freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

COVID-19攻击手段与数据分析
2020-04-27 14:00:53

随着新冠病毒在世界范围内传播,研究人员发现自2月初以来,与冠状病毒相关的搜索和浏览量大幅增加,同时网络罪犯正利用新冠话题获利。

研究人员监控新冠主题相关的新域名注册,2月到3月日均冠状病毒相关域名注册量增长了656%,恶意注册(包括恶意软件和网络钓鱼)增长569%,“高风险”注册(包括欺诈、挖矿和其他恶意URL域)增长788%。截至3月底,确定了116357个冠状病毒相关的新注册域名。其中,2022个是恶意的,40261个是“高风险的”。通过Whois、DNS记录和爬虫收集分析这些域。发现许多域名注册后被转售,其中一部分域名既被用于恶意活动,也被用于欺诈。还发现了部分以冠状病毒为主题的域有高风险JavaScript页面,可能随时将用户重定向到恶意网页。

数据分析

用户搜索

近期观察到用户对冠状病毒相关主题的兴趣急剧增加。在图1中可以看到在2020年1月底、2月底和3月中旬三个显著的高峰。第一个峰值与中国的病毒爆发一致,第二个峰值表示美国第一例不明原因病例,第三个峰值与美国的病毒爆发同时出现。图1中的一个例外是酒精,因为用户全年都对它感兴趣。

在图2中看到,与2月初到3月底相比,访问与冠状病毒相关的url数量增加了近10倍。

用户对冠状病毒关注度给了网络犯罪分子有利可图的机会。攻击者获益的一个常见方法是注册相关关键字的域名,如“冠状病毒”或“COVID”。这些域名通常看起来合法,但会被用于各种各样的恶意活动,包括诱骗用户下载恶意文件、网络钓鱼、诈骗、恶意篡改和加密货币挖掘。

域名信息

从2020年1月1日到2020年3月31日检索了包含冠状病毒相关关键字的nrd,系统检测到116357个相关的NRD,每天大约有1300个域名。图3显示了研究期间检测到的新域名注册趋势。随着时间的推移,冠状病毒域的数量在增加,3月12日之后,每天检测到3000多个新的域。

可以把NRD分为两类。恶意nrd包括C2、恶意软件传播和网络钓鱼域;高风险nrd包含欺诈、挖矿和其他恶意URL域。发现了2022个恶意和40261个高风险NRD。恶意率为1.74%,高危率为34.60%。在恶意域名中,15.84%试图窃取用户凭据,84.09%托管了不同种类的恶意软件,包括木马和信息窃取软件等。2月到3月日均冠状病毒相关域数量增加了656%,恶意和高风险域分别增长了569%和788%。

共观察到这些域的2835197个DNS查询(不包括缓存),平均恶意NRD比平均非恶意NRD多88%。3月16日NRD数量急剧增加,这与美国病毒爆发有关。

在图5中列出了匹配最多NRD的前15个关键字。这些关键词的风险水平高于平均水平(高风险率>40%),它们更容易被滥用。另一方面,恶意率与一般关键词相似。一个特殊的例子是“virusnews”匹配344个nrd,其中33%是恶意的。

技术分析

钓鱼攻击

钓鱼攻击的目的是诱骗用户共享其凭据和个人信息。在冠状病毒域中,观察到攻击者向用户发送电子邮件,其中包含假冒网站链接,欺骗用户输入登录信息。

在形如‘corona masr*.com‘域名中,同一天检测到一个20个域名注册,其中*是1到101之间的数字。在图6是以美国银行为目标的钓鱼网站hxxp[:]//corona-masr21[.]com/boa/bankofamerica/login.php。此外还包括http[:]//corona-masr21[.]com/apple-online和hxxps[:]//corona-masr3[.]com/CAZANOVA%20TRUE%20LOGIN%20SMART%202019/。

此外发现钓鱼服务域还托管恶意压缩文件及其恶意程序组件。

恶意软件传播

许多新注册的COVID-19域被识别与恶意软件活动相关。其中covid-19-gov[.]com与Proofpoint报告的RedLine Stealer活动相同。研究人员确定了一个RedLine Stealer样本,该样本执行时,首先打开Internet Explorer并尝试连接到hxxp://localhost:14109。然后向hxxp://45.142.212[.]126:6677/IRemotePanel发起一个HTTP POST请求,远程C2服务器发出HTTP 200 OK响应后,样本开始从主机进行数据过滤:

