Get best of the week

Runet的欺诈者如何对冠状病毒做出反应

对与冠状病毒相关的网络威胁采取何种形式进行记录,我决定研究一下俄罗斯互联网如何应对大流行,以及我国网络威胁的情况,即网络钓鱼和欺诈站点。

图片

首先,我开始使用我们的DNS监视和保护服务-Cisco Umbrella,该服务每天处理超过1500亿个DNS查询并对其进行恶意软件分析。使用Cisco Umbrella Investigate Investigation Tool ,我决定要做的第一件事是检查如何积极创建使用名称中的关键字“ covid”和“ coronavirus”的域。在过去的7天里,出现了以下内容: -257

个带有“冠状病毒”的域,其中170个被我们归类为恶意

图片

-271个带“ covid”的域,其中121-

图片

349个带有“掩码”的域被归类为恶意(并且其数量还在不断增长) ,其中只有9种被归类为恶意和1种被归类为网络钓鱼。

图片

恶意域的分类仍然是初步的,因为许多域仅被注册,但尚未被网络犯罪分子使用。

图片

以covid19-russia [。] Ru域为例,尝试对其进行快速调查:

图片

该域于3月17日注册,这通常并不令人惊讶,在此特定情况下也不应引起怀疑,就像在其他情况下,创建域的日期为是检测恶意活动的非常重要的指标。对于冠状病毒大流行,很难预料去年或更早的时间。因此,专用于冠状病毒的域仅在现在才开始出现。

图片

让我们看一下该域挂起的IP地址。正如我们所看到的,它还是许多域的避难所,其中一些域与当前的大流行相关:

图片

并且我们具有与多个恶意程序相关联的地址,这些恶意程序从指定的IP地址传播或挂在其上的站点传播,或者他们将此地址用作终止开关,或将其用作命令服务器,该服务器发送适当的命令并接收感染了恶意代码的受害者的响应。与指定IP相关的恶意样本列表中的第一个,我们看到了Emotet,它已在上一篇文章中提到:

图片

根据对网络交互的分析判断,该样本可用于其他活动:

图片

如果使用其他Cisco服务,即沙盒思科威胁电网,那么我们就可以获取有关此样本的更多详细信息,例如,行为指标在这种情况下“工作”的详细列表:

图片

分析被推出,Emotet的受害者的计算机上工作的一部分,该进程:

图片

据我们了解,在此在这种情况下,这是一个受害者接收/下载的MS Word文档,该文档与我们正在检查的IP地址和域进行交互:

图片

如果有必要,我们可以将已标识的指标与MITER ATT&CK矩阵链接,许多SOC都将其用作其活动的一部分:

图片

但是回到对我们感兴趣的IP地址的分析上,我们在其中利用了冠状病毒主题“挂”的几个域。该地址位于自治系统AS198610中,该自治系统还与某些恶意活动相关,例如,来自于

图片

2020年3月23日创建的在线分布图COVID-19 coronavirusmaponline [。] Com :

图片

其网站4月1日恶意代码已经出现。也许这是有意发生的,或者只是该站点被黑客入侵并在上面放置了恶意软件;这需要单独调查。

图片

我没有分析上周创建的所有数百个站点(一个月内它们的数量已经超过1000个),但是它们的外观相似。大多数名称包含“ covid”或“冠状病毒”字样的网站都是恶意的,并且以关于大流行的新闻,真实的病例数,与打击COVID-19的方式为幌子,它们传播恶意代码并以相当“熟悉”的恶意软件感染用户程式。

毫不奇怪,在大牌背后通常没有任何东西。通常,这是一个快速创建的WordPress网站,例如coronavirus19-pandemia [。] Ru:

图片

同时,尝试通过Cisco Threat Grid驱使此类站点揭示了恶意代码中可能固有的各种异常(尽管这可能是程序员“弯腰”用其“快速”创建站点的弯腰)。由于时间不足,我没有开始对每个站点进行更深入的分析。但回顾过去后,我所提到的WordPress插件的恶意,以及黑客WordPress网站,并通过他们传播恶意代码的通行做法,我可以假设,随着时间的推移这个网站会显示其真实面目。

图片

我所做的另一个有趣的观察与某个创建域社区有关。例如,我们第一次注意到它们的时间。由于某些原因,其中许多人同时进入了我们的视线。

图片

但通常它们位于同一自治系统中。例如,三个结构域是先前提到的冠状病毒19-大花血症[。] Ru,面膜轮状病毒[。] Ru和mask-3m [。] Ru。由于某些原因,它们全部位于AS 197695中,其中许多被Cisco Umbrella标记为恶意软件,最大负面评级为100。mask-3m [。] Ru域本身具有非危险等级(在撰写本文时为28),但是它托管在IP地址31 [。] 31 [。] 196 [。] 138上,该地址在我们的黑名单中,并且与各种恶意活动相关联:

图片

顺便说一下,这个自治系统AS 197695已成为许多恶意资源的避风港。例如,它托管网络钓鱼站点telegramm1 [。] Ru:

图片

以及awitoo [。] ru,它不仅看起来像钓鱼网站,而且还会传播恶意代码。以下是Cisco Threat Response系统如何显示此域与各种工件之间的链接

图片

与钓鱼1项目,Facebook社交网络,Amazon在线商店,iCloud服务和其他Apple项目相关联的网络钓鱼域。设有眼镜店“ Ochkarik”等。

收集资金与冠状病毒作斗争的网站的话题不容忽视。例如,以下是一个冠状病毒基金,它收集此类捐赠(您只需要将钱转入卡中):

