2017年2月,英国国家犯罪局(NCA)在伦敦机场逮捕一名29岁的英国嫌疑人, 涉嫌攻击2016年11月底德国的90万个路由器。根据披露的信息,本次攻击疑似为Mirai变种导致,分析人员在相关感染的样本中发现了与Mirai相同的代码。但与Mirai不同的特征在于,Mirai在进行感染传播的过程中,会对目标的23和2323端口进行扫描,而这次的样本是针对目标的7547端口进行扫描。我们捕获到了与此次攻击类似的样本并对其进行详细分析。
虽然目前调查人员还没有公布这名男子的名字,但在一份声明中,德国警方介绍到,本次攻击的这些僵尸主控机在黑市中都能买得到,所以媒体暂时将该男子成为“Bestbuy”。本文就为大家深扒一下这些售卖物联网设备信息的黑市。
译者注:百思买集团(Best Buy),全球最大家用电器和电子产品零售集团。
安全公司Tripwire发布了一份对Mirai攻击的研究报告,报告指出绑定到用于协调僵尸网络活动的服务器的域名被已不同的身份注册,且注册人的居住地为以色列的一个街道地址。
据多家安全公司的研究,负责德意志电信中断的Mirai僵尸网络会通过互联网地址62.113.238.138的服务器进行控制。其中Farsight安全公司发现,那些域名会在不同的时间段映射到不同的互联网地址,报告说这个地址只对应九个域名。
可以看出,与Mirai无关的唯一一个域名是dyndn-web.com,根据BlueCoat(现为赛门铁克)的2015年报告,该域名就是从GovRAT处买来的。GovRAT是一个给恶意软件签署数字签名证书的平台,而里面的数字证书最初在Tor网络黑市TheRealDeal上销售。GovRAT可以使用Microsoft SignTool、WinTrust、Authenticode技术等,对恶意代码进行数字签名。GovRAT目前的买家除了具有政府性质的APT组织,还有100多家公司。
来自安全公司InfoArmor的报告也显示,当在GovRAT上进行交易的时候,卖家会将自己称为“BestBuy”或“Popopret”。
以上是黑客“bestbuy”在黑市的网络论坛“Hell”上出售他的GovRAT木马截图:InfoArmor。
GovRAT自从至少2014年以来就一直在各种恶意软件和漏洞利用相关的网站上销售。例如,今天的oday[dot]today,GovRAT由一个昵称Spdr的用户销售,所使用的电子邮件地址为spdr01@gmail .COM。
回想一下,用于攻击德国电信的Mirai僵尸网络的域名在域名注册记录中都有一些特定的形式。另外,用于管理GovRAT木马的控制器和那个Mirai的僵尸网络同时在同一个服务器上托管。
根据InfoArmor的另一份报告,GovRAT也被一起出售,且允许任何人使用从合法公司窃取的代码签名证件对恶意软件进行数字签名。 InfoArmor表示,目前所发现的数字签名已发布给开放源代码的开发商Singh Aditya,使用电子邮件地址为parkajackets@gmail.com。
有趣的是,这parkajackets@gmail.com和spdr01@gmail.com 两个电子邮件地址都连接到vDOS上类似命名的用户帐户,这是近年来最大的DDoS出租服务。
去年夏天,vDOS遭到大规模的黑客攻击,之后其用户和付款数据库被泄露了出来。泄露的数据库显示,这两个电子邮件地址都绑定到名为“bestbuy”(bestbuy和bestbuy2)的vDOS上的帐户。
Spdr01在恶意软件和漏洞利用网站上的GovRAT木马的销售列表显示他使用电子邮件地址spdr01@gmail.com
泄露的vDOS数据库还包含vDOS客户用于登录攻击目的服务的互联网地址的详细记录。这些日志显示,英国和香港的多个不同的IP地址重复登录了bestbuy和bestbuy2帐户。
vDOS的技术支持日志表明,vDOS数据库显示两个名为“bestbuy”的不同帐户的原因是vDOS管理员在看到登录到英国和香港的帐户之后,禁止原始“bestbuy”帐户。 原始“bestbuy”帐户向vDOS管理员表示,他确实没有将账户共享。
上述数据中的一些线索表明,对这两个Mirai僵尸网络和GovRAT负责的人都与以色列有联系。一方面,电子邮件地址spdr01@gmail.com注册了至少三个域名,所有这些域名都绑在以色列的一个地址。此外,在几个黑市的网站信息中,可以看出“bestbuy”询问是否有任何关于以色列域名的信息。
虽然目前对绑在spdr01@gmail.com上的域名还没有什么调查结果,但是,似乎昵称“spdr01”和电子邮件spdr01@gmail.com早在2008年被以色列黑客论坛和IRC聊天室Binaryvision.co.il的核心成员使用。
访问该用户的Binaryvision页面,我们可以看到Spdr是一名擅长技术的用户,他撰写了几篇有关网络安全漏洞和移动网络安全性的文章。
本文的作者与Binaryvision的多位会员取得联系,并询问有人是否仍然与Spdr保持联系。其中一位会员说,他觉得Spdr持有以色列和英国双重国籍,现在大约30岁。另外还有人说Spdr最近刚刚结婚。
但是,对这些用户的社交网络帐户进行一些搜索可以发现,上述描述都很靠谱。一个叫Daniel Kaye的用户在Facebook的别名为“DanielKaye.il”(.il是以色列的顶级国家代码域),Kaye先生现在已经29岁了,与他结婚的名叫凯瑟琳的女人在英国。
Kaye的Facebook个人资料中的背景图片是香港的照片。
本文作者在Domaintools.com 上,以“Daniel Kaye”的名称进行了“reverse WHOIS”搜索,并在其中显示了103个当前和历史名称的域名记录。其中Cathyjewels[dot]com域名似乎只绑在了一个英国的自制珠宝店的地址。
Cathyjewels [dot] com于2014年注册于英国Egham的Daniel Kaye,使用的电子邮件地址为danielkaye02@gmail.com。于是本文作者决定通过Socialnet运行这个电子邮件地址,Socialnet运是一个用于数据分析工具Maltego的插件,Maltego是一款十分适合渗透测试人员和取证分析人员的优秀工具,其主要功能是开源情报收集和取证。一番分析表明这个电子邮件地址与Gravatar的一个帐户相关联,这个账户允许用户在多个网站上使用相同的头像,比如Spdr01。
当搜索电子邮件地址danielkaye02@gmail.com时,来自Maltego的Socialnet插件的显示Daniel Kaye没有收到多个通过Facebook发送的评论请求以及本文提到的各种电子邮件地址。
如果有人想继续这项研究,则可以根据本文作者提供的思维导图接着进行。