前言:
网络空间已经成为人类生产生活的“第二类存空间”, 关系到经济、文化、科研、教育和社会生活的方方面面, 成为国家发展的重要基础。随着网络技术日新月异的发展, 网络空间中的资源种类越加丰富, 不仅包括传统的设备、逻辑拓扑等软硬件基础 设施, 也包括网络用户、应用服务等动态多变的虚拟资源,本文以网络空间测绘为视角,探索从网络空间发现BazarLoader 木马的C2(command&control)控制服务器的过程。
一:conti勒索组织所用的BazarLoader 木马
conti勒索病毒于2019年10月首次出现,2020年开始流行,该病毒背后的Conti团伙声称已攻击成功150多次,勒索费用超过数1.8亿美元。用C++编写的BazarLoader最早是在2020年4月发现的。恶意软件加载器一直在以独特的模块不断发展,允许其运营商部署额外的恶意软件、勒索软件和窃取敏感数据。该恶意软件名为BazarLoader,因为它使用区块链DNS和Bazar域与控制器通信。与其他主流勒索集团类似,Conti也是采用RaaS(Ransomware-as-a-Service)运营模式与双重勒索方式进行勒索,即不仅加密受害者文件,同时还会窃取用户机密文件,如果被勒索人不及时缴纳赎金,则要挟受害者会将其机密数据进一步公开从而拿到赎金。
Conti勒索组织使用了一款名为BazarLoader的木马,将恶意的电子邮件投入到被攻击组织的内部,BazarLoader 是一个恶意的加载器,可以导致当前主机权限被控制。BazarLoader 专注于大型企业中的目标,擅长于社会工程学攻击,可能会被用于发起随后的勒索软件攻击。
2021年夏天,研究人员发现攻击者通过电子邮件传播BazarLoader恶意软件。目前发现三个攻击活动中使用了该恶意软件:
“BazarCall”中使用含有BazarLoader的电子邮件作为初始攻击手段,诱导受害者点击含有恶意软件的文件;七月初,以侵权为主题的“Sleet Images Evidence.ZIP”中包含了BazarLoader;7月底,TA551(Shathak)开始通过英语电子邮件传播BazarLoader。
除了这三个主要攻击活动外,研究人员还发现了含有BazarLoader的Excel电子表格,其传播感染方式如下:
攻击者试图通过利用DocuSign来迷惑受害者。受害者Windows主机上启用恶意宏后,表格中会出现新的sheet,如下图所示
在启动宏病毒以后,BazarLoader将被释放和执行。
恶意文件会从‘hxxps://pawevi[.]com/lch5.dll’中下载BazarLoader的DLL文件,并保存到‘C:Users[username]tru.dll’。
样本BazarLoader通过443端口从104.248.174.225下载BazarBackdoor。BazarBackdoor通过443端口使用HTTPS生成C2活动,传输至104.248.166.170。
这里这里把dll 文件命名为exe文件,实际上是dll文件。
BazarLoader将使用注册表作为持久化措施进行权限加固,用regsvr32执行相应的dll来持久化。
样本BazarLoader通过443端口从104.248.174.225下载BazarBackdoor。BazarBackdoor通过443端口使用HTTPS生成C2活动,传输至104.248.166.170。
其中样本有以下几个C2地址
104.248.174.225
35.165.197.209:443或者
3.101.57.185:443作为C2 ip地址。
然后,我们观察到攻击者使用 BazarLoader 注入进程 svchost.exe 下载 Cobalt Strike 并将其保存在:C:Users<user>AppdataLocalTemp
同样使用rundll32 来触发dll程序。
conti勒索软件运营成员特别喜欢使用adfind工具进行域内信息的收集
adfind.exe -f “(objectcategory=person)” > ad_users.txt
adfind.exe -f “objectcategory=computer” > ad_computers.txt
adfind.exe -f “(objectcategory=organizationalUnit)” > ad_ous.txt
adfind.exe -sc trustdmp > trustdmp.txt adfind.exe -subnets -f (objectCategory=subnet)> subnets.txt