图片

covid-money [。] Ru网站上也有类似的图片,该网站教授如何在COVID-19上赚钱。为此,请留下适当的申请,然后经理会与您联系,经理会告诉您赚钱的秘密。没错,这两个站点(乌克兰站点和俄语站点)都“挂在”与我们找到相关恶意代码的IP相同的IP上:

图片

奇怪的是,一个域也附加到了它,据称是Cisco:

图片

顺便说一句,“当在同一地址或在单个自治网络中时,网络冠状病毒的滋生地就存在着很多恶意资源。例如,在IP 88 [。] 212 [。] 232 [。] 188上,数十个域名立即“挂起”,根据其名称判断,它们针对的是俄罗斯的特定城市-叶卡捷琳堡,萨拉托夫,伊尔库茨克,喀山,别尔哥罗德,哈巴罗夫斯克和等等

图片

现在,我想回到开始本文的域。该域在IP地址87 [。] 236 [。] 16 [。] 164上“挂起”,除数十个其他域外,还与具有有趣地址的域相关联:antivirus.ru [。] Com。当思科威胁响应在调查过程中将他识别为可疑时,我首先认为该域上的站点以类似于我上次讲述的故事(一种与实际COVID-19对抗的软件防病毒)的方式分发了防病毒软件。

图片

但不是。原来,这是3月6日创建的在线商店的网站。我给人的印象是,创造它的人以妇女服装店的现成引擎为基础,并简单地添加了与冠状病毒有关的“热”物品,包括医用口罩,防腐剂,手胶和手套。

图片

但是,要么开发人员没有动手,要么就是不想这样做,但是现在无法在网站上购买任何东西-购买链接无济于事。除了在执行过程中在网站本身上宣传非常特定的抗菌剂和可疑活动外,该网站没有其他用途。而且他没有什么可拜访的,这个数字以单位为单位。但是,如下面的示例所示,如果您开始推广该域,那么它可能会导致网络犯罪分子使用分支机构。

图片

对于域名中提到“掩码”一词的情况,这种情况继续迅速发展。一些域是专门为后续销售而创建的。某些域仅被创建,但尚未涉及。有些域显然是网络钓鱼或直接传播恶意代码。一些资源简直就是大流行病的寄生虫,以高昂的价格出售呼吸器和医用口罩,直到最近,每个口罩的价格为3-5卢布。而且,通常所有这些域都是互连的,如上所示。有人利用冠状病毒这一主题来创建和管理这种恶意域的基础架构。

应该注意的是,不仅在Runet中也注意到类似的情况。以mygoodmask [。] Com这个域名为例,该域名成立于2月27日,从请求分配的角度来看,在美国,新加坡和中国的观众中都很受欢迎。他还出售医用口罩。仅此站点并没有引起任何怀疑,并且在Cisco Threat Response中输入了其地址,我们不会看到任何有趣的信息:

图片

但是,如果不停止此操作,我们会进一步了解,当我们尝试访问mygoodmask [。] Com(注意在这种情况下的行为指标类似于上一个):

图片

我们将重定向到greatmasks [。] com,它将解析为两个IP地址-37 [。] 72 [。] 184 [。] 5和196 [。] 196 [。] 3 [。] 246,其中最后一个是恶意的并在过去几年中托管了许多恶意网站。第一个IP地址解析到与医用口罩销售相关的多个域-safesmask [。] Com,flumaskstore [。] Com,maskhealthy [。] Com等。 (总数超过一打)。

图片

我们可以使用Cisco Threat Response(一种用于调查事件的免费解决方案)来显示相同​​的信息,但呈现方式却有所不同,我已经在Habré上发表了几篇文章:

图片

:利用思科伞调查显示,我们仍然有一个明确的“领头羊”,其累积与冠状病毒的流行,自治系统AS 197695相关的所有恶意资源近80%的数据的热捧分析过去一周

图片

了,除了实际上,在上述所有示例中,它不仅适用于COVID-19主题,而且还适用于许多其他主题,这表明攻击者对当前的大流行没有任何偏爱。只是他们利用了信息发布的机会,不断传播恶意代码,诱使用户访问钓鱼网站,并以其他方式伤害了普通的Runet用户。

图片

当围绕大流行的炒作消退时,将使用相同的基础设施来推广其他主题。例如,上述基础设施的调查始于mygoodmask [。] Com网站,实际上直到最近才开始“推广”医用口罩的主题-在此之前,该机构一直从事有关体育赛事,时尚配饰(包括太阳镜和太阳镜)的网络钓鱼邮件的分发。包袋等因此,我们的网络犯罪分子与他们的外国同事没有太大不同。

图片

好吧,我在4月1日晚上进行的这次闪电战调查得出的结论很简单-欺诈者使用任何病毒,甚至是死亡率高的COVID-19病毒,也是其活动的原因。因此,在任何情况下您都不应放松,以为我们使用在线大流行性分发卡访问的站点,提供购买呼吸器的新闻通讯,甚至通向该站点进行电话会议的社交网络链接最初都是安全的。警觉!这就是帮助我们提高上网安全性的原因。以及本文所述的思科解决方案(思科调查思科威胁网格思科威胁响应),帮助专家进行调查并及时发现所描述的网络威胁。

PS关于前一天,关于与Zoom在线托管系统相关的大量虚假网站的兴起引起了人们的关注,我还没有在RuNet上找到这样的资源,在创建了很多此类域名的Internet的其余部分还不能说这样的资源。

More articles:


All Articles