微步在线安全事件分析:全球数亿主机被FireBall攻陷
6月1日,Check Point公司發(fā)布消息,稱(chēng)近日發(fā)現(xiàn)了一款名為“FireBall”的惡意軟件,目前已在全球范圍內(nèi)廣泛傳播,受感染主機(jī)數(shù)量?jī)筛哌_(dá)2.5億,受災(zāi)嚴(yán)重的國(guó)家包括印度、巴西、墨西哥、印尼和美國(guó),而該軟件背后是一家名為卿燁科技(Rafotech)的中國(guó)公司。微步在線(xiàn)對(duì)文章中提及的樣本和卿燁科技公司進(jìn)行了全面分析,目前主要發(fā)現(xiàn)包括:
· 卿燁科技法人代表鮑某的郵箱共注冊(cè)20多個(gè)域名,除公司官網(wǎng)外,還有多款免費(fèi)軟件下載站、FireBall惡意程序C&C地址以及一個(gè)色情網(wǎng)站。卿燁科技未對(duì)此次事件進(jìn)行回應(yīng),公司官方網(wǎng)站也已無(wú)法訪問(wèn)。
· 該公司名下的“野馬瀏覽器”更新程序存在后門(mén)程序,會(huì)進(jìn)一步下載FireBall的主體程序,并通過(guò)安裝惡意插件篡改相關(guān)系統(tǒng)設(shè)置,同時(shí)具備后門(mén)功能,使的失陷機(jī)器被完全控制。
· FireBall惡意軟件數(shù)量巨大,主要利用亞馬遜的云平臺(tái)CloudFront作為C&C地址。
· 微步在線(xiàn)通過(guò)對(duì)相關(guān)樣本、IP和域名的溯源分析,共提取69條相關(guān)IOC,可用于威脅情報(bào)檢測(cè)。
· 部署微步在線(xiàn)威脅情報(bào)平臺(tái)的用戶(hù),可通過(guò)系統(tǒng)告警定位到失陷主機(jī)(詳見(jiàn)下圖),并使用微步在線(xiàn)提供的應(yīng)急響應(yīng)予以分析和處理。
事件背景
Check Point稱(chēng)近日發(fā)現(xiàn)了一款傳播范圍極廣的惡意軟件Fireball,感染的計(jì)算機(jī)數(shù)量高達(dá)2.5億。Fireball會(huì)通過(guò)捆綁其他軟件進(jìn)行傳播,植入后會(huì)在用戶(hù)瀏覽器中安裝惡意插件、修改主頁(yè)并劫持訪問(wèn)流量,此外,該程序還具備遠(yuǎn)程下載任意程序執(zhí)行的功能,為用戶(hù)帶來(lái)巨大安全隱患。
FireBall通常會(huì)與DealWifi、MustangBrowser、FVP Imageviewer、Soso Desktop等免費(fèi)軟件捆綁在一起,而這些軟件均與一家名為“卿燁科技”的公司有關(guān)。
卿燁科技
根據(jù)網(wǎng)上公開(kāi)信息檢索發(fā)現(xiàn),“卿燁科技”注冊(cè)于2015年,現(xiàn)址為北京市海淀區(qū)海淀大街的一個(gè)寫(xiě)字樓,自稱(chēng)為數(shù)字營(yíng)銷(xiāo)行業(yè)領(lǐng)先的跨國(guó)公司,提供精準(zhǔn)的數(shù)字營(yíng)銷(xiāo)服務(wù)和變現(xiàn)方案,服務(wù)超過(guò)3億全球用戶(hù)。主頁(yè)為www.rafotech.com,注冊(cè)郵箱為baoyu430@gmail.com,推測(cè)為鮑某所有。此次事件發(fā)生后,公司官方網(wǎng)站已無(wú)法訪問(wèn)。
通過(guò)對(duì)文章提及的免費(fèi)軟件搜索發(fā)現(xiàn),DealWifi和Mustang Browser(野馬瀏覽器)均使用了“RAFO TECHNOLOGY INC”的數(shù)字證書(shū),對(duì)應(yīng)下載網(wǎng)站(www.dealwifi.com和mustang-browser.com)與“卿燁科技”網(wǎng)站域名注冊(cè)信息完全一致,確認(rèn)為該公司產(chǎn)品。
對(duì)郵箱baoyu430@gmail.com排查發(fā)現(xiàn),該郵箱還注冊(cè)過(guò)bysenda.com、holainput.com、3xlivecam.com、firefox1.com等二十余個(gè)域名(詳見(jiàn)附錄)。其中,bysenda.com為“百盛達(dá)科技有限公司”主頁(yè),即Soso Desktop軟件數(shù)字簽名中的“BYSENDA TECHNOLOGY LIMITED”,主營(yíng)廣告推廣業(yè)務(wù);holainput.com為Hola輸入法軟件的官方網(wǎng)站,該軟件同樣存在捆綁行為;firefox1.com被用作為部分FireBall惡意程序的C&C地址(相關(guān)樣本見(jiàn)樣本關(guān)聯(lián)部分);而3xlivecam.com存在為一個(gè)境外色情網(wǎng)站。
