网络小黑揭秘系列之黑色SEO初探


Author:360天眼实验室

0x00 引子


人在做,天在看。

11月底的时候,360天眼安全实验室发布了一篇文章:网络小黑揭秘系列之私服牧马人,揭露了一起污染私服搭建工具和用户登录端程序进行木马传播的事件。其实,类似的案例远不限于此,这次我们揭露另一根链条出来,当然还是从一个样本开始。

0x01 样本及基础设施


实验室在日常的恶意代码处理时注意到了一个文件名为“YY某主播视频.exe”(MD5: 27C8E69F7241476C58C071E83616D2B5)的远控木马:

基本上,如果是一个国产木马,如果猜大灰狼,你就有90%的概率正确,这个木马当然也是。木马作者命名为“killqipilang”,就算大灰狼的变种吧。

对样本的分析就不多说了,想了解大灰狼远控的代码架构可以参看天眼实验室之前的那个揭秘。很容易就提取到木马内部编码过的上线URL为“qq867126996.3322.org”:

使用360天眼实验室的可视化关联分析系统进行追踪溯源,发现该木马还关联了另一个上线URL:luanqi.net。由此线索继续,又关联到更多样本,其中一个名为“hexSB360.exe”(没错,木马作者对360都怀有极深的怨念)的程序(MD5: E4C62055D1BCEB88D97903562B9E1BE8),又一个大灰狼远控。

从此样本,我们提取到了其核心远控模块下载地址:http://118.***.***.230:8080/Consys21.dll

整个交互式的分析过程在交互式的关联平台上就是如下这个样子:

关联系统还告诉我们这个木马还使用了其他多个上线域名。有免费的二级域名qq867126996.3322.org、q332299.f3322.net,也有收费的顶级域名luanqi.net、lyisi.org、sb.jiushao.net、huo-dian.com。

对非免费域名做追溯一般是非常重要的突破点,我们可以查询一下相关的Whois信息。以下是域名luanqi.net的,可见做了隐私保护。

域名lyisi.org的:

域名jiushao.net的

域名huo-dian.com的:

注意上图中的dt0598@outlook.com这个注册邮箱,其名下注册的域名大多数已经被360拦截,其中不乏淘宝钓鱼站或者虚假商城,比如www.000268.cn,现时应该iphone6s才是热门机型,iPhone5都已经淘汰了,却出现在该商城的首页,只能说钓鱼也不够用心。

在知道了样本关联出来的网络基础设施以后,利用一个众所周知的漏洞我们控制了小黑使用的某些服务器。在其中一台服务器上,我们看到了大灰狼远控的管理程序,在任务管理器这个木马控制端程序的CPU占用已经达到了12%:

当时由于小黑正在线,我们用netstat命令查看一下该主机上目前已经上线的肉鸡:

嗯,似乎控制的肉鸡并不多,这个服务器就只是做木马的控制端吗?没那么简单,接着往下看。

0x02 枪和驾照


翻服务器磁盘,我们发现该服务器上有个“泛站群系统”,该系统可以使得国内的搜索引擎收录更快,但被降权的速度也很快,所以这些服务器上会起用大量的域名和IP。下图是系统的使用说明:

这台服务器上绑了多个外网IP:

依赖360网络研究院提供的DNS基础数据,我们获取了近期绑定在这些IP上的域名列表如下:

从这张列表中抽取了部份域名在某搜索引擎中做了验证,发现结果让我们有些心惊胆跳:

很显然都是SEO卖枪的,而这些枪的关键词又正好在服务上就有发现:

通过whois信息的查询,发现所有涉枪域名都使用qiangseo@126.com注册,从这样直白的邮箱名来看,邮箱背后的人看来专门从事枪关键词SEO。

继续挖掘服务器上的文件,我们还发现了XISE Webshell管理器,呵,一个好长的列表,已经被地下管理员接管的机器真不少:

这些被黑的站点用来做什么了呢?看看小黑怎么操作那些Webshell就知道了:

