您当前的位置:首页 > 电脑百科 > 安全防护 > 黑客技术

使用Shodan图像揪出勒索软件团伙

时间:2023-02-23 14:17:27  来源:网易号  作者:嘶吼RoarTalk

我们在这篇博文中将侧重介绍Shodan如何帮助揭露支持勒索软件团伙的一些基础设施。

Shodan是一种抓取banner信息的搜索引擎,可以收集直接连接到互联网的所有设备的信息。如果某个设备直接连接到互联网上,Shodan就会查询其各种公开可用的信息。被编入索引的设备类型形形色色:从小型台式机到核电站,不一而足。Shodan还可以扫描端口,并暴露漏洞,是不是非常酷?

我们之前深入探讨了勒索软件生态系统的方方面面以及这条食物链中的一大批网络犯罪分子。我将介绍其中一些攻击多简单、攻击者在怎样伺机下手,我们可以在哪里揪出他们。然后你可以利用这些信息,积极运用到防御中。


为什么我们能做到这一点?

勒索软件团伙并不关心你的数据、安全信息及事件管理(SIEM)、防火墙或花哨的端点检测和响应(EDR);正因为如此,他们会选择阻力最小、带来一丝成功机会的那条路径。你通常可以将他们的技术与MITRE ATT&CK对应起来,以便了解攻击者在如何思考和操作。

众所周知,勒索软件遵循一些标准程序,具体因团伙和活动而异。我们可以通过从Conti团伙内部泄露的一些信息证实这一点:内部加盟组织在Github上的大批信息当中共享了一份内部培训手册(https://github.com/ForbiddenProgrammer/conti-pentester-guide-leak),谁都可以查看。


搜寻

我决定选择不法分子用来下载第一阶段载荷的已知二进制文件:

https://lolbas-project.github.io/

然后把这些信息馈送给Shodan。

我们可以获取攻击者使用的已知LOLBIN二进制文件,比如:

bitsadmin

PowerShell

cmd

File Transfer protocol (FTP)

Nslookup

然后利用Shodan的强大功能,就像勒索软件加盟组织的做法一样。正如对手在互联网上搜索受害者一样,我们可以利用这个基础设施对付他们,寻找对方的不安全平台。

下面你可以看到10000个暴露的虚拟网络计算(VNC)实例,它们未经过身份验证。对于威胁分子来说,这是10000个潜在的发财机会。然而,一个人无法独自攻击所有这些实例,于是威胁分子借助自动化,最终导致垮台。

图1

利用Shodan图像的功能,并将其与勒索软件加盟组织自动感染的工作相结合,我们得到了表明它们如何在运作的清晰图像:

PowerShell:

图2

bitsadmin:

图3

Shodan有众多软件包;这些软件包允许最终用户访问不同的搜索过滤器,比如搜索当前的CVE。我在使用的查询中作用了“bitsadmin”和“powershell”这两个单词,没有利用Shodan过滤器。

现在不妨简单解释一下我们看到的是什么,如果不太清楚的话。

这些是暴露的VNC实例,没有经过身份验证,谁都可以连接它们并发送命令。我搜遍了Shodan图像,寻找有人执行PowerShell或bitsadmin的情况。我这么做是由于不是每个运行的开放VNC实例都是windows,这里是给勒索软件团伙布置一个陷阱,他们最终向任何会监听的糟糕设备发送攻击载荷。


GandCrab活动

PowerShell & Bitsadmin

GandCrab(又叫REvil)多次更名,其多个加盟组织已在全球被逮捕。

下面举一个例子,勒索软件团伙试图用PowerShell、bitsadmin和FTP感染pfSense路由器。

颜色细述:

