微步在线安全事件分析:全球数亿主机被FireBall攻陷
6月1日,Check Point公司發布消息,稱近日發現了一款名為“FireBall”的惡意軟件,目前已在全球范圍內廣泛傳播,受感染主機數量兩高達2.5億,受災嚴重的國家包括印度、巴西、墨西哥、印尼和美國,而該軟件背后是一家名為卿燁科技(Rafotech)的中國公司。微步在線對文章中提及的樣本和卿燁科技公司進行了全面分析,目前主要發現包括:
· 卿燁科技法人代表鮑某的郵箱共注冊20多個域名,除公司官網外,還有多款免費軟件下載站、FireBall惡意程序C&C地址以及一個色情網站。卿燁科技未對此次事件進行回應,公司官方網站也已無法訪問。
· 該公司名下的“野馬瀏覽器”更新程序存在后門程序,會進一步下載FireBall的主體程序,并通過安裝惡意插件篡改相關系統設置,同時具備后門功能,使的失陷機器被完全控制。
· FireBall惡意軟件數量巨大,主要利用亞馬遜的云平臺CloudFront作為C&C地址。
· 微步在線通過對相關樣本、IP和域名的溯源分析,共提取69條相關IOC,可用于威脅情報檢測。
· 部署微步在線威脅情報平臺的用戶,可通過系統告警定位到失陷主機(詳見下圖),并使用微步在線提供的應急響應予以分析和處理。
事件背景
Check Point稱近日發現了一款傳播范圍極廣的惡意軟件Fireball,感染的計算機數量高達2.5億。Fireball會通過捆綁其他軟件進行傳播,植入后會在用戶瀏覽器中安裝惡意插件、修改主頁并劫持訪問流量,此外,該程序還具備遠程下載任意程序執行的功能,為用戶帶來巨大安全隱患。
FireBall通常會與DealWifi、MustangBrowser、FVP Imageviewer、Soso Desktop等免費軟件捆綁在一起,而這些軟件均與一家名為“卿燁科技”的公司有關。
卿燁科技
根據網上公開信息檢索發現,“卿燁科技”注冊于2015年,現址為北京市海淀區海淀大街的一個寫字樓,自稱為數字營銷行業領先的跨國公司,提供精準的數字營銷服務和變現方案,服務超過3億全球用戶。主頁為www.rafotech.com,注冊郵箱為baoyu430@gmail.com,推測為鮑某所有。此次事件發生后,公司官方網站已無法訪問。
通過對文章提及的免費軟件搜索發現,DealWifi和Mustang Browser(野馬瀏覽器)均使用了“RAFO TECHNOLOGY INC”的數字證書,對應下載網站(www.dealwifi.com和mustang-browser.com)與“卿燁科技”網站域名注冊信息完全一致,確認為該公司產品。
對郵箱baoyu430@gmail.com排查發現,該郵箱還注冊過bysenda.com、holainput.com、3xlivecam.com、firefox1.com等二十余個域名(詳見附錄)。其中,bysenda.com為“百盛達科技有限公司”主頁,即Soso Desktop軟件數字簽名中的“BYSENDA TECHNOLOGY LIMITED”,主營廣告推廣業務;holainput.com為Hola輸入法軟件的官方網站,該軟件同樣存在捆綁行為;firefox1.com被用作為部分FireBall惡意程序的C&C地址(相關樣本見樣本關聯部分);而3xlivecam.com存在為一個境外色情網站。
通過公開信息檢索發現,該公司公開宣傳的產品為Casual Warrior、Cutie Riot、延邊麻將等多款手機游戲,但從公司簡介和應聘者留言可以看出游戲并非其主營業務。
綜合上述分析可以發現,該公司的業務范圍包括數據服務、廣告營銷、手機游戲、惡意軟件開發甚至成人網站等。
軟件分析
為了解“卿燁科技”與FireBall的關系,微步在線對其名下的“野馬瀏覽器”(MustangBrowser)進行了分析,發現該軟件是經過對chrome瀏覽器的精簡修改版,用戶在執行安裝后,該程序會在其系統中注冊一個更新服務和兩個定時更新計劃,并作為后門功能來安裝大量插件和推廣程序:
其中,各個主要模塊的功能如下:
1. 安裝后注冊更新服務如下圖:
2. 其中該更新程序功能有初始化安裝、自卸載、自更新功能如下圖:
3. 字如其意“-update”功能為從服務器下載該瀏覽器更新程序:
4. 而”-c”為chrome瀏覽器插件功能安裝:
5. 通過在http://x.threatbook.cn對其域名http://mustang.rafoservice.com進行關聯分析,發現與該域名通信的其他惡意樣本下和域名被關聯出來:
通過其的域名分析發現,該惡意程序除了會通過mustang.rafoservice.com 、clouda.firefox1.com、download.rafotech.com等下載更新外,還會利用一些亞馬遜的云平臺CloudFront地址作向受感染用戶發送指令,我們據此關聯出的大量惡意樣本更多和C&C地址:
1. 部分樣本在微步在線分析平臺的檢測效果如下:
https://x.threatbook.cn/report/file/a74857e0b552958af002d93f53b26bd0823ea505ab3bd00c69b33943a0984406
https://x.threatbook.cn/report/file/52e82c9a3681216bb25d65e8e556d27aa6bc0e2397204a594aeeba75408ac322
https://x.threatbook.cn/report/file/9e3ffb2c0a3acc056de3ee6cf92e439d189696758d860f10a5e05754a7cc06ac