可见除了在自己的网站使用“泛站群”达到快速恶意SEO的目的,小黑还使用扫描器大量扫描存在漏洞的网站植入webshell,向这些网站写入要SEO的信息达到快速SEO的目的。随机抽了些被黑SEO的网站:

政府网站历来都是被黑链的重灾区,对此只能一声叹息。

0x03 余额宝


翻服务器文件系统的过程中总是惊喜不断,打开一个目录"XISE蜘蛛池\niubi\keywords"下的1.txt,里面一堆和支付宝相关的关键词挺令人震惊:

原来小黑还通过“泛站群”做恶意SEO,使人在使用国内某些搜索引擎的时候找到钓鱼信息,坐等鱼上钩:

0x04 后门


使用这台服务器的小黑也和绝大多数小黑一样,都是拿来主义,可拿来主义不等于免费主义,要么自己多个心,要么就交点学费。我们从这台服务器上取回来的SSH爆破程序包中就直接发现了“Usp10.dll”(MD5: B846B1BD3C4B5815D55C50C352606238)的盗号木马,而运行“SSH最终版(稳定).exe”(MD5: 59F7BC439B3B021A70F221503B650C9C)这个主程序后也会在%temp%文件夹中释放2个文件:一个SSHguiRelease.exe(MD5: AB72FC7622B9601B0180456777EFDE5D),真正的SSH爆破程序;另一个filter32.exe(MD5: 7218C74654774B1FDE88B59465B2748C),使用易语言编写的程序,经分析发现该文件会向147|||_|_@163.com这个邮箱发送文件。

外面的Usp10.dll可能是被无意感染的,而里面的那个发邮件后门则明显是故意植入的,防不胜防。

Usp10.dll这类恶意代码是dll劫持型木马,一个小心就全盘感染了。但从服务器上取回来的样本中只有2个软件包存在,且都是工具类的,服务器上并没有感染这个样本。

上面这个工具可能来源于“泯灭安全网”,写稿时凑趣地网站维护了,只好贴个搜索快照图:

对后门代码进一步反汇编分析,确认147|||@163.com即是收件邮箱又是发送的邮箱,而这个邮箱的密码是:sgg|||*cc,通过SMTP协议将要偷取的信息发送出去。下图是涉及在黑客工具中植入的后门往163邮箱发送数据的代码:

随后使用木马中配置的账号和密码进入这个发件邮箱,我们当然会摸进邮箱里去看看了。在收件箱中有41封邮箱,发件箱中有388封,已删除邮箱有5封,而这些数据仅是近一个月的数据。

通过统计所有邮件头中的“Received”包含的IP,可以看到有不少中招小黑交了大量的学费。

在这些邮件中,不仅有小黑们的木马配置信息,还有大量扫描出来的IP及相对应的账号和密码信息。

在黑产圈子,没有黑吃黑才是不正常的,关于工具后门其实还有可说的,请期待天眼实验室的下一篇扒皮。

比较逗的是,这个服务器上的黑客工具居然有感染了“Parite”病毒,可能是我们在翻服务器文件时激活的(论服务器也安个360的重要性),以致于最新更新的大灰狼远控也被感染了。

因为“Parite”会使得系统变慢,不停的弹出文件保护的窗口,使大灰狼远控不再免杀,可能因为这个原因小黑发现异常把系统重做了导致我们对服务器失去控制。

0x05 总结


就这样,我们零距离观察了一台多功能的黑产工作站(只是众多机器之一),我们的发现大致可以归纳成如下的图:

操作这些的是新时代的Script Kiddies,他们租个服务器,找些自动化的撸站工具,程序开起来就算开干了,充当产业链上最初级的角色,在他的环节里通过现成的渠道变点现。他们所使用的服务器工具存在漏洞,撸站工具包含后门,甚至都处理不了恶意代码的感染,因这些问题的损失都是技能不足交的税。他们最容易被分析和打击(如果有人想打击的话),但是,这一切都不会影响他们的活动,只要能不怎么花力气的挣点钱。

