导语:来自Abuse.ch,BrillantIT和Proofpoint的恶意软件研究人员已经sinkhole了EITest(由52,000个web服务器组成的)背后的控制基础架构并关闭了它。

一、概述

EITest是一个记录完好的感染链,它依靠受感染网站将用户重定向到利用套件(EK)登陆页面、社交工程框架等。EITest可能是同类产品中历史最悠久的,而且被各种勒索软件、信息窃取工具和其他恶意软件所利用,有明确的证据表明其历史可以追溯到2011年。最近Proofpoint与来自brillantit.com和abuse.ch的研究人员一起利用水坑攻击,拦截了EITest,致使感染链无效,每天能阻断多达200万次潜在的恶意重定向。

二、历史

正如我们在2017年1月写的[1],在EITest开始利用社会工程方案后不久,研究人员通过服务器端组件及感染历史追踪源头(当2011年其重定向至私有EK——Glazunov之时)。感染链似乎在2013年底至2014年7月初暂停,当时它开始定向到Angler(图1)。

图 1: 2014年上半年暂停前后,与EITest相关的事件

查看图1中的历史记录,我们发现该攻击者正在将Zaccess Trojan作为关联成员进行传播,这很可能是出于自己使用Glazunov EK的目的。Glazunov是EITest运营商使用的私人EK,它与Urausy组织[2]专用的Kore / Sibhost EK很相似,考察EITest命令和控制(C&C)域的创建日期,看起来攻击者在2013年11月左右开始重新设计基础设施。

图2: EITest C&C域名创建时间 

2014年7月,该链再次出现了传播多种payload的新感染模式。这种下游活动通常与两种可能的情况相关:

· 攻击者出售负载(感染)

· 该攻击者正在出售流量(给其他攻击者,负载者或兼而有之)

图3中显示的模式表明,EITest背后的攻击者正在销售流量。

图 3: 两周的EITest记录事件,多种EK和payload表明该攻击者正在出售流量

根据地下论坛的EITest攻击者的行为和Empire EK的见解(见附录),我们确认攻击者正在销售流量。2014年,我们发现该攻击者以块为单位销售流量,每块50-70,000名访问者,20美元每千人,每块大约1000美元到1400美元之间。

如图4所示,上个月此感染链背后的活动主要由社会工程[1]和技术支持诈骗[3]所导致的勒索软件组成。

图 4: 一系列记录在案的事件表明过去一年EITest背后活动的演变

三、水坑行动

2018年3月15日,与abuse.ch [5]和@ Secu0133 [6]一起,我们能够完全用水坑攻击拦截 EITest。

正如@ secu0133在他对EITest php脚本[7]的分析中解释的那样,C&C域名是通过关键域stat-dns [.] com解析生成的。查获之后,我们将该域名指向一个新的IP地址,生成四个新的EITest C&C域名,反过来又被指向了abuse.ch sinkhole。

图5: 2017年1月EITest的基础设施

有了这些新域名,我们就能够用水坑取代恶意服务器。现在我们正在接收来自受感染网站后门程序的流量,从EITest C&C及其访问者(感染者)中发送出来的。

图6: 红色方框突出显示了我们用一个代替的水坑服务器,以及与水坑关闭的EITest C&C的连接。

四、水坑分析

我们分析了2018年3月15日至4月4日的水坑数据。在此期间,水坑从大约52,000台服务器接收到近4400万个请求。通过对请求进行解码,我们可以获得受感染的域名列表以及浏览受感染服务器的用户IP地址和user agent。

在受感染网站中,我们看到了多个CMS,但绝大多数使用WordPress。

图7显示了EITest使用的52,000台受感染服务器的地理分布。

图 7: EITest感染网站全球分布图

图8显示了浏览事件的全球分布情况,即触发了从受感染服务器连接到sinkhole连接的可能受害者的地理位置;如果没有水坑,它们将与EITest C&C连接。图9显示了触发连接数排名前十位的国家。

图8: 触发受感染网站到水坑浏览事件的全球分布图

图9:访问 EITest感染网站的Top 10 (3.15 —— 4.4, 2018 )

五、总结

EITest是历史最悠久,规模最大的感染链之一,在其运营初期主要通过私有漏洞利用工具分发恶意软件。近年来,EITest的运营者通过其大型受感染web服务器网络成为EK运营商和社会工程方案的高产销售商。此感染链每天会破坏超过200万次潜在的恶意重定向,并对EITest流量的下游购买者产生重大影响。

在成功将流量引入水坑之后,攻击者关闭了他们的C&C,但是我们没有看到EITest运营者的进一步公开反应。虽然目睹了一些连到水坑的嵌入式命令,我们将其与尝试接管联系起来,但无法验证它们究竟是由运营者、其他研究人员还是试图与真正的EITest C&C交互的攻击者发起的。但是,我们将继续监控EITest,因为EITest可能会尝试重新控制涉及感染链的一部分受感染网站。

参考

[1] https://www.proofpoint.com/uk/threat-insight/post/EITest-Nabbing-Chrome-Users-Chrome-Font-Social-Engineering-Scheme

[2] https://malware.dontneedcoffee.com/2013/05/the-missing-link-some-lights-on-urausy.html

[3] https://malware.dontneedcoffee.com/hosted/anonymous/kotd.html

[4] https://blog.malwarebytes.org/exploits-2/2014/10/exposing-the-flash-eitest-malware-campaign/

[5] https://abuse.ch/

[6] https://twitter.com/Secu0133

[7] https://blog.brillantit.com/exposing-eitest-campaign/

IOC

3.png 

附录

EITest运营者的广告 —-6. 22, 2014

Продам mix ie iframe траф

Ищу человека, готового выкупить поток фильтрованного от ботов ie mix трафа.

Траф с лома, без ру и снг, примено 50-70к в сутки.

Хочу 20$ за 1к трафа или по предложению 8)

jabber [email protected]

Empire EK数据分析

图:2016年10月Empire EK两个EITest线程中一个(其运营商充当流量买方和负载卖方)的统计数据。

源链接

Hacking more

...