Ramnit攻击活动传播Azorult恶意软件技术分析报告<\/h1>

1. 攻击活动概述<\/h2>
研究人员发现一起新的Ramnit攻击活动，主要传播通过web-injects窃取敏感信息的恶意软件。攻击者与其他网络犯罪分子合作，使用第三方服务增强恶意软件能力，同时传播其他恶意软件。<\/p>

1.1 攻击时间线<\/h3>

2018年9月1日：发现3个新的Ramnit僵尸网络<\/li>
9月24日：开始上传另一个恶意软件<\/li>
9月27日：第二波恶意软件上传<\/li>
9月28日：开始传播新插件<\/li>

10月1日：下载URL变更<\/li> <\/ul>

2. 攻击技术细节<\/h2>

2.1 僵尸网络基础设施<\/h3>

发现3个新的Ramnit僵尸网络，背后有5个不同的C2服务器：<\/p>

僵尸网络名称<\/th> C2服务器<\/th> 攻击目标<\/th> <\/tr> <\/thead>

Client<\/td> nagoyashi[.]chimkent[.]su<\/td> 加拿大、日本、美国和意大利的银行和零售商<\/td> <\/tr>

Black<\/td> 内部协议<\/td> 同上<\/td> <\/tr>

Demetra<\/td>

前苏联国家VPS服务<\/td>

僵尸网络名称<\/th>	C2服务器<\/th>	攻击目标<\/th> <\/tr> <\/thead>
Client<\/td>	nagoyashi[.]chimkent[.]su<\/td>	加拿大、日本、美国和意大利的银行和零售商<\/td> <\/tr>
Black<\/td>	内部协议<\/td>	同上<\/td> <\/tr>
Demetra<\/td>	前苏联国家VPS服务<\/td>	同上<\/td> <\/tr> <\/tbody> <\/table> 2.2 感染统计<\/h3> 一个月感染约16000台计算机<\/li> 主要感染向量：Rig和GrandSoft利用工具<\/li> 通过Azorult恶意软件进行传播<\/li> <\/ul> 2.3 恶意软件特征<\/h3> 使用有效的数字签名（非典型特征）<\/li> 传播Azorult恶意软件<\/li> 使用第三方payload<\/li> <\/ul> 3. 恶意软件传播机制<\/h2> 3.1 下载执行流程<\/h3> Ramnit感染的机器实现恶意软件协议的`getexec<\/code>命令<\/li>` `从C2服务器下载payload<\/li>` 执行下载的恶意软件<\/li> <\/ol> 3.2 下载URL演变<\/h3> 初始URL：http:\/\/0959tg[.]dagestan[.]su\/azde3y7hr839ji.exe<\/code><\/li> 更新后URL：http:\/\/4b053f3c6a98[.]net\/azzis9i3uhi.exe<\/code><\/li> <\/ul> 3.3 恶意软件更新频率<\/h3> 提供的样本每隔几小时更新一次<\/p> 4. C2服务器分析<\/h2> 4.1 服务器分布<\/h3> 主要使用俄罗斯和前苏联国家的VPS服务<\/li> 选择的主机服务提供商特点：不需要身份验证<\/li> 允许匿名支付<\/li> <\/ul> <\/li> <\/ul> 4.2 标准插件<\/h3> Ramnit上传的标准插件包括：<\/p> "Cookie Grabber v0.3 (IE Export)" (SHA256: f022d8d4fd0f102c6af1420a960c50e46338bf199563b2b2ad2799166cde8d04)<\/li> "IE & Chrome & FF injector" (SHA256: 8b8e00b292d53900b7789cfde4159a3421fa103f907c0da90962e79a9141a6ea)<\/li> "VNC (23 port) x64-x86" (SHA256: 3007e243adfa318b137994c0782b39981f260b9685910e8c0ff9430b2de802be)<\/li> "Antivirus Trusted Module v2.0" (SHA256: b5a95a9bf419eab69d24b87ec561c657291d944acead30b25d004842db63338a)<\/li> <\/ol> 