Поиск сетки вредоносных сайтов

Вчера мне пришла SMSка с сообщением о том, что мне пришла MMSка (ёпта, кто придумывает такие легенды для социальной инженерии?!)…

Добавьте описание

Для получения ММСки нужно перейти на сайт и скачать её. Мне очень хотелось посмотреть ММСку (поскольку за всю жизнь я отправлял/получал в общей сложности где-то пяток MMS-ок, не больше; а за последние лет 10-15 мне вообще не доводилось получать или отправлять MMS сообщения — честно говоря, я даже стал забывать, что это такое. Не удивлюсь, если те, кому сейчас лет 25 вообще не в курсе и никогда этим не пользовались. Вот такая вот хреновая легенда для социальной инженерии… Поэтому я как-то засомневался.

При переходе по указанному адресу само-собой скачивался установочный файл для Android. А там бэкдор или вирус.

Добавьте описание

Я распаковал файл:

apktool d Photo_374207.apk

Попытался посмотреть исходный код, но ничего интересного не нашёл.

Поэтому я решил заняться тем, что у меня получается получше — искать информацию о владельце сайта.

Исходная информация: у меня есть домен acxc.pro.

Конечно, в первую очередь проверил whois этого домена — но там данные скрыты. За дополнительную плату можно купить услугу, когда домен регистрируется на Панамский или другой офшор. В результате данные о владельце недоступны в whois.

Поэтому я обратился к сервису Поиска сайтов на одном IP, получил:

  • zhqw.info
  • zadt.pro
  • ypco.pro
  • www.netcdnfly.us
  • witforyoubrain.com
  • sub.netcdnfly.us
  • stepicktondroplar.com
  • sg2019z.pro
  • rosubpillineyford.com
  • ohyd.pro
  • ns1.howardmatthews.net
  • new19p.pw
  • new19a.pw
  • netcdnfly.us
  • main.netcdnfly.us
  • lost7burn-tmz.com
  • jirv.info
  • howardmatthews.net
  • happyv.pw
  • diet-thebest.world
  • clients.netcdnfly.us
  • bufb.pro
  • akamaiservice.site
  • acxc.pro
  • accounts.akamaiservice.site

Из этих сайтов бросились в глаза такие:

  • acxc.pro
  • bufb.pro
  • jirv.info
  • ohyd.pro
  • zhqw.info
  • zadt.pro
  • ypco.pro

Они все созданы для распространения вредоносной программы под Android.

Я решил посмотреть, что интересного о домене acxc.pro может рассказать SecurityTrails. IP адресом сайта acxc.pro является 91.235.129.58. Сервис acxc.pro нашёл 33 домена на этом адресе, а также показал, что в качестве серверов имён он использует ns.dns-b.info или ns.dns-a.info, которые обслуживают всего 233 домена — данных немного, поэтому их также стоит проанализировать.

Добавьте описание

Далее большая часть сбора информации заключалась в следующих действиях:

  1. для каждого сайта смотрелась история, как менялись их IP адреса. Информация более старая чем 1 год отбрасывалась
  2. для каждого нового IP искались домены, которые его используют. С каждым новым IP адресом я возвращался к первому пункту. И так до тех пор, пока не кончились зацепки.

Смотрим данные истории для acxc.pro:

Добавьте описание

Там есть, к примеру, IP 176.99.9.211, а также ещё 91.236.74.14 и 91.236.74.0.

Выполняем поиск по IP 176.99.9.211, находим ряд сайтов.

Добавьте описание

Смотрим историю IP адресов для каждого из них и выписываем те, которые ещё не известны ным. К примеру, взглянем на данные истории для heykeratro.com:

Добавьте описание

Там есть ранее не известные нам адреса:

  • 91.235.129.72
  • 91.236.74.13

А также уже известные:

  • 176.99.9.211
  • 91.236.74.14
  • 176.99.9.211

Новые добавляем в пул для анализа, а уже известные нам адреса подтверждают, что этот сайт также принадлежит тому же владельцу, что и целевой сайт.

В какой-то момент оба сайта находятся на одном IP 91.235.129.58, в их истории два общих IP 176.99.9.211 и 91.236.74.14. Проанализировав другие сайты из этого же списка, получаем аналогичные результаты. Исходя из этого, а также с учётом похожих whois записией (Панама, скрытые записи, одинаковые регистраторы доменных имён, одинаковые NS серверы) приходим к выводу, что это всё связанные сайты (сайты одного лица).

