本文來自微信公眾號(hào)“網(wǎng)絡(luò)研究院”。
研究人員本月發(fā)現(xiàn)了一種名為AVrecon的基于Linux的遠(yuǎn)程訪問木馬,已有兩年歷史,該木馬將互聯(lián)網(wǎng)路由器奴役為僵尸網(wǎng)絡(luò),欺騙在線廣告商并執(zhí)行密碼噴射攻擊。
現(xiàn)在,新的發(fā)現(xiàn)表明AVrecon是一項(xiàng)名為SocksEscort的服務(wù)背后的惡意軟件引擎,該服務(wù)已有12年歷史,該服務(wù)向網(wǎng)絡(luò)犯罪分子出租被黑客入侵的住宅和小型企業(yè)設(shè)備,以隱藏其在線真實(shí)位置。
Lumen的黑蓮花實(shí)驗(yàn)室
在7月12日發(fā)布的一份報(bào)告中,Lumen黑蓮花實(shí)驗(yàn)室的研究人員稱AVrecon僵尸網(wǎng)絡(luò)是“近代史上最大的針對(duì)小型辦公室/家庭辦公室(SOHO)路由器的僵尸網(wǎng)絡(luò)之一”,并且是一種很大程度上躲避公眾關(guān)注的犯罪機(jī)器。自2021年中期首次被發(fā)現(xiàn)以來就受到關(guān)注。
該惡意軟件已被用來創(chuàng)建住宅代理服務(wù),以掩蓋密碼噴灑、網(wǎng)絡(luò)流量代理和廣告欺詐等惡意活動(dòng)。
基于惡意軟件的匿名網(wǎng)絡(luò)是針對(duì)在線零售商、互聯(lián)網(wǎng)服務(wù)提供商(ISP)、社交網(wǎng)絡(luò)、電子郵件提供商和金融機(jī)構(gòu)的不需要的惡意網(wǎng)絡(luò)流量的主要來源。其中許多“代理”網(wǎng)絡(luò)主要面向網(wǎng)絡(luò)犯罪分子,他們?cè)噲D通過受感染的PC、路由器或移動(dòng)設(shè)備路由流量來匿名化其流量。
代理服務(wù)可以合法的方式用于多種商業(yè)目的,例如價(jià)格比較或銷售情報(bào),但它們被大量濫用于隱藏網(wǎng)絡(luò)犯罪活動(dòng),因?yàn)樗鼈兪沟米粉檺阂饬髁康脑紒碓醋兊美щy。代理服務(wù)還可以讓用戶看似從世界上幾乎任何地方上網(wǎng),如果您是試圖冒充特定地點(diǎn)某人的網(wǎng)絡(luò)犯罪分子,這將非常有用。
跟蹤代理服務(wù)的初創(chuàng)公司Spur.us稱,標(biāo)記為AVrecon僵尸網(wǎng)絡(luò)的“命令和控制”(C2)服務(wù)器的互聯(lián)網(wǎng)地址Lumen都與一個(gè)名為SocksEscort的長期運(yùn)行的代理服務(wù)相關(guān)聯(lián)。
SocksEscort.com是所謂的“SOCKS代理”服務(wù)。SOCKS(或SOCKS5)協(xié)議允許Internet用戶通過代理服務(wù)器引導(dǎo)其Web流量,然后代理服務(wù)器將信息傳遞到預(yù)期目的地。
從網(wǎng)站的角度來看,代理網(wǎng)絡(luò)客戶的流量似乎源自與住宅ISP客戶關(guān)聯(lián)的租用/感染惡意軟件的PC,而不是來自代理服務(wù)客戶。
SocksEscort主頁表示,其服務(wù)非常適合參與自動(dòng)化在線活動(dòng)的人們,這些活動(dòng)通常會(huì)導(dǎo)致IP地址被封鎖或禁止,例如Craigslist和約會(huì)詐騙、搜索引擎結(jié)果操縱和在線調(diào)查。
Spur將SocksEscort作為基于惡意軟件的代理產(chǎn)品進(jìn)行跟蹤,這意味著為SocksEscort客戶進(jìn)行流量代理的機(jī)器已感染惡意軟件,將其轉(zhuǎn)變?yōu)榱髁恐欣^。通常,這些用戶不知道他們的系統(tǒng)已受到損害。
SocksEscort代理服務(wù)要求客戶安裝基于Windows的應(yīng)用程序,才能訪問全球超過10000臺(tái)被黑客攻擊的設(shè)備。
Spur聯(lián)合創(chuàng)始人稱:我們創(chuàng)建了一個(gè)指紋來識(shí)別SocksEscort代理的回調(diào)基礎(chǔ)設(shè)施。通過網(wǎng)絡(luò)遙測,我們能夠確認(rèn)我們看到受害者在各個(gè)端口上與其進(jìn)行回話。