4.3 新增插件<\/h3> 9月28日开始传播：<\/p> "Pony based pwd stealer" (多个SHA256哈希)<\/li> "FF&Chrome reinstall x64-x86 [silent]" (SHA256: 2ee04686b2daa0a2f03f4b05f967d3a8b6bac89eb14f40674a04ef0b6e313f56)<\/li> <\/ol> 5. Web-injects服务分析<\/h2> 5.1 网关URL<\/h3> 用于通过web-injects收集窃取数据的网关URL：<\/p> https:\/\/ijoljjk.adygeya[.]su\/uadmin\/gates\/log.php https:\/\/kioxixu.abkhazia[.]su\/amzats\/gate.php https:\/\/kioxixu.abkhazia[.]su\/jpccgrab\/gate.php https:\/\/net-info[.]info\/c\/lucifer\/us\/attadmin\/gate.php <\/code><\/pre> 5.2 服务提供商<\/h3> 使用Yummba web injects服务（Full Info Grabber），特点：<\/p> 允许攻击者将自定义元素插入web页面<\/li> 提供大量公共注入和自己开发的注入模块<\/li> 可追溯到2013年俄罗斯论坛exploit.in的广告<\/li> <\/ul> 5.3 与其他恶意软件的关联<\/h3> 部分web-injects C2服务器之前也被Osiris\/Kronos日本攻击活动使用<\/p> 6. 攻击活动特点<\/h2> 协作性<\/strong>：与其他网络犯罪分子合作，使用第三方服务<\/li> 多元化<\/strong>：创建了多元的恶意软件生态系统<\/li> 经济驱动<\/strong>：为经济利益提供安装其他恶意软件的能力<\/li> 技术整合<\/strong>：使用第三方web-injects服务<\/li> 利用套件和其他僵尸网络传播<\/li> 共享基础设施<\/li> <\/ul> <\/li> <\/ol> 7. 防御建议<\/h2> 网络监控<\/strong>：监控与已知恶意域名的连接<\/li> 签名验证<\/strong>：警惕具有有效数字签名的可疑文件<\/li> 补丁管理<\/strong>：及时更新系统和软件补丁<\/li> 用户教育<\/strong>：提高对钓鱼攻击和可疑下载的警惕性<\/li> 端点防护<\/strong>：部署能够检测Ramnit和Azorult的终端安全解决方案<\/li> <\/ol> 8. 威胁指标(IOCs)<\/h2> 8.1 Azorult下载URL<\/h3> http:\/\/4b053f3c6a98[.]net\/azzis9i3uhi.exe http:\/\/0959tg[.]dagestan[.]su\/azde3y7hr839ji.exe <\/code><\/pre> 8.2 Full Info Grabber gates<\/h3> https:\/\/ijoljjk.adygeya[.]su\/uadmin\/gates\/log.php https:\/\/kioxixu.abkhazia[.]su\/amzats\/gate.php https:\/\/kioxixu.abkhazia[.]su\/jpccgrab\/gate.php https:\/\/net-info[.]info\/c\/lucifer\/us\/attadmin\/gate.php [其他类似结构的URL] <\/code><\/pre> 8.3 Pony stealer gate<\/h3> http:\/\/net-info.info\/c\/lucifer\/pony\/about.php <\/code><\/pre> 8.4 配置和web-injects<\/h3> 配置：https:\/\/pastebin.com\/LT28xUdL<\/li> Web-injects：多个Pastebin链接<\/li> <\/ul> 9. 参考资源<\/h2> Akamai Yummba webinject工具威胁报告<\/li> Check Point研究团队关于新Ramnit活动的报告<\/li> <\/ol>

