歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

勒索軟件Sodinokibi運營組織的關聯分析

來源:本站整理 作者:佚名 時間:2019-06-28 TAG: 我要投稿
位數。通過HTTP協議將獲取到的數據滲出到C2服務器。通過訪問如下拼接的URL來傳輸數據。
表 4-5 URL拼接表

5 、關聯分析
從偽裝成DHL的釣魚郵件中可以提取到表5-1所示的信息。
表 5-1 釣魚郵件信息

5.1 URL情報分析——Sodinokibi運營者傳播竊密工具KPOT Stealer
通過安天威脅情報分析系統關聯到webex.today域名。攻擊者利用Powershell從該網站下載竊密木馬家族KPOT Stealer。關聯到的最新KPOT Stealer樣本(MD5:70CE22275834C1E34E6EE52AC8E5DF31)會收集Cookie信息、瀏覽器登錄憑證、進程信息、已安裝軟件信息、系統信息、屏幕截圖以及受害者IP,并通過HTTP POST方式回傳竊密信息。
KPOT Stealer是一種竊密惡意軟件,主要從用戶Web瀏覽器,即時消息,電子郵件,VPN,RDP,FTP,加密貨幣和游戲軟件中竊取賬戶信息和其他數據。KPOT Stealer最早在2018年8月就出現在釣魚郵件活動和漏洞利用工具包(Fallout和RIG)中了。

圖 5-1時間分析
webex.today域名被KPOT和Sodinokibi共同使用。KPOT接收信息的域名solar3080z.xyz創建時間為2019年4月27日,KPOT Stealer樣本的時間戳為2019年5月16日,而webex.today域名的創建時間為2019年4月16日,可見該組織為了進行惡意活動而專門注冊了新的域名,在近期同時進行勒索軟件和竊密木馬的傳播。
綜上所述,分析人員猜測Sodinokibi運營者購買了KPOT Stealer工具,同時傳播竊密與勒索軟件,通過竊密所得的數據來為勒索軟件的傳播作支撐。1079個域名、大量的收件人郵箱,Sodinokibi運營者掌握著多個數據資源,這些都表明了Sodinokibi背后是一個有規模的組織。
5.2 IP關聯拓線——Sodinokibi運營者傳播Linux挖礦、后門木馬
在安天CERT監測到的多起安全事件中,部分Sodinokibi樣本從188.166.74.*下載。通過對188.166.74.*進行關聯,發現GandCrabV5.2也曾經使用這個IP作為下載地址,詳見表5-2。
表 5-2 188.166.74.218關聯信息

其中一個Sodinokibi樣本存在兩個下載地址,188.166.74.*和45.55.211.*。通過45.55.211.*關聯到了GandCrab V4家族的另一個樣本和Linux系統下一些后門挖礦木馬。
表 5-3 關聯到的樣本信息

通過對樣本的IP進行拓線,分析人員發現用來下載Sodinokibi的IP地址從2018年開始傳播GandCrab、Linux挖礦,2019年開始傳播Linux后門、Sodinokibi勒索軟件。
5.3 多方位對比——Sodinokibi和GandCrab異曲同工
GandCrab運營者在2019年6月1日宣布停止更新GandCrab,聲稱正在關閉GandCrab RaaS[3],但是網絡上還有其他的類GandCrab RaaS服務,如Jokeroo RaaS。 Jokeroo RaaS在早些時候偽造成GandCrab RaaS提供服務,不久之后就改名為Jokeroo RaaS。雖然Jokersoo聲稱自己是新的勒索軟件,與GandCrab沒有關系,但是其提供的勒索軟件與GandCrab高度相似,甚至某一批勒索軟件運行后生成的勒索信和壁紙依舊是GandCrabV5.3開頭。Jokeroo RaaS是如何獲取到GandCrab的暫不做追蹤,但是從該RaaS存在的事情上可以發現,雖然GandCrab RaaS停止運營,但是以GandCrab為基底的變種依然會活躍在網絡上。
本事件中的勒索軟件使用的釣魚郵件與2019年初GandCrab使用的釣魚郵件內容相似,同時分析人員在對勒索軟件Sodinokibi進行分析的過程中,發現其與GandCrab有多處相似。
代碼相似
注:
表5-4中關于GandCrab和Sodinokibi的對比中,并非使用單一版本的GandCrab進行對比。
表 5-4 GandCrab和Sodinokibi代碼信息對比

手法一致
GandCrab和Sodinokibi在進行傳播時都曾使用壓縮包中包含快捷方式和exe文件的方式,如表5-5所示。這二者的快捷方式中都包含主機名win-0ev5o0is9i7,如表5-6所示,說明這二者的快捷方式是在同一臺主機上生成的。
表 5-5勒索軟件傳播時壓縮包中內容

同一機器產出,快捷方式生成時間分別為5月6日和6月5日
表 5-6 GandCrab和Sodinokibi快捷方式對比

5.4 郵件廣撒網——非針對性攻擊的黑產行動
從對大量Sodinokibi的釣魚郵件分析來看,郵件內容針對不同的國家使用不同的語言,而且使用了多種郵件主題,利用大量垃圾郵件、社工方式來大范圍撒網。其發件人郵箱大部分為*@gmx.com(全球著名免費郵箱網站),有的郵箱是真實存在的,有的則是偽造的。從收件人郵箱以及其他國家發生的類似事件來看,Sodinokibi并未針對某一地區或公司亦或是某一領域,它所操作的,是以獲利為目的的大規模的勒索行動。

上一頁  [1] [2] [3] [4] [5]  下一頁

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺 股票行情查询 股票配资是什么意思 股票配资平台十强 苹果股票 好运彩3 3g股票推荐 新11选5 个人怎样理财最好 股票涨跌家数 义乌股票配资 国内正规股票配资平台有哪些 基金配资价格 宁夏十一选五 个股分析报告范文 哪个网络理财平台比较好 理财平台排名鸿坤金服