RedLine Stealer可在隐藏窗口中执行命令:

cmd.exe” /C taskkill /F /PID <RedLine Stealer PID> && choice /C Y /N /D Y /T 3 & Del

该命令通过进程标识符(PID)杀死正在运行的RedLine Stealer恶意软件,并删除存在RedLine Stealer恶意软件的目录,并用Y响应删除提示。此外,RedLine Stealer变体不会在磁盘上生成其他恶意文件、创建/更改任何互斥对象或尝试建立持久控制。

除了RedLine Stealer,还在‘corona-map-data[.]com/bin/regsrtjser346.exe’检测到Danabot banking木马,在Corona virusapps[.]com域上发现了三个恶意Android应用程序,url分别为:Corona-virusapps[.]com/s<1-3>/CoronaVirus-apps.apk、coronaviruscovid19 information[.]com/it/corona.apk和coronaviruscovid19 information[.]com/en/corona.apk。

C2 Communication

网络罪犯主要使用冠状病毒相关域进行恶意软件传播、网络钓鱼和诈骗,同时也观察到C2通信情况。

在NATSupportManager远程访问工具网络流量中,可以看到域covidpreventandcure[.]com解析为5.181.156[.]14。然后它向hxxp://5.181.156[.]14/fakeurl.htm发送多个POST请求,并向端口443发送TCP数据包。如图10所示,POST通信格式为HTML表单,C2服务器将编码命令和有效负载附加到HTTP响应中,木马则会发送编码后的数据。

covidpreventandcure[.]com于3月26日注册。两天后发现相关DNS流量,一直持续到4月11日。4月份解析此域的DNS流量增加。

诈骗广告

研究中发现了高风险域名中的诈骗网站,试图骗取用户购买短缺物品。如口罩或洗手液。

心理利用

发现网站利用人们对冠状病毒的恐惧迫使他们购买电子书,如图16所示。发现了8个注册域,包括coronavirussecrets[.]com和pandemic-survival-coronavirus[.]com。

传统诈骗

在coronavirusaware[.]xyz和covid19center[.]检测到诈骗活动,如图17所示。攻击者目的是恐吓用户,迫使他们打电话,攻击者利用电话进行诈骗。

病毒网站

发现许多新冠病毒网站,比如coronamasksupply[.]com和coronavirusinrelatime[.]com在浏览器中对用户操作进行劫持。

总结

当人们的恐惧感增强时,总会有网络罪犯试图从中获利。就冠状病毒而言,每天注册的冠状病毒相关域名数量急剧增加,恶意冠状病毒NRD平均每日数量增加569%,高风险域名平均每日数量增加788%。自1月1日以来,发现2022个恶意和40261个高风险NRD。

人们应该对任何带有COVID-19主题的电子邮件或新注册的网站持高度怀疑态度,任何以COVID-19为主题的电子邮件都应该小心处理。

IOCs

Credential Harvesting

corona-masr21[.]com/boa/bankofamerica/login.php

corona-masr21[.]com/apple-online

corona-masr3[.]com/CAZANOVA%20TRUE%20LOGIN%20SMART%202019/

corona-virusus[.]com

Scams

allsurgicalfacemask[.]com

surgicalfacemaskpharmacyonline[.]com

selectsanitizer[.]com

survivecoronavirus[.]org

facemasksus[.]com

coronavirussecrets[.]com

pandemic-survival-coronavirus[.]com

internet-covid19.xyz

coronavirusaware[.]xyz

covid19center[.]online

Whatsapp[.]version[.]gratis

whatsapp[.]cc0[.]co

Coinminers

coronamasksupply[.]com

coronavirusinrealtime[.]com

coronashirts[.]store

Black Hat SEO

coronavirus-latest-update[.]info

coronavirus-com[.]info

sharkroulette[.]com

Illicit pharmacy:

covid19-remedy[.]com

rxcovid[.]com

anticovid19-pharmacy[.]com

OtherDomains

coronavirus2day[.]com

hashtag.sslproviders[.]net

coronavirus-game[.]ru

buygoods[.]com

*参考来源:unit42,由Kriston编译,转载请注明来自FreeBuf.COM

# 网络攻击 # 数据分析 # COVID-19
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者