Поиск по новому IP 91.235.129.72 даёт нам, к примеру, домен etthemonth.com. Данные истории etthemonth.com и других доменов «сдают» нам новые IP адреса:

  • 91.236.74.0
  • 185.234.218.66
  • 185.234.218.63
  • 185.234.218.60
  • 185.234.218.59

Домен workerforyou.com (IP 185.234.218.59) в своей истории IP адресов привёл к адресу 195.22.126.81, а там, например, домены

  • mmsfile.download (тоже из «Панамы»)
  • photo-files.download

Данные истории andnowforphoto.com привели к IP адресу 195.22.126.160, а этот адрес привёл к сайту sms39.site, а его данные истории привели к IP адресу:

  • 195.22.126.80

Итак, самыми древними сайтами, до которых удалось докопаться этим методом, стали photo01.site (создан 2018-03-09) и sms39.site (создан 2018-03-15). Затем пошли mmsfile.download и photo-files.download (оба созданы 2018-05-31).

Выявленные IP адреса:

  • 91.235.129.58
  • 91.235.129.72
  • 91.236.74.0
  • 91.236.74.13
  • 91.236.74.14
  • 176.99.9.211
  • 185.234.218.59
  • 185.234.218.60
  • 185.234.218.60
  • 185.234.218.63
  • 185.234.218.66
  • 194.87.190.129
  • 194.87.190.66
  • 194.87.190.71
  • 195.22.126.160
  • 195.22.126.80
  • 195.22.126.81
  • 195.22.126.83
  • 195.54.163.209

На момент написания, а также уже после написания, активные сайты часто меняют IP адрес.

То, что большинство найденных сайтов принадлежат одному человеку или группе подтверждается:

  • пересекающимися IP адресами
  • использование одинаковых регистраторов и способов сокрытия данных о владельце
  • одинаковыми целями некоторых сайтов (распространение вируса для Android под предлогом скачивания изображения или MMS)
  • все сайты созданы не ранее чем март 2018 года

Вывод

Даже если для сокрытия информации о владельце используются сервисы фиктивного whois, при использовании открытых и бесплатных источников возможно:

  • собрать информация о сетках сайтах одного лица
  • собрать информацию об используемых IP (следовательно, о хостинг провайдерах)

Если лицо, чьи сайты здесь рассмотрены, не поменяет свою модель поведения, то создаваемые им в будущем сайты можно обнаружить уже описанным способом. А если это лицо оставит чуть больше зацепок на каком-либо сайте (либо уже оставил — я не изучал сайты подробно), то это даст дополнительную информацию о нём и позволит, например, в 2020 году связать определённого человека с распространением вируса в начале 2018…

Бонус — выявление доменов, которые ещё не использовались

В списке актуальных сайтов с вредоносной ссылкой

  • acxc.pro
  • bufb.pro
  • jirv.info
  • ohyd.pro
  • zhqw.info
  • zadt.pro
  • ypco.pro

можно найти две закономерности:

  1. Все домены состоят из четырёх букв.
  2. Все домены в зонах .pro или .info

Можно предположить, что имеются ещё домены, которые названы по этим же правилам, но о которых мы не знаем. Поэтому на ум приходит брут-форс доменных имён. То есть наша цель найти домены, которые существуют, но которые но о которых ещё не знает ни один сервис по той причине, что эти домены ещё не использовались.

Начнём с того, что создадим два словаря, в которых будут перечислены варианты всех возможных доменных имён:

maskprocessor ?l?l?l?l.info > info.dic

и

maskprocessor ?l?l?l?l.pro > pro.dic

Посмотрим, какие сервера имён используют целевые домены:

whois acxc.pro | grep 'Name Server'

Мы получили ns.dns-a.info и ns.dns-b.info. У этих серверов IP адреса 51.68.142.40 и 54.39.148.148.

Причём у этих серверов имён есть особенность: они знают только о «своих» доменах.

Например, если мы введём запрос по «вредоносному» домену:

dig jirv.info +short @51.68.142.40

То в ответ мы получим его IP адрес, сейчас это 195.54.163.209.

Если мы введём запрос по обычному домену, то сервер имён ничего не ответит:

dig yahoo.info +short @51.68.142.40

Используя эту особенность, можно написать и запустить пару скриптов, первый для брутфорса доменных имён по словарю pro.dic:

#!/bin/bash

 

cat pro.dic | while read domain; do

if [[ "`dig $domain +short @51.68.142.40`" ]]; then

echo $domain

fi

done

Второй для брут-форса имён хостов по словарю info.dic

#!/bin/bash

cat dic.info | while read domain; do

if [[ "`dig $domain +short @54.39.148.148`" ]]; then

echo $domain

fi

done

К примеру, именно таким образом был найден домен ewlg.info.

Бонус 2

Поиск выполнялся с использованием SecurityTrails. Сервисы с аналогичными функциями:

Эти сервисы берут данные из других источников, поэтому с их помощью можно получить дополнительную информацию.


Вам также может понравиться

About the Author: CardinalFOX

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *