搜索
查看: 19|回复: 0

神秘黑客组织针对Magento网站,是什么原因使加密货币矿工、信用卡信息泄露?

[复制链接]
发表于 2018-7-1 21:06:14 | 显示全部楼层 |阅读模式
本文中所引用的假Flash更新文件,目前已被攻击者从GitHub转移到了port.so[.]tl上,并且bit.wo[.]tc脚本也被转移到了byte.wo[.]tc。

不久前,我们曾发表过一篇有关受感染的Magento站点,被黑客用于推送假Flash Player更新banner,盗取用户凭据的报告文章。在这篇文章中,我们将揭示与该攻击密切相关的一个非常热门的话题——加密货币和挖矿。
信息窃取木马(infostealer)分析
我们发现的恶意软件二进制文件已被Themida打包过,因此文件分析并没有提供太多有用的信息(这也解释了我们之前在VirusTotal上看到的,所有常规检测结果)。快速的活动分析表明,该恶意软件的行为是典型的信息窃取木马。最初我们猜测它是一个Lokibot。
在阅读过我们之前发布的帖子后,恶意软件研究人员Paul Burbage认为该恶意软件应该是另一个具有相似功能的infostealer,称之为Azorult v2.9
确切地说,Azorult v2.9是恶意软件。这个家族是一种infostealer恶意软件,并在俄罗斯的地下黑客论坛上被出售。
C2 gate: hxxp://port.so[.]tl/log.php
C2 admin: hxxp://port.so[.]tl/index.php pic.twitter.com/yDZwWRSWhI
— Paul Burbage (@hexlax) 2018.3.15
Paul提到该恶意软件还会在受感染的计算机上分发加密货币矿工。Sucuri专注于网站,对于客户端恶意软件并不擅长,但是,我们也发现了这种攻击与加密货币矿工的联系。
与之关联的网站
当MalwareBytes的同事向我分享了该恶意软件的PCAP文件后,我分析了它与其它站点的关系。
除此之外,我还发现了一个下载这个文件的请求:hxxp://frogloud[.]com/TOP/wp-content/uploads/2016/cmd.bin
VirusTotal快速恶意软件识别的检测率为21/66。
之后,我注意到frogloud[.]com本身是一个合法的网站,但已被黑客控制。除了恶意的cmd.bin文件外,该站点还有两个来自siteverification[.]online的可疑脚本。

hxxp://siteverification[.]online/lib/status.js和hxxp://siteverification[.]online/lib/lib.js拥有相同的内容并在隐藏的iframe中加载站点的主页:

让我们来查看下这个页面。这是一个Apache服务器的默认欢迎页面,并没有配置真实的站点。

别急,让我们再查看下这个页面的源代码。

在HTML代码的底部我们发现了一个CoinHive矿工,其网站密钥为”f63LSXxFY7jdZhns0PTiz67v8tU03If8“。
所以,这些脚本实际上做的只是注入一个iframe,一旦有访问者访问该网站就会成为黑客们的挖矿工具,为其挖掘所罗门币。
相关感染
让我们来检查其他感染了相同恶意软件的站点。PublicWWW为我们快速找到了1787个受到感染的网站,它们的恶意内容均来自siteverification[.]online。
除了我们在frogloud[.]com上发现的“status.js”和“lib.js”文件之外,还有一些其他的变体,如“info.js”,“stat.js”,甚至 一些直接的iframe注入。
就像我们在上一篇文章中看到的那样,受影响的网站大多是Magento。当对它们扫描时,我们发现多数网站都受到这两种感染 -即来自bit.wo[.]tc的假Flash更新和来自siteverification[.]online的加密货币矿工。

这意味着这些站点很可能在同一时间,被不同的黑客组织所利用。
我们还发现一些其他与bit.wo[.]tc假Flash更新共存的常见感染 – 例如,旧的Magento重定向脚本,或来自hxxps://onlinestatus[.]site/js/status.js的信用卡信息盗取脚本 (PublicWWW)
Magento恶意软件的常见特性
另一方面也有很多的迹象表明,这些最近的感染可能是相关的,因为它们具有许多共同的特征并且共存于相同的网站上。
恶意链接中的路径模式
假Flash更新:bit.wo[.]tc/js/lib/js.js 信用卡盗取:onlinestatus[.]site/js/status.js 加密货币矿工:siteverification[.]online/lib/status.js 加密货币矿工2017年九月回归:hxxps://camillesanz[.]com/lib/status.js
默认的Apache2 Debian页面
如果我们打开onlinestatus[.]site网站的主页,我们会看到与siteverification[.]online主页相同的默认Apache2页面 – 不同的是这次并没有发现加密货币矿工。但是在同一台服务器上(185.202.103.37)有另外一个域 – onlinestatus[.]stream – 其默认也是“Apache2的欢迎页面”并且也包含了一个注入的矿工,该网站密钥为“ZjAbjZvbYgw68hyYGhrl7xgDEqUK9FiZ”,以及一个混淆的CoinHive JavaScript保存在一个我们熟悉的路径模式文件中:onlinestatus[.]stream/lib/status.js。
api2.checkingsite.site
让我们回到由假Flash更新产生的PCAP文件,在那里我们看到一系列POST请求到api2.checkingsite[.]site (e.g. POST /2.0/method/checkConnection, POST /2.0/method/error, POST /4.0/method/installSuccess)。
我不会在这里推测这些请求的目的。对我的调查来说更重要的是checkingsite[.]site的IP 37.1.206.48。这与在挖矿攻击中使用的siteverification[.]online站点具有相同的IP。
这是受感染Magento网站上,假Flash更新恶意软件和被注入的CoinHive矿工的最直接联系。根据上面的信息,我们也可以将这些攻击与Magento信用卡窃取者联系起来。
Cryptojacking 360o
最初我忽略了siteverification[.]online站点和假的Flash更新之间,其实还有一个更直接的联系。事实证明,大多数受感染的站点都有两个注入siteverification[.]online脚本(如lib/info.js and lib/lib.js)是有原因的。
这些文件并不是静态的。当你第一次加载脚本时,你会获取到之前文章中提到的一个由bit.wo[.]tc/js/lib/js.js脚本提供的假Flash更新脚本。但是,随后的所有请求都会返回带有CoinHive矿工的隐藏iframe或空文件。

