Анализ сетевой инфраструктуры играет большую роль в исследовании вредоносных кампаний. Сведения о том, какие IP-адреса соответствовали доменному имени в различные промежутки времени, позволяют определить новые серверы злоумышленников. Решение противоположной задачи (ретроспектива доменов, которые разрешались в заданный IP-адрес) дает новые домены, для которых можно повторять процедуру поиска, раскручивая цепочку все дальше и дальше. Вся полученная информация помогает получить представление о географии узлов, выделить «любимых» хостеров и регистраторов, подметить характерные значения полей, которые указывает злоумышленник, когда регистрирует очередной домен.
На первый взгляд бесполезная метаинформация может пригодиться спустя несколько дней, недель и даже месяцев. Ведь в ходе анализа вредоносного ПО рано или поздно встает вопрос атрибуции, принадлежности инструмента той или иной преступной группировке: и вот тут на помощь приходят все косвенные признаки, в том числе и данные о сетевых индикаторах.
В этой статье мы рассмотрим наиболее характерные признаки сетевой инфраструктуры группы TA505 и покажем пересечения с другой хакерской группировкой, Buhtrap.
Регистраторы доменных имен
В общей сложности мы проанализировали 372 домена группы и выделили 22 организации, предоставляющие услуги по приобретению доменных имен. Наибольшим интересом у злоумышленников пользовались следующие ресурсы:
- WhoisGuard, Inc. — 28 доменных имен,
- Eranet International Limited — 26 доменных имен.
Панамская организация WhoisGuard предоставляет возможность скрыть свои регистрационные данные от публичного доступа. Это отнюдь не первый случай использования услуг этой компании для анонимизации и усложнения расследований.
Кроме этого, мы обнаружили использование других аналогичных сервисов — PROTECTSERVICE, LTD, Whois Privacy Protection Foundation, Domains by Proxy, LLC — правда, в меньшем объеме.
Компания Eranet International Limited является одним из крупнейших регистраторов Гонконга. Стоит отметить, что при регистрации большинства доменов у этого провайдера злоумышленники пользовались динамической DNS — в результате IP-адреса, в которые разрешалось доменное имя, менялись очень часто, затрудняя тем самым поиск дальнейших следов.
Регистранты доменных имен
В ходе исследования WHOIS-информации доменных имен в некоторых случаях удавалось получать уникальные значения для некоторых полей.
| Домен | WHOIS-поле | Значение | ВПО |
|---|---|---|---|
| kentona[.]su | ctouma2@gmail.com | Smoke Loader/RMS RAT | |
| koppepan[.]app | nox1u9bruzgg@contactprivacy.email | FlawedAmmyy loader | |
| 0141koppepan[.]com | 0141.koppe.pan@gmail.com | FlawedAmmyy loader | |
| elast[.]pw | City | hai dian hai dian | ServHelper RAT |
| Name | Lei Sun Lei | ||
| Phone | +86.15810310076 | ||
| std3199@163.com | |||
| makosoft[.]hu | takagimeister@gmail.com | EmailStealer | |
| bigpresense[.]top | Fax | +1.7246992079 | EmailStealer |
| armstrongdom@slimemail.com | |||
| solsin[.]top | Organization | Brandon P. Thurman | FlawedAmmyy loader |
| Fax | +1.3084575035 | ||
| BrandonPThurman@grr.la | |||
| newfolder2-service[.]space | State | smolenskaya oblast | Smoke Loader |
| Phone | +7.9385040686 | ||
| ssserviceshop1@yandex.ru | |||
| windows-several-update[.]com | Street | NO.1111 Chaoyang Road | FlawedAmmyy loader |
| Name | Wiet Lee | ||
| Phone | +86.86756381050 | ||
| whois-protect@hotmail.com | |||
| windows-update-02-en[.]com | Street | Shinararneri str. 43 | FlawedAmmyy loader |
| Name | Artak Gasparyan | ||
| Phone | +374.37494527465 | ||
| test-service012505[.]com | Street | Mangilik yel, 52, 102 | Smoke Loader |
| Name | Askar Dyussekeyev | ||
| Phone | +7.71727172 | ||
| microsoftsyncservice[.]biz | Organization | zhuhaiyingxunkejiyouxiangongsi | Smoke Loader |
| office365onlinehome[.]com | Organization | Internet Invest, Ltd. dba Imena.ua | ServHelper RAT |
| Street | Gaidara, 50 st. |
Разумеется, не всем полям можно слепо доверять. Однако значения некоторых из них могут дать интересную информацию. Например, по электронному ящику ctouma2@gmail.com можно выйти на список других доменов, которые регистрировались на это же значение. Другой почтовый ящик 0141.koppe.pan@gmail.com ведет на множество различных ресурсов: аккаунт на Github, Steam, японском хакерском форуме Qiita с ссылкой на вредоносный домен в профиле, YouTube-канал, аккаунт в Skype (live:141.koppe.pan) и т. д.