adfind.exe -f “(objectcategory=group)” > ad_group.txt
adfind.exe -gcb -sc trustdmp > trustdmp.txt
adfind.exe -f “(objectcategory=person)” > ad_users.txt
adfind.exe -f “objectcategory=computer” > ad_computers.txt
adfind.exe -f “(objectcategory=organizationalUnit)” > ad_ous.txt
adfind.exe -sc trustdmp > trustdmp.txt
adfind.exe -subnets -f (objectCategory=subnet)> subnets.txt
adfind.exe -f “(objectcategory=group)” > ad_group.txt
adfind.exe -gcb -sc trustdmp > trustdmp.txt
收集信息后会做在内网中进行横向渗透,会先通过扫描本地的口令、凭证等获取更多设备的权限。而对于黑客而言,最重要的是通过该设备去了解当前设备所在域的整体架构,并尽可能去尝试攻击IT部门的相关设备(这样更有可能拿到域管理员权限或是域控设备)。该攻击阶段,采用到了多个公开的漏洞,例如“永恒之蓝”、ZeroLogon、PrintNightmare等。而在成功获取到域控/域管理员权限后,攻击者就可以通过组策略向域内的所有设备进行下发恶意程序、窃取数据、部署勒索等一系列操作。
在获取域控后进行恶意勒索软件的下发。
二:BazarLoader 木马的网络特征
此木马用dns协议访问了windows的更新服务器,测试网是否可以连通;访问了https://microsoft.com/telemetry/update.exe
后面开始访问C2
使用tlsv2协议开始访问35.165.197.209的443端口
下一步BazarLoader 使用 cookie 参数 来控制C2
三:使用quake 发现BazarLoader 在网络空间中的所有的C2
那有没有一种方法可以获取到BazarLoader 在网络空间中的所有的C2呢?下面我们进行了研究,
选取”3.101.57.185″作为c2研究,观察ip在网络空间引擎上上开放的端口可以发现具有如下特征:
在quake上搜索ip: “3.101.57.185”
就会发现有如下特征:
特征1:HTTP/1.1 404 Not found Connection: close Content-Type: text/html; charset=UTF-8
特征2:Server: nginx
特征3:robots 的数据 User-agent: *Disallow: /
经过多次试验,构造出以下语句来关联 C2
检索语法:
经过检索,全网共有 473个独立ip 是BazarLoader的C2控制通道。
其中header_order_hash是HTTP头部所有key用英文逗号按序连接后取MD5。有些资产web页面header的key是固定的,我们可以通过搜索这些key来查找相似的一批资产,html_hash则是http body的md5。
四:对C2数据进行分析
1、C2 ip数量最多的国家
从影响国家看,其中美国、德国、保加利亚、荷兰、法国最多,说明conti组织特别喜欢使用美国、德国、保加利亚的vps主机,这跟conti勒索组织经常勒索美国相关企业有关系,C2和被控制的机器位于同一国家,更好的规避了受害组织的网络防护措施。
| 影响国家 | 数量 |
|---|---|
| 美国 | 139 |
| 德国 | 87 |
| 保加利亚 | 82 |
| 荷兰 | 37 |
| 法国 | 25 |
| 新西兰 | 21 |
值得一提的是,conti组织在摩尔多瓦、以及保加利亚等小国家也拥有C2服务器。
2、vps运营商的情况
在C2的情况,发现多个C2的ip位于同样的一个C段,并且使用的大多数为同一类型的运营商
| 影响国家 | 网段 | 数量 | 运营商 |
|---|---|---|---|
| 美国 | 162.33.178.1/24 | 12 | 亚马逊 |
| 美国 | 162.33.179.1/24 | 42 | 亚马逊 |
| 新西兰 | 103.208.86.1/24 | 15 | Zappie Host LLC |
| 美国 | 162.33.177.1/24 | 22 | 亚马逊 |