总结此攻击的新受害者的工作流程,第一个脚本加载了一个信息窃取木马的假 Flash 更新Banner,然后在受害者的计算机上安装加密货币矿工。几乎同时,第二个脚本在隐藏的iframe中打开基于浏览器的加密货币矿工。
顺便说一句,这次攻击并仅仅只依靠挖矿来获取加密货币。 Azorult infostealer最受欢迎的功能之一是它可以从流行的比特币(和其他硬币)钱包(例如wallet.dat和electrum.dat等文件)中窃取私钥。
信用卡窃取向量也是如此。除了劫持Magento结账页面的脚本之外,当受害者在线付款时,木马还会尝试从浏览器窃取付款细节。
这可能并不是新的活动
当我完成了对这次攻击的Magento方面的调查后,我决定检查GitHub部分以更进一步的了解。如果这些黑客的Magento恶意软件自2017年中以来一直存在,那么2018年3月8日创建的flashplayer31存储库可能不是他们第一次尝试在他们的攻击中使用GitHub。
我很快为这个假设找到了证据。 许多安全研究人员发现了这些虚假的Flash更新。
Jan 2, 2018: Fake Flash Updater is Actually Coinminer Malware with github[.]com/hoyttgio/Download/raw/master/log/flashupdate.exe Jan 18, 2018: Fake Flash update leads to Bitcoin Miner with github[.]com/vediwide/cpp/raw/master/bin/flashupdate.exe Feb 2, 2018: Fake Flash update leads to Bitcoin Miner. Part 2 with github[.]com/cilmenupse/downtime/raw/master/test/file/flashUpdate.exe
恶意软件并不总是伪装成Flash Player更新。去年10月,同样的方法也被用在了假的“Roboto Condensed字体”下载中。
Hibryd-Analysis网站帮助我识别了来自github[.]com/vaio666999/2/blob/master/GoogleUpdater.exe?raw=true的此恶意软件的变体GoogleUpdater。这个相同的存储库还包含名称为xmrig32.exe(Monero矿工)和64.exe(64位版本的同一矿工)的文件。
通过UrlQuery的快速搜索,在各种GitHub存储库中我发现了一些类似的假updaters。
Feb 5, 2018: github[.]com/dizovoz/rui2/raw/master/flashUpdate.exe Jan 23, 2018: github[.]com/ikpt/Ex/raw/master/redis/flashupdate.exe Jan 19, 2018:github[.]com/zopihafo/SMPPClient/raw/master/SMPP/SmppClient/flashupdate.exe Jan 14, 2018: github[.]com/lqzo7/dragandrop/raw/master/flashupdate.exe Dec 28, 2017: github[.]com/lumaf/django-registration-templates/raw/master/registration/flashupdate.exe Aug 22, 2017: github[.]com/kul1337/3.0.43.124/raw/master/upd.exe
正如你所看到的,至少自2017年8月以来,GitHub就一直被此次攻击所使用。一旦旧的帐户和存储库被禁用,就会定期创建新帐户和存储库。
正如我们在之前的博文中所推测的那样,创建新帐户和存储库是件非常容易的事,在短时间内攻击者就可以恢复他们的操作。在我们发布帖子之后,截至2018年3月15日,flashpartyer31帐户已被GitHub禁用,但在第二天,攻击开就始使用了一个新创建的johnplayer32帐户。
来自受感染网站的假Flash Player已重新使用新的@github帐户。
cc @unmaskparasites @hexlax @MarceloRivero
GitHub:https://t.co/LR6uotjNtx
Payload:https://t.co/14IXNhbjFu
Sucuri blog:https://t.co/gmUH99yePA pic.twitter.com/0Ao8DqCP8p
— Jér?me Segura (@jeromesegura) March 16, 2018
在Magento中查找恶意软件
这篇文章证明,这个黑客组织有着长期针对Magento网站的历史。
虽然他们的攻击范围很广,从信用卡窃取,浏览器(和Windows)加密货币矿工 到信息窃取木马,但感染的服务器端部分基本相同。
这些脚本通常被注入到core_config_data表中。 例如,在design/head/includes or design/footer/absolute_footer部分。
如果你认为你的网站已遭到入侵,我们很乐意提供帮助。你可以在我们的在线指南中获取到更多有关清理受感染的Magento网站的信息。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

菜鸟论坛

菜鸟论坛-致力于个人网站发展的草根站长联盟,为广大从事互联网工作、前端开发、个人站长、网站搭建、SEO优化、网络运营以及其他领域的个人草根站长同学提供一个免费公益性的信息交流与资源分享的站长平台。

微信公众号

联系我们

  • 广告合作
  • QQ:542750839

QQ|手机版|小黑屋|菜鸟论坛 ( 鲁ICP备17013748号 )|网站地图

Powered by Discuz! X3.4 © 2018 MZHENG.CN

快速回复 返回顶部 返回列表