Поиск сетки вредоносных сайтов (кейс)
Life-Hack [Жизнь-Взлом]/ХакингВчера мне пришла SMSка с сообщением о том, что мне пришла MMSка (ёпта, кто придумывает такие легенды для социальной инженерии?!)…
Для получения ММСки нужно перейти на сайт и скачать её. Мне очень хотелось посмотреть ММСку (поскольку за всю жизнь я отправлял/получал в общей сложности где-то пяток MMS-ок, не больше; а за последние лет 10-15 мне вообще не доводилось получать или отправлять MMS сообщения — честно говоря, я даже стал забывать, что это такое. Не удивлюсь, если те, кому сейчас лет 25 вообще не в курсе и никогда этим не пользовались. Вот такая вот хреновая легенда для социальной инженерии… Поэтому я как-то засомневался.
При переходе по указанному адресу само-собой скачивался установочный файл для Android. А там бэкдор или вирус.
Я распаковал файл:
apktool d Photo_374207.apk
Попытался посмотреть исходный код, но ничего интересного не нашёл.
Поэтому я решил заняться тем, что у меня получается получше — искать информацию о владельце сайта.
Исходная информация: у меня есть домен acxc.pro.
Конечно, в первую очередь проверил whois этого домена — но там данные скрыты. За дополнительную плату можно купить услугу, когда домен регистрируется на Панамский или другой офшор. В результате данные о владельце недоступны в whois.
Поэтому я обратился к сервису Поиска сайтов на одном IP, получил:
- zhqw.info
- zadt.pro
- ypco.pro
- www.netcdnfly.us
- witforyoubrain.com
- sub.netcdnfly.us
- stepicktondroplar.com
- sg2019z.pro
- rosubpillineyford.com
- ohyd.pro
- ns1.howardmatthews.net
- new19p.pw
- new19a.pw
- netcdnfly.us
- main.netcdnfly.us
- lost7burn-tmz.com
- jirv.info
- howardmatthews.net
- happyv.pw
- diet-thebest.world
- clients.netcdnfly.us
- bufb.pro
- akamaiservice.site
- acxc.pro
- accounts.akamaiservice.site
Из этих сайтов бросились в глаза такие:
- acxc.pro
- bufb.pro
- jirv.info
- ohyd.pro
- zhqw.info
- zadt.pro
- ypco.pro
Они все созданы для распространения вредоносной программы под Android.
Я решил посмотреть, что интересного о домене acxc.pro может рассказать SecurityTrails. IP адресом сайта acxc.pro является 91.235.129.58. Сервис acxc.pro нашёл 33 домена на этом адресе, а также показал, что в качестве серверов имён он использует ns.dns-b.info или ns.dns-a.info, которые обслуживают всего 233 домена — данных немного, поэтому их также стоит проанализировать.
Далее большая часть сбора информации заключалась в следующих действиях:
- для каждого сайта смотрелась история, как менялись их IP адреса. Информация более старая чем 1 год отбрасывалась
- для каждого нового IP искались домены, которые его используют. С каждым новым IP адресом я возвращался к первому пункту. И так до тех пор, пока не кончились зацепки.
Смотрим данные истории для acxc.pro:
Там есть, к примеру, IP 176.99.9.211, а также ещё 91.236.74.14 и 91.236.74.0.
Выполняем поиск по IP 176.99.9.211, находим ряд сайтов.
Смотрим историю IP адресов для каждого из них и выписываем те, которые ещё не известны ным. К примеру, взглянем на данные истории для heykeratro.com:
Там есть ранее не известные нам адреса:
- 91.235.129.72
- 91.236.74.13
А также уже известные:
- 176.99.9.211
- 91.236.74.14
- 176.99.9.211
Новые добавляем в пул для анализа, а уже известные нам адреса подтверждают, что этот сайт также принадлежит тому же владельцу, что и целевой сайт.
В какой-то момент оба сайта находятся на одном IP 91.235.129.58, в их истории два общих IP 176.99.9.211 и 91.236.74.14. Проанализировав другие сайты из этого же списка, получаем аналогичные результаты. Исходя из этого, а также с учётом похожих whois записией (Панама, скрытые записи, одинаковые регистраторы доменных имён, одинаковые NS серверы) приходим к выводу, что это всё связанные сайты (сайты одного лица).
