Ramnit攻击活动传播Azorult恶意软件
字数 2234 2025-08-19 12:42:32

Ramnit攻击活动传播Azorult恶意软件技术分析报告

1. 攻击活动概述

研究人员发现一起新的Ramnit攻击活动,主要传播通过web-injects窃取敏感信息的恶意软件。攻击者与其他网络犯罪分子合作,使用第三方服务增强恶意软件能力,同时传播其他恶意软件。

1.1 攻击时间线

  • 2018年9月1日:发现3个新的Ramnit僵尸网络
  • 9月24日:开始上传另一个恶意软件
  • 9月27日:第二波恶意软件上传
  • 9月28日:开始传播新插件
  • 10月1日:下载URL变更

2. 攻击技术细节

2.1 僵尸网络基础设施

发现3个新的Ramnit僵尸网络,背后有5个不同的C2服务器:

僵尸网络名称 C2服务器 攻击目标
Client nagoyashi[.]chimkent[.]su 加拿大、日本、美国和意大利的银行和零售商
Black 内部协议 同上
Demetra 前苏联国家VPS服务 同上

2.2 感染统计

  • 一个月感染约16000台计算机
  • 主要感染向量:Rig和GrandSoft利用工具
  • 通过Azorult恶意软件进行传播

2.3 恶意软件特征

  • 使用有效的数字签名(非典型特征)
  • 传播Azorult恶意软件
  • 使用第三方payload

3. 恶意软件传播机制

3.1 下载执行流程

  1. Ramnit感染的机器实现恶意软件协议的getexec命令
  2. 从C2服务器下载payload
  3. 执行下载的恶意软件

3.2 下载URL演变

  • 初始URL:http://0959tg[.]dagestan[.]su/azde3y7hr839ji.exe
  • 更新后URL:http://4b053f3c6a98[.]net/azzis9i3uhi.exe

3.3 恶意软件更新频率

提供的样本每隔几小时更新一次

4. C2服务器分析

4.1 服务器分布

  • 主要使用俄罗斯和前苏联国家的VPS服务
  • 选择的主机服务提供商特点:
    • 不需要身份验证
    • 允许匿名支付

4.2 标准插件

Ramnit上传的标准插件包括:

  1. "Cookie Grabber v0.3 (IE Export)" (SHA256: f022d8d4fd0f102c6af1420a960c50e46338bf199563b2b2ad2799166cde8d04)
  2. "IE & Chrome & FF injector" (SHA256: 8b8e00b292d53900b7789cfde4159a3421fa103f907c0da90962e79a9141a6ea)
  3. "VNC (23 port) x64-x86" (SHA256: 3007e243adfa318b137994c0782b39981f260b9685910e8c0ff9430b2de802be)
  4. "Antivirus Trusted Module v2.0" (SHA256: b5a95a9bf419eab69d24b87ec561c657291d944acead30b25d004842db63338a)

4.3 新增插件

9月28日开始传播:

  1. "Pony based pwd stealer" (多个SHA256哈希)
  2. "FF&Chrome reinstall x64-x86 [silent]" (SHA256: 2ee04686b2daa0a2f03f4b05f967d3a8b6bac89eb14f40674a04ef0b6e313f56)

5. Web-injects服务分析

5.1 网关URL

用于通过web-injects收集窃取数据的网关URL:

https://ijoljjk.adygeya[.]su/uadmin/gates/log.php
https://kioxixu.abkhazia[.]su/amzats/gate.php
https://kioxixu.abkhazia[.]su/jpccgrab/gate.php
https://net-info[.]info/c/lucifer/us/attadmin/gate.php

5.2 服务提供商

使用Yummba web injects服务(Full Info Grabber),特点:

  • 允许攻击者将自定义元素插入web页面
  • 提供大量公共注入和自己开发的注入模块
  • 可追溯到2013年俄罗斯论坛exploit.in的广告

5.3 与其他恶意软件的关联

部分web-injects C2服务器之前也被Osiris/Kronos日本攻击活动使用

6. 攻击活动特点

  1. 协作性:与其他网络犯罪分子合作,使用第三方服务
  2. 多元化:创建了多元的恶意软件生态系统
  3. 经济驱动:为经济利益提供安装其他恶意软件的能力
  4. 技术整合
    • 使用第三方web-injects服务
    • 利用套件和其他僵尸网络传播
    • 共享基础设施

7. 防御建议

  1. 网络监控:监控与已知恶意域名的连接
  2. 签名验证:警惕具有有效数字签名的可疑文件
  3. 补丁管理:及时更新系统和软件补丁
  4. 用户教育:提高对钓鱼攻击和可疑下载的警惕性
  5. 端点防护:部署能够检测Ramnit和Azorult的终端安全解决方案

8. 威胁指标(IOCs)

8.1 Azorult下载URL

http://4b053f3c6a98[.]net/azzis9i3uhi.exe
http://0959tg[.]dagestan[.]su/azde3y7hr839ji.exe