红色表示第一次执行

蓝色表示命令和域

黄色表示第二次执行

绿色表示恶意软件(勒索软件)企图执行

图4

我们可以看到每个命令都以“r”开头,这是由于攻击载荷是面向Windows计算机;键盘输入是win+r,以打开run(运行)对话框,然后执行命令。

尝试使用cmd.exe下载以启动PowerShell

尝试使用cmd.exe下载以启动bitsadmin

尝试使用cmd.exe下载以修改防火墙,并允许FTP试图使用cmd.exe下载以启动FTP

在这每一次尝试下载后,他们会尝试尽快执行恶意软件(这在代表第二次执行的黄色部分中高亮显示)。


快速归因

不妨通过搜索.exe名称和IP地址快速将该恶意软件归因于这个团伙,因为我们可以查看历史数据;幸好,面向大规模活动。

搜索IP,我们找到了这里:

https://urlhaus.abuse.ch/host/92.63.197.153/

这表明他们与GandCrab/REvil勒索软件团伙有关。

我们还可以在这里(https://App.any.run/tasks/9b6642ee-6ec9-437c-b411-2cc529dcc5fb/)找到沙盒报告。

下面我们可以看到一起非常相似的活动,但IP略有不同:


图5

我们可以看到,这更多地与挖币有关,但仍然是GandCrab勒索软件团伙:

这起活动现在已变成了使用各种域名:

图6


身份不明的“隐形”活动

我在做一些另外的研究时无意中看到了Nslookup的截图。我发现各种屏幕截图表明向一系列不同的IP发出Nslookup请求,有一个相似之处。

这起活动会先确定是否可以连接到VNC端口,然后它将使用vncport.hacked.com的标准域名向外部IPv4发出请求(VNC的实际端口,请看下面截图)。

图7

图8


防御

我们如何才能防御这些威胁?最简单、最容易的方法就是深入了解贵企业的对外网络。Huntress通过External Recon帮助合作伙伴做到这一点。如果你知道攻击者盯上了什么目标,也了解自己的攻击面,就能更好地防御威胁。

考虑除了开放某些端口有没有其他替代方法。如果出于业务目的必须暴露端口,那么你可以部署哪些安全层来挫败对手?考虑所有选择,另辟蹊径,攻击者当然会这么做。我们始终推荐采取基本的网络卫生和安全控制措施,但是像攻击者一样思考、通过这个视角看待自己的网络总是大有助益。

利用我们截图中的信息并将它们映射到MITRE可能是一种有趣的沙盘演练。

参考及来源:https://www.huntress.com/blog/using-shodan-images-to-hunt-down-ransomware-groups



