"dnSpy"是一款流行的用于調試、修改和反編譯.NET程式的工具。網絡安全研究人員在分析.NET程式或惡意軟體時經常使用。
2022年1月8日,BLEEPING COMPUTER發文稱,有攻擊者利用惡意的dnSpy針對網絡安全研究人員和開發人員發起了一次攻擊活動。
@MalwareHunterTeam釋出推文披露了分發惡意dnSpy編譯版本的Github倉庫位址,該版本的dnSpy後續會安裝剪切闆劫持器,Quasar RAT,挖礦木馬等。
樣本分析
dnspy[.]net下發的為dnSpy 6.1.8的修改版,該版本也是官方釋出的最後一個版本。
攻擊者通過修改dnSpy核心子產品之一的dnSpy.dll入口代碼來完成感染。
dnSpy.dll正常的入口函數如下:
修改的入口添加了一個記憶體加載的可執行程式:
該程式名為dnSpy Reader:
并經過混淆:
後續會通過mshta下發一些挖礦,剪切闆劫持器,RAT等:
攻擊者建立的兩個 github 分别為:
https[:]//github[.]com/carbonblackz/dnSpy;
https[:]//github[.]com/isharpdev/dnSpy;
其中使用的使用者名為:isharpdev和carbonblackz。請記住這個名字,待會兒我們還會看到它。
資産拓線
通過對dnspy[.]net的分析,我們發現一些有趣的痕迹,進而可對攻擊者進行資産拓線:
dnspy.net:
域名dnspy[.]net注冊時間為2021年4月14日。
該域名存在多個解析記錄,多數為Cloudflare提供的cdn服務,然而在檢視具體曆史解析記錄時,我們發現在12月13日至01月03日該域名使用的IP為45.32.253[.]0,與其他幾個Cloudflare CDN服務的IP不同,該IP僅有少量的映射記錄:
查詢該IP的PDNS記錄,可以發現該IP映射的域名大多數都疑似為僞造的域名,且大部分域名已經下線。
這批域名部分為黑客工具/辦公軟體等下載下傳站點,且均疑似為某些正常網站的僞造域名。
以及披露事件中的dnspy.net域名, 基于此行為模式,我們懷疑這些域名均為攻擊者所擁有的資産,于是對這批域名進行了進一步的分析。
以toolbase[.]co為例,該域名曆史為黑客工具下載下傳站點,該網站首頁的黑客工具解壓密碼為“CarbonBlackz”,與上傳惡意dnspy的Github使用者之一的名字相同。
該站點後續更新頁面标題為Combolist-Cloud,與45.32.253[.]0解析記錄中存在的combolist.cloud域名記錄相同, 部分檔案使用mediafire或gofile進行分發。
該域名疑似為combolist[.]top的僞造站點,combolist[.]top是一個提供洩露資料的論壇。
torfiles[.]net也同樣為一個軟體下載下傳站。
Windows-software[.]co以及windows-softeware[.]net均為同一套模闆建立的下載下傳站。
shortbase[.]net擁有同dnspy[.]net一樣的CyberPanel安裝頁面,且日期均為2021年12月19日。
下圖為dnspy[.]net在WaybackMachine記錄中的CyberPanel的曆史安裝頁面。
coolmint[.]net同樣為下載下傳站,截至2022 年1月12日依然可以通路,但下載下傳連結僅僅是跳轉到mega[.]nz:
filesr[.]net與toolbase[.]co為同一套模闆:
此站點的About us都未做修改:
該頁面的内容則是從FileCR[.]com的About us頁面修改而來:
filesr[.]net的軟體使用dropbox進行分發,但目前連結均已失效。
最後是zippyfiles[.]net,該站點為黑客工具下載下傳站:
我們還在reddit上發現了一個名為tuki1986的使用者兩個月前一直在推廣toolbase[.]co及zippyfiles[.]net站點。
該使用者在一年前推廣的網站為bigwarez[.]net:
檢視該網站的曆史記錄發現同樣為一個工具下載下傳站點,且關聯有多個社交媒體賬号:
推特@Bigwarez2:
該賬号現在推廣的網站為itools[.]digital,是一個浏覽器插件的下載下傳站。
Facebook組@free.software.bigwarez:
領英 - 目前已經無法通路:@free-software-1055261b9。
tumblr@bigwarez。
繼續分析tuki1986的記錄,發現了另一個網站blackos[.]net:
該網站同樣為黑客工具下載下傳站點:
且在威脅情報平台标注有後門軟體:
通過該網站發現有一個名為sadoutlook1992的使用者,從18年即開始在各種黑客論壇裡釋出挂馬的黑客工具。
在其最新的活動中,下載下傳連結為zippyfiles[.]net:
從惡意的Github倉庫及解壓密碼可知有一個使用者名為”CarbonBlackz”,使用搜尋引擎檢索該字元串,發現在知名的資料洩露網站raidforums[.]com有名為“Carbonblackz”的使用者。
同樣的在俄語的黑灰産論壇裡也注冊有賬号,這兩個賬号均未釋出任何文章和回複,疑似還未投入使用。
其還在越南最大的論壇中釋出軟體下載下傳連結:
通過檢視這些域名的WHOIS資訊發現,filesr[.]net的聯系郵箱為[email protected]:
查詢該郵箱的資訊關聯到一位35歲,疑似來自俄羅斯的人員。
從carbon1986和tuki1986這兩個ID來看,1986疑似為其出生年份,同時也符合35歲的年齡。
根據這些域名的關聯性,行為模式與類似的推廣方式,我們認為這些域名與dnspy[.]net的攻擊者屬于同一批人。
這是一個經過精心建構的惡意組織,其至少從2018年10月即開始行動,通過注冊大量的網站,提供挂馬的黑客工具/破解軟體下載下傳,并在多個社交媒體上進行推廣,進而感染黑客,安全研究人員,軟體開發者等使用者,後續進行挖礦,竊取加密貨币或通過RAT軟體竊取資料等惡意行為。
結論
破解軟體挂馬已經屢見不鮮,但對于安全研究人員的攻擊則更容易中招,因為一些黑客工具,分析工具的敏感行為更容易被殺軟清除,是以部分安全研究人員可能會關閉防病毒軟體來避免煩人的警告。
雖然目前該組織相關的惡意網站,Github倉庫以及用于分發惡意軟體的連結大部分已經失效,但安全研究人員和開發人員還是要時刻保持警惕。
對于各種破解/洩露的黑客工具,建議在虛拟環境下運作,開發類軟體,辦公軟體要從官網或正規管道下載下傳,且建議使用正版,以避免造成不必要的損失。
- END -