Мы оставим глубокий анализ WHOIS-данных за рамками этой статьи. Отметим лишь, что злоумышленники часто прибегают к использованию взломанных легитимных ресурсов для размещения ВПО первой стадии. Ниже примеры таких доменов:
- greenthumbsup[.]jp
- fakers.co[.]jp
- nanepashemet[.]com
- nagomi-753[.]jp
- iluj[.]in
Автономные системы (AS)
Для полноты картины мы приводим топ автономных систем (AS), которым принадлежат IP-адреса управляющих серверов. Конечно, отдельно взятой автономной системе принадлежит множество хостов: как легитимных, так и нет, включая различные семейства ВПО самого разного происхождения. Приведенную ниже статистику следует воспринимать как характеристику предпочтений злоумышленника. В совокупности с другими фактами она может являться материалом для атрибуции.
| Уникальный номер (ASN) | Название AS | Число IP-адресов |
|---|---|---|
| 39798 | MivoCloud SRL | 21 |
| 61138 | Zappie Host LLC | 14 |
| 51852 | Private Layer INC | 8 |
| 13335 | Cloudflare, Inc. | 5 |
| 199524 | G-Core Labs S.A. | 5 |
| 21100 | ITL LLC | 5 |
| 45102 | Alibaba (US) Technology Co., Ltd. | 5 |
Пересечение с группой Buhtrap
Одиннадцатого июля 2019 года наши коллеги из ESET выпустили статью о недавней атаке группы Buhtrap с использованием уязвимости нулевого дня в Windows-компоненте Win32k. Одним из описанных модулей был так называемый grabber-модуль для кражи паролей пользователя от почтовых клиентов, браузеров и т. п. Спустя некоторое время мы нашли аналогичный описанному модуль (MD5: c6e9d7280f77977a6968722e8124f51c) с тем же самым управляющим сервером в теле (redmond.corp-microsoft[.]com).
По данным ресурса PaSiveTotal, этот хост разрешается в IP-адрес 95[.]179.159.170 с 6 июня 2019 года.
Немного ранее, 2 июля 2019 года, наши коллеги из Proofpoint сообщили о новых инструментах группы TA505, один из которых носит название Andromut (также известен как Gelup) и является загрузчиком FlawedAmmyy RAT. Одна из вариаций загрузчика (MD5: 0cbeb424d96e5c268ec2525d603f64eb), которую мы встретили, использует домен compatexchange-cloudapp[.]net в качестве управляющего сервера.
По данным ресурса PaSiveTotal, этот хост разрешается в IP-адрес 95[.]179.159.170 с 8 июня 2019 года.
Оба домена зарегистрированы у одного и того же регистратора (Tucows Domains Inc.) с разницей в два дня, разрешаются в один и тот же IP-адрес. С учетом того, что как раз в течение июня обе группы проводили очередные атаки, мы делаем вывод об использовании Buhtrap и TA505 общего хоста в качестве управляющего сервера.
Добавим, что домен compatexchange-cloudapp[.]net использовался не только в загрузчике выше, но и в более старых версиях компонентов Buhtrap.
Спустя некоторое время мы встретили еще одно похожее пересечение: на этот раз аналогичным образом встретились домены другого граббера от Buhtrap и загрузчика Smoke Loader от TA505: домен test-service012505[.]com Smoke Loader (MD5: 5fc6f24d43bc7ca45a81d159291955d1) и домен secure-telemetry[.]net граббера (MD5: 79d1a836423c7ee57b6127cf2930a9d9) с 17 и 16 июля 2019 года соответственно разрешаются в IP-адрес 194[.]4.56.252.
Выводы
Мы познакомились с особенностями сетевой инфраструктуры группы TA505. Рассмотрели характерные черты регистраторов доменных имен и хостеров для управляющих серверов. Отметили любопытные особенности информации о клиенте, указанной при регистрации доменов; это может послужить отправной точкой для более детальных исследований. Рассмотрели инфраструктурные пересечения между группами TA505 и Buhtrap. Объяснить ситуацию с общими серверами можно по-разному: группы могут делить серверы по договоренности; у групп может быть единый управляющий субъект, координирующий их действия; обе группы могут арендовать серверы у третьих лиц (а те, в свою очередь, экономят на ресурсах). Мы продолжим отслеживать активность обеих группировок и будем искать новые сведения об их возможных связях и совместной деятельности.
Авторы: Алексей Вишняков и Максим Анфиногенов, Positive Technologies
IOCs
TA505 C2:0141koppepan[.]com
bigpresense[.]top
elast[.]pw
fakers.co[.]jp
greenthumbsup[.]jp
iluj[.]in
kentona[.]su
koppepan[.]app
makosoft[.]hu
microsoftsyncservice[.]biz
nagomi-753[.]jp
nanepashemet[.]com
newfolder2-service[.]space
office365onlinehome[.]com
solsin[.]top
test-service012505[.]com
windows-several-update[.]com
windows-update-02-en[.]com
c6e9d7280f77977a6968722e8124f51c — grabber-модуль Buhtrap
redmond.corp-microsoft[.]com — Grabber C&C
0cbeb424d96e5c268ec2525d603f64eb — Gelup загрузчик от TA505
compatexchange-cloudapp[.]net — Gelup C&C
95.179.159[.]170 — общий хост TA505 и Buhtrap
79d1a836423c7ee57b6127cf2930a9d9 — grabber-модуль Buhtrap
secure-telemetry[.]net — Grabber C&C
5fc6f24d43bc7ca45a81d159291955d1 — Smoke Loader загрузчик от TA505
test-service012505[.]com — Smoke Loader C&C
194[.]4.56.252 — общий хост TA505 и Buhtrap