2. 并且通過以上域名關聯出樣本a74857e0b552958af002d93f53b26bd0823ea505ab3bd00c69b33943a0984406,其多引擎查殺結果為下圖所示:
3. 通過沙箱對該樣本分析,可以發現該樣本會通過xxx.cloudfront.net下載大量的推廣軟件如:QQ瀏覽器和其他惡意程序包括D_BOX.exe、Bao_U.exe、Kyubey.exe等PE文件如下:
附錄
C&C
clouda.firefox1.com
cloud.firefox1.com
download.rafotech.com
mustang.rafoservice.com
trotux.com
d3l4qa0kmel7is.cloudfront.net
d5ou3dytze6uf.cloudfront.net
d1vh0xkmncek4z.cloudfront.net
d26r15y2ken1t9.cloudfront.net
d11eq81k50lwgi.cloudfront.net
ddyv8sl7ewq1w.cloudfront.net
d3i1asoswufp5k.cloudfront.net
dc44qjwal3p07.cloudfront.net
dv2m1uumnsgtu.cloudfront.net
d1mxvenloqrqmu.cloudfront.net
dfrs12kz9qye2.cloudfront.net
dgkytklfjrqkb.cloudfront.net
d2hrpnfyb3wv3k.cloudfront.net
dmv9o2kt858uv.cloudfront.net
dhxx2phjrf4w5.cloudfront.net
d22y2rii76w1jh.cloudfront.net
d1cik3fvaz5q0e.cloudfront.net
dpcq4996xspsl.cloudfront.net
d35fiykpgyla50.cloudfront.net
d4c04g24ci6x7.cloudfront.net
d10s59hdinqmqq.cloudfront.net
d1qjc90738otwj.cloudfront.net
dhd29up7zcdyt.cloudfront.net
d3l4qa0kmel7is.cloudfront.net
d11m2p9mpffp32.cloudfront.net
d2jeaw7c5nmwo6.cloudfront.net
d3dzwo5vzf4g44.cloudfront.net
d2umj5io7dy7ns.cloudfront.net
d3pa4xcf10sh05.cloudfront.net
d3d5rryrijbudj.cloudfront.net
d1139uuzpj6eq0.cloudfront.net
dzmi1r8zhup3w.cloudfront.net
ddkf4lbppumiv.cloudfront.net
d2buh1bf1g584w.cloudfront.net
dukm85wanb9yh.cloudfront.net
d10mgeltf4qytp.cloudfront.net
d22nes4susdva1.cloudfront.net
d1s7r6dd7iabxj.cloudfront.net
d3i45msoa4p6w0.cloudfront.net
樣本HASH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“卿燁科技”相關域名
rafomedia.com
rafotech.com
rafoservice.com
rafogames.com
3xlivecam.com
answerscome.com
answersshift.com
bysenda.com
cekaojme.com
kigheoiw.com
firefox1.com
firefox1.org
firefox6.net
ghokswa.com
giqepofa.com
sbgpnfejb.xyz
yulinkeji.xyz
3xhub.com
dealwifi.com
deskick.com
holainput.com
mustang-browser.com
sosodesktop.com
neterrors.com
ooxxsearch.com
amisites.com
attirerpage.com
trotux.com
startpageing123.com
funcionapage.com
universalsearches.com
thewebanswers.com
nicesearches.com
youndoo.com
forestbrowser.com
luckysearch123.com
ooxxsearch.com
search2000s.com
walasearch.com
hohosearch.com
yessearches.com
原文發布時間為:2017年6月7日
本文來自云棲社區合作伙伴至頂網,了解相關信息可以關注至頂網。
總結
以上是生活随笔為你收集整理的微步在线安全事件分析:全球数亿主机被FireBall攻陷的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: [PTA]6-12 判断奇偶性
- 下一篇: Open Set Domain Adap