同上<\/td> <\/tr> <\/tbody> <\/table>

2.2 感染统计<\/h3>

一个月感染约16000台计算机<\/li>
主要感染向量：Rig和GrandSoft利用工具<\/li>

通过Azorult恶意软件进行传播<\/li> <\/ul>

2.3 恶意软件特征<\/h3>

使用有效的数字签名（非典型特征）<\/li>
传播Azorult恶意软件<\/li>

使用第三方payload<\/li> <\/ul>

3. 恶意软件传播机制<\/h2>

3.1 下载执行流程<\/h3>

Ramnit感染的机器实现恶意软件协议的getexec<\/code>命令<\/li>
从C2服务器下载payload<\/li>

执行下载的恶意软件<\/li>
<\/ol>
3.2 下载URL演变<\/h3>

初始URL：http:\/\/0959tg[.]dagestan[.]su\/azde3y7hr839ji.exe<\/code><\/li>
更新后URL：http:\/\/4b053f3c6a98[.]net\/azzis9i3uhi.exe<\/code><\/li>
<\/ul>
3.3 恶意软件更新频率<\/h3>
提供的样本每隔几小时更新一次<\/p>
4. C2服务器分析<\/h2>
4.1 服务器分布<\/h3>

主要使用俄罗斯和前苏联国家的VPS服务<\/li>
选择的主机服务提供商特点：

不需要身份验证<\/li>
允许匿名支付<\/li>
<\/ul>
<\/li>
<\/ul>
4.2 标准插件<\/h3>
Ramnit上传的标准插件包括：<\/p>

"Cookie Grabber v0.3 (IE Export)" (SHA256: f022d8d4fd0f102c6af1420a960c50e46338bf199563b2b2ad2799166cde8d04)<\/li>
"IE & Chrome & FF injector" (SHA256: 8b8e00b292d53900b7789cfde4159a3421fa103f907c0da90962e79a9141a6ea)<\/li>
"VNC (23 port) x64-x86" (SHA256: 3007e243adfa318b137994c0782b39981f260b9685910e8c0ff9430b2de802be)<\/li>
"Antivirus Trusted Module v2.0" (SHA256: b5a95a9bf419eab69d24b87ec561c657291d944acead30b25d004842db63338a)<\/li>
<\/ol>
4.3 新增插件<\/h3>
9月28日开始传播：<\/p>

"Pony based pwd stealer" (多个SHA256哈希)<\/li>
"FF&Chrome reinstall x64-x86 [silent]" (SHA256: 2ee04686b2daa0a2f03f4b05f967d3a8b6bac89eb14f40674a04ef0b6e313f56)<\/li>
<\/ol>
5. Web-injects服务分析<\/h2>
5.1 网关URL<\/h3>
用于通过web-injects收集窃取数据的网关URL：<\/p>
https:\/\/ijoljjk.adygeya[.]su\/uadmin\/gates\/log.php
https:\/\/kioxixu.abkhazia[.]su\/amzats\/gate.php
https:\/\/kioxixu.abkhazia[.]su\/jpccgrab\/gate.php
https:\/\/net-info[.]info\/c\/lucifer\/us\/attadmin\/gate.php
<\/code><\/pre>
5.2 服务提供商<\/h3>
使用Yummba web injects服务（Full Info Grabber），特点：<\/p>

允许攻击者将自定义元素插入web页面<\/li>
提供大量公共注入和自己开发的注入模块<\/li>
可追溯到2013年俄罗斯论坛exploit.in的广告<\/li>
<\/ul>
5.3 与其他恶意软件的关联<\/h3>
部分web-injects C2服务器之前也被Osiris\/Kronos日本攻击活动使用<\/p>
6. 攻击活动特点<\/h2>

协作性<\/strong>：与其他网络犯罪分子合作，使用第三方服务<\/li>
多元化<\/strong>：创建了多元的恶意软件生态系统<\/li>
经济驱动<\/strong>：为经济利益提供安装其他恶意软件的能力<\/li>
技术整合<\/strong>：

使用第三方web-injects服务<\/li>
利用套件和其他僵尸网络传播<\/li>
共享基础设施<\/li>
<\/ul>
<\/li>
<\/ol>
7. 防御建议<\/h2>