Tags:Shodan   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
使用Shodan图像揪出勒索软件团伙
我们在这篇博文中将侧重介绍Shodan如何帮助揭露支持勒索软件团伙的一些基础设施。Shodan是一种抓取banner信息的搜索引擎,可以收集直接连接到互联网的所有设备的信息。如果某...【详细内容】
2023-02-23  Search: Shodan  点击:(271)  评论:(0)  加入收藏
最可怕的搜索引擎 运维必备之——Shodan
概念Shodan搜索引擎与baidu、 Google、DuckDuckGo等搜索网址引擎不同,Shodan 是用来搜索网络空间中在线设备的,通过Shodan 可以搜索指定的设备,或者搜索特定类型的设备。 网址:h...【详细内容】
2022-04-12  Search: Shodan  点击:(7244)  评论:(0)  加入收藏
服务器安全篇:最可怕的搜索引擎 运维必备之——Shodan
“最可怕”的搜索引擎--Shodan运维必备之概念Shodan搜索引擎与baidu、 Google、DuckDuckGo等搜索网址引擎不同,Shodan 是用来搜索网络空间中在线设备的,通过Shodan 可以搜索指...【详细内容】
2022-01-18  Search: Shodan  点击:(1450)  评论:(0)  加入收藏
▌简易百科推荐
小心“黑客”利用445端口攻击你的Win8系统!
Windows 8系统自带一个名为SMB(Server Message Block)的服务,使用445端口进行通信。这个服务主要用于文件共享和网络协议等功能,但是无良黑客也会利用这个服务来攻击你的电脑。...【详细内容】
2024-04-10    潘小姐  Tags:445端口   点击:(2)  评论:(0)  加入收藏
为什么黑客不去攻击微信钱包?
在这个数字化时代,网络安全已经成为我们生活中不可或缺的一部分。每当我们打开手机,使用微信钱包进行支付时,是否曾有过这样的疑问:为什么黑客不去攻击微信钱包?这个问题,就像是在...【详细内容】
2024-02-19  猫探长情报局  今日头条  Tags:黑客   点击:(55)  评论:(0)  加入收藏
发条消息就能破解iPhone?苹果系统这次像被“内鬼”攻破的。。。
前几天,差评君在网上冲浪的时候,看到了一条相当震撼的消息:简单来讲,就是主打封闭安全的 iPhone ,不仅被攻击者发现了漏洞成功入侵,完全控制整个手机。更加抽象的是入侵的还是知名...【详细内容】
2024-01-26  差评    Tags:破解iPhone   点击:(134)  评论:(0)  加入收藏
十种黑客攻击手段及防御方法
在互联网的世界里,网站安全犹如一座城堡,需要严密的防线来抵御各种攻击手段。以下是10种最常见的网络攻击手段,以及我们如何采取措施来保护我们的网站。1. 跨站脚本攻击:这是黑...【详细内容】
2024-01-21  老吴讲IT    Tags:黑客攻击   点击:(83)  评论:(0)  加入收藏
渗透测试中最常见的漏洞有哪些?
什么是渗透测试?渗透测试是一项安全测试,旨在模拟黑客的攻击方式,评估系统、网络或应用程序的安全性,发现潜在的安全漏洞并提出建议来修复它们。渗透测试中最常见的漏洞包括:1....【详细内容】
2024-01-11  五湖联技术服务公司    Tags:渗透测试   点击:(105)  评论:(0)  加入收藏
作为一名黑客/安全专家,应该掌握什么技能?熟悉哪些软件/工具?
作为一名合格的黑客/网络安全专家,应该具备一套全面的知识体系和实战技能,同时熟悉多种安全软件和工具。今天我们将根据目前市面上流行的一些应用程序,以及常规的安全防护措施,...【详细内容】
2023-12-11  黑客联盟I    Tags:黑客   点击:(140)  评论:(0)  加入收藏
黑客是如何入侵一个网站的?(网络安全人员应该了解的知识)
前不久阿里以及滴滴系统的大规模瘫痪足以唤起人们对网络安全的重视。我首先必须澄清的是,作为一个网络安全专家,我不提供或者鼓励任何违法的行为,包括未经授权的计算机系统入侵...【详细内容】
2023-12-07  黑客联盟I    Tags:黑客   点击:(176)  评论:(0)  加入收藏
网络黑客入侵解析:保护你的网络安全
在当今数字化快速发展的时代,网络安全问题逐渐成为人们关注的焦点。网络黑客入侵事件频发,给个人和企业带来了严重的威胁。本文将深入解析网络黑客入侵的常见手段和原因,并探讨...【详细内容】
2023-12-05  小记青春    Tags:黑客入侵   点击:(161)  评论:(0)  加入收藏
黑客滥用 Google 表单进行诈骗
研究人员最近发现滥用 Google 表单的垃圾邮件有所增加,攻击者首先在 Google 表单中创建新的问卷调查,并且利用受害者的电子邮件地址参与问卷调查,滥用 Google 表单的功能将垃圾...【详细内容】
2023-11-23  区块软件开发  今日头条  Tags:黑客   点击:(220)  评论:(0)  加入收藏
黑客工具 Flipper Zero 曝光,可利用蓝牙弹出窗口崩溃 iPhone
据外媒 9to5Mac 报道,一种流行且廉价的黑客设备 Flipper Zero 今年 9 月首次出现,可通过制造蓝牙弹出窗口,向 iPhone 和 iPad 重复告诉发送垃圾内容,直到相关设备最终崩溃,不过直...【详细内容】
2023-11-20  IT之家    Tags:黑客工具   点击:(242)  评论:(0)  加入收藏
站内最新
站内热门
站内头条