| 美国 | 23.160.193.1/24 | 11 | NetInformatik Inc. |
| 保加利亚 | 31.13.195.1/24 | 12 | Neterra Ltd. |
| 保加利亚 | 87.120.8.1/24 | 18 | Neterra Ltd. |
根据运营商名称,我们的分析如下
| 影响国家 | 数量 | 运营商 |
|---|---|---|
| 亚马逊云 | 86 | 专业的大数据和云计算服务以及云解决方案提供商 |
| Zappie Host LLC | 19 | Zappie Host是领先的商用级Linux和Windows SSD VPS服务器提供商,在新西兰奥克兰和南非约翰内斯堡以独家价格销售。 |
| MivoCloud SRL | 19 | 自2001年成立以来,OVH SAS已在全球99多个国家拥有超过409000名客户。OVH SAS为其客户提供一系列服务,包括无限SSD网络托管、域注册、word press托管、专用云服务器,最重要的是为150多万个网站提供VPS托管服务。 |
| Neterra Ltd. | 79 | Netera是欧洲电信协会ecta(欧洲竞争性电信协会)的正式成员。Netera可以利用全球光纤网络及其在6大洲35多个国家的150多个网点、提供保加利亚电视和视听平台,以及提供卫星解决方案和地面卫星站,可以提供保加利亚的vps。 |
conti犯罪团伙喜欢使用亚马逊云、Zappie Host LLC、MivoCloud SRL等企业作为其基础运营商,导致其C2ip经常呈现同c段,同一个主机商等特点。从国家来看,主要受影响的国家为美国、德国、保加利亚、荷兰、法国、新西兰,值得注意的是除了欧美等发达国家,运营者也喜欢用保加利亚和保加利亚的服务器作为C2控制服务器。
3.从证书的角度来看
证书的角度来看,BazarLoader 木马的使用者经常存在C2的ip地址所在的国家与证书所在的国家不一致的情况,C2证书的生成方式为批量生成,且都为C2作者自签名。
这些C2上面common name均不可解析,无法访问
4、从流量检测上来看,使用tls协议可以有效地的规避企业内部的流量检测手段、降低木马被检测的概率
5、从开放的端口来看,主要开放是80和443,8080端口。使用这些端口看在流量设备上去会显得流量更加的正常,降低被发现的概率。
6、从协议上看,主要为http协议和https协议,其中https协议313个独立ip。https协议具有流量加密功能,能更好隐藏恶意流量,增加杀毒软件和安防设备查杀的难度。
五:结语
本文总结了conti勒索运营商的盈利模式、内网渗透手法,以及通过BazarLoader加载器投入到目标内部的手法,并且网络空间测绘技术关联了BazarLoader服务器的C2控制服务器ip地址。
APT攻击持续高发,通过追踪攻击组织,C2远程控制软件经常被APT团队组织以及勒索软件组织所使用,因此掌握了特定的C2服务器的IP地址可以更好的发现当前企业发生网络入侵的情况,提高当前组织的安全性。
网络空间测绘技术能更好的发现和掌握C2服务器的ip地址,提供更多的威胁情报,降低组织内部的安全风险,提供了及时识别和应对攻击的能力,提供了快速提高运营效率的手段。
在信息时代,网络信息爆炸增加,使用网络空间引擎,掌握高价值高效的威胁情报,将会推动政企的安全能力。
refer:
https://thedfirreport.com/2021/10/04/bazarloader-and-the-conti-leaks/
https://tria.ge/210716-v4jh8hf6ea/behavioral2
https://cyware.com/research-and-analysis/bazarloader-a-malware-with-nastiest-tricks-0ef1
https://unit42.paloaltonetworks.com/bazarloader-network-reconnaissance/
https://cert.360.cn/warning/detail?id=8d113d8786af993a847bfc2e98c92ac6
https://tria.ge/210716-v4jh8hf6ea/behavioral2#report
ioc
3.101.57.185:443
104.248.174.225:443
35.165.197.209:44
添加管理员微信号:quake_360
备注:进群 邀请您加入 QUAKE交流群~
原文始发于微信公众号(360Quake空间测绘):网络空间测绘C2 BazarLoader 的发现与研究