网络监控<\/strong>：监控与已知恶意域名的连接<\/li>
签名验证<\/strong>：警惕具有有效数字签名的可疑文件<\/li>
补丁管理<\/strong>：及时更新系统和软件补丁<\/li>
用户教育<\/strong>：提高对钓鱼攻击和可疑下载的警惕性<\/li>
端点防护<\/strong>：部署能够检测Ramnit和Azorult的终端安全解决方案<\/li>
<\/ol>
8. 威胁指标(IOCs)<\/h2>
8.1 Azorult下载URL<\/h3>
http:\/\/4b053f3c6a98[.]net\/azzis9i3uhi.exe
http:\/\/0959tg[.]dagestan[.]su\/azde3y7hr839ji.exe
<\/code><\/pre>
8.2 Full Info Grabber gates<\/h3>
https:\/\/ijoljjk.adygeya[.]su\/uadmin\/gates\/log.php
https:\/\/kioxixu.abkhazia[.]su\/amzats\/gate.php
https:\/\/kioxixu.abkhazia[.]su\/jpccgrab\/gate.php
https:\/\/net-info[.]info\/c\/lucifer\/us\/attadmin\/gate.php
[其他类似结构的URL]
<\/code><\/pre>
8.3 Pony stealer gate<\/h3>
http:\/\/net-info.info\/c\/lucifer\/pony\/about.php
<\/code><\/pre>
8.4 配置和web-injects<\/h3>

配置：https:\/\/pastebin.com\/LT28xUdL<\/li>
Web-injects：多个Pastebin链接<\/li>
<\/ul>
9. 参考资源<\/h2>

Akamai Yummba webinject工具威胁报告<\/li>
Check Point研究团队关于新Ramnit活动的报告<\/li>
<\/ol>

Ramnit攻击活动传播Azorult恶意软件技术分析报告<\/h1>

1. 攻击活动概述<\/h2> 研究人员发现一起新的Ramnit攻击活动，主要传播通过web-injects窃取敏感信息的恶意软件。攻击者与其他网络犯罪分子合作，使用第三方服务增强恶意软件能力，同时传播其他恶意软件。<\/p>

2. 攻击技术细节<\/h2>

3. 恶意软件传播机制<\/h2>

3.3 恶意软件更新频率<\/h3> 提供的样本每隔几小时更新一次<\/p>

4. C2服务器分析<\/h2>

5. Web-injects服务分析<\/h2>

5.3 与其他恶意软件的关联<\/h3> 部分web-injects C2服务器之前也被Osiris\/Kronos日本攻击活动使用<\/p>

8. 威胁指标(IOCs)<\/h2>

8.4 配置和web-injects<\/h3> 配置：https:\/\/pastebin.com\/LT28xUdL<\/li> Web-injects：多个Pastebin链接<\/li> <\/ul> 9. 参考资源<\/h2> Akamai Yummba webinject工具威胁报告<\/li> Check Point研究团队关于新Ramnit活动的报告<\/li> <\/ol>

9. 参考资源<\/h2> Akamai Yummba webinject工具威胁报告<\/li> Check Point研究团队关于新Ramnit活动的报告<\/li> <\/ol>

1. 攻击活动概述<\/h2>
研究人员发现一起新的Ramnit攻击活动，主要传播通过web-injects窃取敏感信息的恶意软件。攻击者与其他网络犯罪分子合作，使用第三方服务增强恶意软件能力，同时传播其他恶意软件。<\/p>

3.3 恶意软件更新频率<\/h3>
提供的样本每隔几小时更新一次<\/p>

5.3 与其他恶意软件的关联<\/h3>
部分web-injects C2服务器之前也被Osiris\/Kronos日本攻击活动使用<\/p>

8.4 配置和web-injects<\/h3>

配置：https:\/\/pastebin.com\/LT28xUdL<\/li>
Web-injects：多个Pastebin链接<\/li> <\/ul>
9. 参考资源<\/h2>

Akamai Yummba webinject工具威胁报告<\/li>
Check Point研究团队关于新Ramnit活动的报告<\/li> <\/ol>

9. 参考资源<\/h2>

Akamai Yummba webinject工具威胁报告<\/li>
Check Point研究团队关于新Ramnit活动的报告<\/li> <\/ol>