8.2 Full Info Grabber gates

https://ijoljjk.adygeya[.]su/uadmin/gates/log.php
https://kioxixu.abkhazia[.]su/amzats/gate.php
https://kioxixu.abkhazia[.]su/jpccgrab/gate.php
https://net-info[.]info/c/lucifer/us/attadmin/gate.php
[其他类似结构的URL]

8.3 Pony stealer gate

http://net-info.info/c/lucifer/pony/about.php

8.4 配置和web-injects

  • 配置:https://pastebin.com/LT28xUdL
  • Web-injects:多个Pastebin链接

9. 参考资源

  1. Akamai Yummba webinject工具威胁报告
  2. Check Point研究团队关于新Ramnit活动的报告
Ramnit攻击活动传播Azorult恶意软件技术分析报告 1. 攻击活动概述 研究人员发现一起新的Ramnit攻击活动,主要传播通过web-injects窃取敏感信息的恶意软件。攻击者与其他网络犯罪分子合作,使用第三方服务增强恶意软件能力,同时传播其他恶意软件。 1.1 攻击时间线 2018年9月1日:发现3个新的Ramnit僵尸网络 9月24日:开始上传另一个恶意软件 9月27日:第二波恶意软件上传 9月28日:开始传播新插件 10月1日:下载URL变更 2. 攻击技术细节 2.1 僵尸网络基础设施 发现3个新的Ramnit僵尸网络,背后有5个不同的C2服务器: | 僵尸网络名称 | C2服务器 | 攻击目标 | |------------|---------|---------| | Client | nagoyashi[ .]chimkent[ . ]su | 加拿大、日本、美国和意大利的银行和零售商 | | Black | 内部协议 | 同上 | | Demetra | 前苏联国家VPS服务 | 同上 | 2.2 感染统计 一个月感染约16000台计算机 主要感染向量:Rig和GrandSoft利用工具 通过Azorult恶意软件进行传播 2.3 恶意软件特征 使用有效的数字签名(非典型特征) 传播Azorult恶意软件 使用第三方payload 3. 恶意软件传播机制 3.1 下载执行流程 Ramnit感染的机器实现恶意软件协议的 getexec 命令 从C2服务器下载payload 执行下载的恶意软件 3.2 下载URL演变 初始URL: http://0959tg[.]dagestan[.]su/azde3y7hr839ji.exe 更新后URL: http://4b053f3c6a98[.]net/azzis9i3uhi.exe 3.3 恶意软件更新频率 提供的样本每隔几小时更新一次 4. C2服务器分析 4.1 服务器分布 主要使用俄罗斯和前苏联国家的VPS服务 选择的主机服务提供商特点: 不需要身份验证 允许匿名支付 4.2 标准插件 Ramnit上传的标准插件包括: "Cookie Grabber v0.3 (IE Export)" (SHA256: f022d8d4fd0f102c6af1420a960c50e46338bf199563b2b2ad2799166cde8d04) "IE & Chrome & FF injector" (SHA256: 8b8e00b292d53900b7789cfde4159a3421fa103f907c0da90962e79a9141a6ea) "VNC (23 port) x64-x86" (SHA256: 3007e243adfa318b137994c0782b39981f260b9685910e8c0ff9430b2de802be) "Antivirus Trusted Module v2.0" (SHA256: b5a95a9bf419eab69d24b87ec561c657291d944acead30b25d004842db63338a) 4.3 新增插件 9月28日开始传播: "Pony based pwd stealer" (多个SHA256哈希) "FF&Chrome reinstall x64-x86 [ silent ]" (SHA256: 2ee04686b2daa0a2f03f4b05f967d3a8b6bac89eb14f40674a04ef0b6e313f56) 5. Web-injects服务分析 5.1 网关URL 用于通过web-injects收集窃取数据的网关URL: 5.2 服务提供商 使用Yummba web injects服务(Full Info Grabber),特点: 允许攻击者将自定义元素插入web页面 提供大量公共注入和自己开发的注入模块 可追溯到2013年俄罗斯论坛exploit.in的广告 5.3 与其他恶意软件的关联 部分web-injects C2服务器之前也被Osiris/Kronos日本攻击活动使用 6. 攻击活动特点 协作性 :与其他网络犯罪分子合作,使用第三方服务 多元化 :创建了多元的恶意软件生态系统 经济驱动 :为经济利益提供安装其他恶意软件的能力 技术整合 : 使用第三方web-injects服务 利用套件和其他僵尸网络传播 共享基础设施 7. 防御建议 网络监控 :监控与已知恶意域名的连接 签名验证 :警惕具有有效数字签名的可疑文件 补丁管理 :及时更新系统和软件补丁 用户教育 :提高对钓鱼攻击和可疑下载的警惕性 端点防护 :部署能够检测Ramnit和Azorult的终端安全解决方案 8. 威胁指标(IOCs) 8.1 Azorult下载URL 8.2 Full Info Grabber gates 8.3 Pony stealer gate 8.4 配置和web-injects 配置:https://pastebin.com/LT28xUdL Web-injects:多个Pastebin链接 9. 参考资源 Akamai Yummba webinject工具威胁报告 Check Point研究团队关于新Ramnit活动的报告