通過(guò)公開(kāi)信息檢索發(fā)現(xiàn),該公司公開(kāi)宣傳的產(chǎn)品為Casual Warrior、Cutie Riot、延邊麻將等多款手機(jī)游戲,但從公司簡(jiǎn)介和應(yīng)聘者留言可以看出游戲并非其主營(yíng)業(yè)務(wù)。
綜合上述分析可以發(fā)現(xiàn),該公司的業(yè)務(wù)范圍包括數(shù)據(jù)服務(wù)、廣告營(yíng)銷(xiāo)、手機(jī)游戲、惡意軟件開(kāi)發(fā)甚至成人網(wǎng)站等。
軟件分析
為了解“卿燁科技”與FireBall的關(guān)系,微步在線(xiàn)對(duì)其名下的“野馬瀏覽器”(MustangBrowser)進(jìn)行了分析,發(fā)現(xiàn)該軟件是經(jīng)過(guò)對(duì)chrome瀏覽器的精簡(jiǎn)修改版,用戶(hù)在執(zhí)行安裝后,該程序會(huì)在其系統(tǒng)中注冊(cè)一個(gè)更新服務(wù)和兩個(gè)定時(shí)更新計(jì)劃,并作為后門(mén)功能來(lái)安裝大量插件和推廣程序:
其中,各個(gè)主要模塊的功能如下:
1. 安裝后注冊(cè)更新服務(wù)如下圖:
2. 其中該更新程序功能有初始化安裝、自卸載、自更新功能如下圖:
3. 字如其意“-update”功能為從服務(wù)器下載該瀏覽器更新程序:
4. 而”-c”為chrome瀏覽器插件功能安裝:
5. 通過(guò)在http://x.threatbook.cn對(duì)其域名http://mustang.rafoservice.com進(jìn)行關(guān)聯(lián)分析,發(fā)現(xiàn)與該域名通信的其他惡意樣本下和域名被關(guān)聯(lián)出來(lái):
通過(guò)其的域名分析發(fā)現(xiàn),該惡意程序除了會(huì)通過(guò)mustang.rafoservice.com 、clouda.firefox1.com、download.rafotech.com等下載更新外,還會(huì)利用一些亞馬遜的云平臺(tái)CloudFront地址作向受感染用戶(hù)發(fā)送指令,我們據(jù)此關(guān)聯(lián)出的大量惡意樣本更多和C&C地址:
1. 部分樣本在微步在線(xiàn)分析平臺(tái)的檢測(cè)效果如下:
https://x.threatbook.cn/report/file/a74857e0b552958af002d93f53b26bd0823ea505ab3bd00c69b33943a0984406
https://x.threatbook.cn/report/file/52e82c9a3681216bb25d65e8e556d27aa6bc0e2397204a594aeeba75408ac322
https://x.threatbook.cn/report/file/9e3ffb2c0a3acc056de3ee6cf92e439d189696758d860f10a5e05754a7cc06ac
2. 并且通過(guò)以上域名關(guān)聯(lián)出樣本a74857e0b552958af002d93f53b26bd0823ea505ab3bd00c69b33943a0984406,其多引擎查殺結(jié)果為下圖所示:
3. 通過(guò)沙箱對(duì)該樣本分析,可以發(fā)現(xiàn)該樣本會(huì)通過(guò)xxx.cloudfront.net下載大量的推廣軟件如:QQ瀏覽器和其他惡意程序包括D_BOX.exe、Bao_U.exe、Kyubey.exe等PE文件如下:
附錄
C&C
clouda.firefox1.com
cloud.firefox1.com
download.rafotech.com
mustang.rafoservice.com
trotux.com
d3l4qa0kmel7is.cloudfront.net
d5ou3dytze6uf.cloudfront.net
d1vh0xkmncek4z.cloudfront.net