AVrecon是為SocksEscort提供代理的惡意軟件。
當(dāng)Lumen發(fā)布他們的報(bào)告和IOC(妥協(xié)指標(biāo))時(shí),我們?cè)儐柫宋覀兊南到y(tǒng),以確定代理服務(wù)回調(diào)基礎(chǔ)設(shè)施與他們的IOC是否重疊,他們識(shí)別的第二階段C2與我們?yōu)镾ocksEscort標(biāo)記的IP相同。
AVrecon的目的似乎是在不影響最終用戶的情況下竊取帶寬,以創(chuàng)建住宅代理服務(wù)來幫助洗錢惡意活動(dòng),并避免吸引來自Tor隱藏服務(wù)或商用VPN的同等程度的關(guān)注服務(wù)。
此類網(wǎng)絡(luò)犯罪活動(dòng)威脅可能會(huì)逃避檢測,因?yàn)樗燃用茇泿诺V工更不可能被所有者注意到,而且不太可能像互聯(lián)網(wǎng)范圍內(nèi)的暴力破解和基于DDoS的僵尸網(wǎng)絡(luò)那樣產(chǎn)生大量濫用投訴。
2022年7月,為客戶和受害者保留帶寬是SocksEscort的首要關(guān)注點(diǎn),當(dāng)時(shí)世界上最大的已知惡意軟件代理網(wǎng)絡(luò)911S5在此處的報(bào)道曝光幾天后遭到黑客攻擊并崩潰。
911終止后,SocksEscort關(guān)閉了注冊(cè)幾個(gè)月,以防止新用戶涌入,淹沒該服務(wù)。
C2數(shù)據(jù)與Spur自2022年9月以來在SocksEscort中看到的數(shù)據(jù)相符。
7月13日,即Lumen發(fā)布有關(guān)AVrecon的研究并開始阻止流向惡意軟件控制服務(wù)器的任何流量的第二天,負(fù)責(zé)維護(hù)僵尸網(wǎng)絡(luò)的人員迅速做出反應(yīng),將受感染的系統(tǒng)轉(zhuǎn)移到新的命令和控制基礎(chǔ)設(shè)施。
他們顯然做出了反應(yīng),并試圖保持對(duì)僵尸網(wǎng)絡(luò)組件的控制,可能,他們希望保持收入來源。
令人沮喪的是,Lumen無法確定SOHO設(shè)備是如何感染AVrecon的。
一些可能的感染途徑包括利用路由器上的弱或默認(rèn)管理憑據(jù),以及具有已知可利用安全漏洞的過時(shí)、不安全的固件
誰是Socksescort的幕后黑手?
去年曾短暫訪問過SocksEscort,并承諾對(duì)其所有者的歷史和可能的身份進(jìn)行后續(xù)調(diào)查。對(duì)俄羅斯網(wǎng)絡(luò)犯罪論壇上有關(guān)該服務(wù)的最早帖子的審查表明,這個(gè)已有12年歷史的惡意軟件代理網(wǎng)絡(luò)與一家摩爾多瓦公司有關(guān),該公司也在Apple Store和其他地方提供VPN軟件。
SocksEscort于2009年成立,當(dāng)時(shí)名為“super-socks.com”,這是一項(xiàng)俄語服務(wù),出售對(duì)數(shù)千臺(tái)受感染PC的訪問權(quán)限,這些PC可用于代理流量。
在多個(gè)網(wǎng)絡(luò)犯罪論壇上注冊(cè)并開始推廣代理服務(wù)。有人選擇昵稱SSC和super-socks以及電子郵件地址michvatt gmail.com。
根據(jù)DomainTools.com的說法,明顯相關(guān)的電子郵件地址“michdomain gmail.com”被用來注冊(cè)SocksEscort.com、super-socks.com和其他一些與代理相關(guān)的域,包括ip-score.com、segate.org seproxysoft.com和vipssc.us。
super-socks.com和vipssc.us的緩存版本顯示這些網(wǎng)站出售相同的代理服務(wù),并且都在其主頁頂部顯著位置顯示字母“SSC”。
據(jù)網(wǎng)絡(luò)情報(bào)公司Intel 471稱,網(wǎng)絡(luò)犯罪論壇上注冊(cè)的第一個(gè)“SSC”身份于2009年在俄語黑客社區(qū)Antichat中注冊(cè),SSC使用電子郵件地址adriman gmail.com注冊(cè)。