Поиск по новому IP 91.235.129.72 даёт нам, к примеру, домен etthemonth.com. Данные истории etthemonth.com и других доменов «сдают» нам новые IP адреса:
- 91.236.74.0
- 185.234.218.66
- 185.234.218.63
- 185.234.218.60
- 185.234.218.59
Домен workerforyou.com (IP 185.234.218.59) в своей истории IP адресов привёл к адресу 195.22.126.81, а там, например, домены
- mmsfile.download (тоже из «Панамы»)
- photo-files.download
Данные истории andnowforphoto.com привели к IP адресу 195.22.126.160, а этот адрес привёл к сайту sms39.site, а его данные истории привели к IP адресу:
- 195.22.126.80
Итак, самыми древними сайтами, до которых удалось докопаться этим методом, стали photo01.site (создан 2018-03-09) и sms39.site (создан 2018-03-15). Затем пошли mmsfile.download и photo-files.download (оба созданы 2018-05-31).
Выявленные IP адреса:
- 91.235.129.58
- 91.235.129.72
- 91.236.74.0
- 91.236.74.13
- 91.236.74.14
- 176.99.9.211
- 185.234.218.59
- 185.234.218.60
- 185.234.218.60
- 185.234.218.63
- 185.234.218.66
- 194.87.190.129
- 194.87.190.66
- 194.87.190.71
- 195.22.126.160
- 195.22.126.80
- 195.22.126.81
- 195.22.126.83
- 195.54.163.209
На момент написания, а также уже после написания, активные сайты часто меняют IP адрес.
То, что большинство найденных сайтов принадлежат одному человеку или группе подтверждается:
- пересекающимися IP адресами
- использование одинаковых регистраторов и способов сокрытия данных о владельце
- одинаковыми целями некоторых сайтов (распространение вируса для Android под предлогом скачивания изображения или MMS)
- все сайты созданы не ранее чем март 2018 года
Вывод
Даже если для сокрытия информации о владельце используются сервисы фиктивного whois, при использовании открытых и бесплатных источников возможно:
- собрать информация о сетках сайтах одного лица
- собрать информацию об используемых IP (следовательно, о хостинг провайдерах)
Если лицо, чьи сайты здесь рассмотрены, не поменяет свою модель поведения, то создаваемые им в будущем сайты можно обнаружить уже описанным способом. А если это лицо оставит чуть больше зацепок на каком-либо сайте (либо уже оставил — я не изучал сайты подробно), то это даст дополнительную информацию о нём и позволит, например, в 2020 году связать определённого человека с распространением вируса в начале 2018…
Бонус — выявление доменов, которые ещё не использовались
В списке актуальных сайтов с вредоносной ссылкой
- acxc.pro
- bufb.pro
- jirv.info
- ohyd.pro
- zhqw.info
- zadt.pro
- ypco.pro
можно найти две закономерности:
- Все домены состоят из четырёх букв.
- Все домены в зонах .pro или .info
Можно предположить, что имеются ещё домены, которые названы по этим же правилам, но о которых мы не знаем. Поэтому на ум приходит брут-форс доменных имён. То есть наша цель найти домены, которые существуют, но которые но о которых ещё не знает ни один сервис по той причине, что эти домены ещё не использовались.
Начнём с того, что создадим два словаря, в которых будут перечислены варианты всех возможных доменных имён:
maskprocessor ?l?l?l?l.info > info.dic
и
maskprocessor ?l?l?l?l.pro > pro.dic
Посмотрим, какие сервера имён используют целевые домены:
whois acxc.pro | grep 'Name Server'
Мы получили ns.dns-a.info и ns.dns-b.info. У этих серверов IP адреса 51.68.142.40 и 54.39.148.148.
Причём у этих серверов имён есть особенность: они знают только о «своих» доменах.
Например, если мы введём запрос по «вредоносному» домену:
dig jirv.info +short @51.68.142.40
То в ответ мы получим его IP адрес, сейчас это 195.54.163.209.
Если мы введём запрос по обычному домену, то сервер имён ничего не ответит:
dig yahoo.info +short @51.68.142.40
Используя эту особенность, можно написать и запустить пару скриптов, первый для брутфорса доменных имён по словарю pro.dic:
#!/bin/bash
cat pro.dic | while read domain; do
if [[ "`dig $domain +short @51.68.142.40`" ]]; then
echo $domain
fi
done
Второй для брут-форса имён хостов по словарю info.dic
#!/bin/bash
cat dic.info | while read domain; do
if [[ "`dig $domain +short @54.39.148.148`" ]]; then
echo $domain
fi
done
К примеру, именно таким образом был найден домен ewlg.info.
Бонус 2
Поиск выполнялся с использованием SecurityTrails. Сервисы с аналогичными функциями:
Эти сервисы берут данные из других источников, поэтому с их помощью можно получить дополнительную информацию.