d26r15y2ken1t9.cloudfront.net
d11eq81k50lwgi.cloudfront.net
ddyv8sl7ewq1w.cloudfront.net
d3i1asoswufp5k.cloudfront.net
dc44qjwal3p07.cloudfront.net
dv2m1uumnsgtu.cloudfront.net
d1mxvenloqrqmu.cloudfront.net
dfrs12kz9qye2.cloudfront.net
dgkytklfjrqkb.cloudfront.net
d2hrpnfyb3wv3k.cloudfront.net
dmv9o2kt858uv.cloudfront.net
dhxx2phjrf4w5.cloudfront.net
d22y2rii76w1jh.cloudfront.net
d1cik3fvaz5q0e.cloudfront.net
dpcq4996xspsl.cloudfront.net
d35fiykpgyla50.cloudfront.net
d4c04g24ci6x7.cloudfront.net
d10s59hdinqmqq.cloudfront.net
d1qjc90738otwj.cloudfront.net
dhd29up7zcdyt.cloudfront.net
d3l4qa0kmel7is.cloudfront.net
d11m2p9mpffp32.cloudfront.net
d2jeaw7c5nmwo6.cloudfront.net
d3dzwo5vzf4g44.cloudfront.net
d2umj5io7dy7ns.cloudfront.net
d3pa4xcf10sh05.cloudfront.net
d3d5rryrijbudj.cloudfront.net
d1139uuzpj6eq0.cloudfront.net
dzmi1r8zhup3w.cloudfront.net
ddkf4lbppumiv.cloudfront.net
d2buh1bf1g584w.cloudfront.net
dukm85wanb9yh.cloudfront.net
d10mgeltf4qytp.cloudfront.net
d22nes4susdva1.cloudfront.net
d1s7r6dd7iabxj.cloudfront.net
d3i45msoa4p6w0.cloudfront.net
樣本HASH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“卿燁科技”相關(guān)域名
rafomedia.com
rafotech.com
rafoservice.com
rafogames.com
3xlivecam.com
answerscome.com
answersshift.com
bysenda.com
cekaojme.com
kigheoiw.com
firefox1.com
firefox1.org
firefox6.net
ghokswa.com
giqepofa.com
sbgpnfejb.xyz
yulinkeji.xyz
3xhub.com
dealwifi.com
deskick.com
holainput.com
mustang-browser.com
sosodesktop.com
neterrors.com
ooxxsearch.com
amisites.com
attirerpage.com
trotux.com
startpageing123.com
funcionapage.com
universalsearches.com
thewebanswers.com
nicesearches.com
youndoo.com
forestbrowser.com
luckysearch123.com
ooxxsearch.com
search2000s.com
walasearch.com
hohosearch.com
yessearches.com
原文發(fā)布時(shí)間為:2017年6月7日
本文來(lái)自云棲社區(qū)合作伙伴至頂網(wǎng),了解相關(guān)信息可以關(guān)注至頂網(wǎng)。
總結(jié)
以上是生活随笔為你收集整理的微步在线安全事件分析:全球数亿主机被FireBall攻陷的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: [PTA]6-12 判断奇偶性
- 下一篇: Open Set Domain Adap