另外,天眼实验室还在招人,恶意代码分析方向,海量多维度的数据带来不同的眼界,投条请往:zhangshuting@360.cn

0x06 威胁信息


以下就是些入侵指示数据,尽管现在威胁情报很热,但目前国内的安全设备对于机读IOC的支持并不广泛,也就不装模作样地提供什么OpenIOC或STIX格式的XML了,读者可以根据自己的需要加入到设备的检测目标里。

类型 备注
MD5 27C8E69F7241476C58C071E83616D2B5 YY某主播视频.exe
MD5 E4C62055D1BCEB88D97903562B9E1BE8 hexSB360.exe
MD5 B846B1BD3C4B5815D55C50C352606238 usp10.dll
MD5 59F7BC439B3B021A70F221503B650C9C SSH最终版(稳定).exe
MD5 7218C74654774B1FDE88B59465B2748C filter32.exe
Domain qq867126996.3322.org CC地址
Domain q332299.f3322.net CC地址
Domain luanqi.net CC地址
Domain lyisi.org CC地址
Domain sb.jiushao.net CC地址
Domain huo-dian.com CC地址
Domain www.000268.cn 钓鱼网站
Domain www.dlyymy.cn 黑客网站
email dt0598@outlook.com 注册大量钓鱼网站
email qiangseo@126.com 注册大量枪支推广网站

评论

J

Joker 2015-12-17 13:54:18

First!

梦の独步清风 2015-12-17 15:39:38

2rd

小黑 2015-12-17 15:50:55

"样本关联出来的网络基础设施以后,利用一个众所周知的漏洞我们控制了小黑使用的某些服务器"众所周知的漏洞是什么

路人甲 2015-12-17 16:02:28

学习下,360的病毒分析和漏洞分析,非常不错。可惜每次都没样本。只能自己百度。

路人甲 2015-12-17 16:51:01

"利用一个众所周知的漏洞我们控制了小黑使用的某些服务器",这个太屌,服务器上装了360吧?

路人甲 2015-12-17 16:54:19

样本关联出来的网络基础设施以后,利用一个众所周知的漏洞我们控制了小黑使用的某些服务器

路人甲 2015-12-17 17:58:33

@腾讯管家 2333

B

BeenQuiver 2015-12-17 19:50:08

小黑也是混饭吃,风险高收益低,人艰不拆。

水泥中的鱼 2015-12-17 20:29:37

众所周知的漏洞是啥涅

S

Sai、 2015-12-18 14:18:02

下面几个厂商233……

T

Tai7sy 2015-12-18 16:59:21

YY某主播视频.exe 27C8E69F7241476C58C071E83616D2B5
但是这个md5:27C8E69F7241476C58C071E83616D2B5
根据360云安全数据来看 121天前就已经被拦截到了
(SB360:E4C62055D1BCEB88D97903562B9E1BE8 这个md5 日期32天)
你现在发出来干什么,已经到了写软文糊弄大家的地步了么?

Mark 2015-12-19 11:52:53

魔高一尺,道高一丈

刘海哥 2015-12-21 09:38:57

下面几个厂商233……

S

sky 2015-12-21 16:41:28

360dns也不安全了

路人甲 2015-12-22 10:58:21

不错,晚上加鸡腿!

路人甲 2015-12-28 10:19:20

@梦の独步清风 2nd?

乐乐、 2015-12-29 01:03:57

好跳跃~

V

vforbox 2016-01-13 14:15:33

百度也被黑了,给真正想要的却找不到,给骗子打广告! 李彦宏去死吧

3

360安全卫士

360安全卫士官方账号

twitter weibo github wechat

随机分类

Android 文章:89 篇
业务安全 文章:29 篇
Python安全 文章:13 篇
浏览器安全 文章:36 篇
其他 文章:95 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

Article_kelp

因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s

N

Nas

师傅您好!_static_url_path那 flag在当前目录下 通过原型链污

Z

zhangy

你好,为什么我也是用windows2016和win10,但是流量是smb3,加密

K

k0uaz

foniw师傅提到的setfge当在类的字段名成是age时不会自动调用。因为获取

Yukong

🐮皮

目录