SSC請(qǐng)求其他論壇成員幫助測試他們聲稱屬于他們的網(wǎng)站的安全性:myiptest.com,該網(wǎng)站承諾告訴訪問者他們的代理地址是否包含在任何安全或反垃圾郵件阻止列表中。
myiptest.com于2008年由來自摩爾多瓦基希訥烏的Adrian Crismar注冊(cè)。Myiptest.com不再響應(yīng),但來自Archive.org的緩存副本顯示,在大約四年的時(shí)間里,它在其HTML源代碼中包含了US-2665744的Google Analytics代碼,該代碼也出現(xiàn)在十幾個(gè)網(wǎng)站上其他網(wǎng)站。
大多數(shù)曾經(jīng)帶有Google跟蹤代碼的網(wǎng)站已不再在線,但幾乎所有網(wǎng)站都以類似于myiptest.com的服務(wù)為中心,例如abuseipdb.com、bestiptest.com、checkdnslbl.com、dnsbltools.com和dnsblmonitor.com。
這些服務(wù)均旨在幫助訪問者快速確定他們?cè)L問該網(wǎng)站的Internet地址是否被任何安全公司列為垃圾郵件、惡意或網(wǎng)絡(luò)釣魚地址。換句話說,這些服務(wù)的設(shè)計(jì)目的是讓代理服務(wù)用戶可以輕松判斷他們租用的互聯(lián)網(wǎng)地址是否仍然可以安全地用于網(wǎng)絡(luò)欺詐。
另一個(gè)Google Analytics代碼為US-2665744的域是sscompany.net。該網(wǎng)站的一份存檔副本稱,SSC代表“服務(wù)器支持公司”,該公司宣傳技術(shù)支持和服務(wù)器管理的外包解決方案。該公司位于摩爾多瓦基希訥烏,所有者為Adrian Crismaru。
被黑客攻擊的Antichat論壇的泄露副本表明,SSC身份與使用IP地址71.229.207.214在論壇上注冊(cè)的adriman gmail.com相關(guān)聯(lián)。同一個(gè)IP還被用來注冊(cè)昵稱“Deem3n®”,這是2005年至2009年間Antichat上的一位多產(chǎn)發(fā)帖者,擔(dān)任該論壇的版主。
網(wǎng)站管理員論壇Searchengines.guru上有一位Deem3n®用戶,其帖子中的簽名稱他們運(yùn)營著一個(gè)名為sysadmin.md的摩爾多瓦程序員流行社區(qū),并且他們是sscompany.net的系統(tǒng)管理員。
同樣的Google Analytics代碼現(xiàn)在也出現(xiàn)在wiremo.co和名為HideIPVPN.com的VPN提供商的主頁上。
Wiremo銷售軟件和服務(wù),幫助網(wǎng)站所有者更好地管理客戶評(píng)論。Wiremo的“聯(lián)系我們”頁面列出了位于特拉華州威爾明頓的“Server Management LLC”作為母公司。特拉華州國務(wù)卿的記錄顯示克里斯馬魯是該公司的首席執(zhí)行官。
Server Management LLC目前在Apple App Store中列為名為HideIPVPN的“免費(fèi)”VPN應(yīng)用程序的所有者。Crismaru的LinkedIn頁面上的聯(lián)系信息顯示,他的公司網(wǎng)站包括myiptest.com、sscompany.net和hideipvpn.com。
保護(hù)移動(dòng)設(shè)備傳輸安全的最佳方式是VPN,Apple Store上的HideIPVPN描述如此。現(xiàn)在,我們?yōu)槟峁┝艘环N更簡單的方式來連接我們的VPN服務(wù)器。我們將隱藏您的IP地址,加密您的所有流量,保護(hù)您的所有敏感信息(密碼、郵件信用卡詳細(xì)信息等),防止公共網(wǎng)絡(luò)上的黑客攻擊。
當(dāng)被問及該公司與SocksEscort的明顯聯(lián)系時(shí),Wiremo回答說:我們不控制該域名,我們團(tuán)隊(duì)中的任何人都沒有連接到該域名。