/web/17102.html
点赞 1
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论