DNS隧道和DHL聊天机器人钓鱼攻击

写在前面：介绍了DNS隧道技术，以前也大致明白，但细节不清楚。看到整个攻击过程的设计及实现，我只有四个字，工匠精神。

为了更好地达到钓鱼的效果，黑客开始模拟聊天机器人，虽然还不是很完美，但已经初具模型。

Saitama后门如何使用DNS隧道技术

Mark Stockley

 

       感谢Malwarebytes威胁情报团队为本文提供的信息。

      可以理解，很多网络安全的研究和评论都侧重于在不被发现的情况下侵入计算机。但攻击者通常也同样关心这点。

      带有监视或间谍目的的恶意软件需要在不被发现的情况下运行，但它也可能需要窃取数据或与其C2服务器交换消息，这两者都会暴露其存在。

      恶意软件避免检测所采用的隐秘通信技术之一是DNS隧道，它将消息隐藏在普通的DNS请求中。

       Malwarebytes威胁情报团队最近公布了一项关于伊朗威胁组织APT34对约旦政府攻击的研究，该组织使用了这种方法，并有自己的创新。

      攻击的有效载荷是名为Saitama的后门，它是一个使用DNS进行通信的有限状态机（finite state machine）。我们早期文章对Saitama的运行做了深入介绍，值得一读。

       下面，我们将扩展Saitama 使用DNS 隧道的技巧。

Saitama DNS 隧道

       DNS是互联网的“地址簿”，它允许计算机查找人类可读的域名，如malwarebytes.com，并找到它们的IP地址，如54.192.137.126。

       DNS信息不是保存在单个数据库中。相反，它是分布式的，每个域名都有名称服务器，负责回答有关它们的问题。攻击者可以使用DNS进行通信，通过让他们的恶意软件进行DNS查找，由他们控制的名称服务器进行响应。

       DNS如此重要，几乎从未被企业防火墙阻止过，而企业网络上庞大的DNS流量为恶意通信提供了充分的掩护。

       Saitama的消息取决于两个重要的事实：DNS流量在很大程度上仍然是未加密的，所以消息必须很模糊，看不出他们的目的；和DNS记录经常被大量缓存，因此相同的消息必须看起来不同才能到达APT控制的名称服务器。

Saitama 消息

       在对约旦外交部的攻击中，Saitama的域查找使用了以下语法:

       Domain = message, counter '.' root domain

 根域(root domain)为uber-asia.com、asiaworldremit.com或joexpediagroup.com，这三个域名可以互换使用。

       每次查找的子域部分由消息和计数器组成。计数器用于对消息进行编码，并在每次查找时发送到命令和控制(C2)服务器，以便C2服务器可以对消息进行解码。

可以发送四种类型的消息:

1.  服务器通讯

       在第一次执行时，Saitama通过选择0到46655之间的一个随机数来启动计数器。在本例中，我们随机生成的计数器是7805。

       从该计数器派生的DNS查找是：nbn4vxanrj.joexpediagroup.com

      计数器本身使用硬编码base36字母进行编码，并和名称服务器共享。在base36中，每个数字都由0-9和A-Z这36个字符中的一个表示。在标准base36中，字母7805被写成60t (6 x 1296 + 0 x 36 + 30 x 1)。然而，在Saitama的自定义字母7805是nrj。

       该计数器还用于生成一个自定义字母表，该字母表将用于使用简单的替换对消息进行编码。发送回家的第一个消息是命令0,base36编码为a，它告诉服务器它有一个新的受害者，前缀为字符串haruto，生成aharuto。

       使用计数器生成的字母进行简单替换，生成消息nbn4vxa。

       b e c d f g h i j k l m n o p q r s t u v w x y z 0 1 2 3 4 5 6 7 8 9↓↓↓↓↓↓n j 1 6 9 k p b h d 0 7 yia2 g 4 u x v 3 e s w f 5 8 r o c q t l z m

       C2名称服务器使用共享的硬编码字母表解码计数器，然后使用计数器派生用于编码aharuto的字母表。

       它用一个IP地址响应联系人请求，该IP地址包含Saitama在未来通信中使用的ID。前三个八位元可以是任何东西，Saitama忽略它们。最后一个八位包含ID。在我们的例子中，我们将使用ID 203:

       地址是75.99.87.203。

2.  请求命令

       现在它有了一个来自C2服务器的ID, Saitama将其计数器增加到7806，并表示它准备接收如下命令：该计数器用于生成一个新的自定义字母表，它将ID 203编码为ao。使用恶意软件的硬编码base36字母，把计数器本身编码为nrc，Saitama的三个根域之一是随机选择的，生成：

       aonrc.uber-asia.com

       C2服务器以Saitama应该期望的载荷大小响应请求。Saitama将使用这个来确定它需要做出多少请求来取回全部有效载荷。

       C2响应的IP地址的第一个八位是129到255之间的任何数字，而第二个、第三个和第四个八位表示载荷大小的第一个、第二个和第三个字节。在本例中，有效载荷为4个字节。

       129.0.0.4

3.  收到命令

       现在它知道了它将接收的有效载荷的大小，Saitama向服务器发出一个或多个receive请求以获取它的指令。它从7807开始，每次增加一个计数器。在这个步骤中可能需要多个请求，因为有些命令名需要超过一个IP地址所能携带的四个字节的信息。在本例中，它被告知收到四个字节的信息，因此它只需要发出一个请求。

       来自Saitama的消息由三部分组成:数字2，表示RECEIVE命令；ID 203；还有一个偏移指示哪一部分的有效载荷是必需的。它们分别以base36编码并连接在一起。产生的字符串使用从计数器7807派生的自定义base36字母进行编码，给我们消息k7myyy。

       计数器使用硬编码的字母表编码nr6，并随机选择Saitama的三个根域之一，给我们:

       k7myyynr6.asiaworldremit.com

       C2使用两位数整数表示要运行哪个函数。它可以要求Saitama运行五种不同的功能:

C2服务器           Saitama

43                        static

7                          cmd

71                        compressedcmd

95                       File

96                       compressedfile

Saitama的功能

       在本例中，C2服务器希望使用Saitama的Cmd函数运行命令ver。(在前面的请求中，C2表示它将向Saitama发送一个4字节的负载:一个字节表示70，三个字节表示ver。)

       在它的响应中，C2使用IP地址的第一个字节来表示它想运行的函数70，然后剩下的三个字节用小写字母“v”、“e”和“r”的ASCII码点拼出命令名ver:

70.118.101.114

4. 运行命令

       Saitama运行给它的命令，并在一个或多个DNS请求中向C2服务器发送结果输出。计数器每次递增1，在我们的示例中从7808开始。在这个步骤中可能需要多个请求，因为有些命令名需要超过一个IP地址所能携带的四个字节。

       p6yqqqqp0b67gcj5c2r3gn3l9epztnrb.asiaworldremit.com

       计数器使用硬编码的字母表编码nrb，并随机选择Saitama的三个根域之一。

在这种情况下，消息由五部分组成:数字2，表示RECEIVE命令；ID 203；以及表示发送响应的哪一部分的偏移量；缓冲区的大小；以及一个12字节的输出块。它们分别以base36编码并连接在一起。结果字符串使用从计数器7808派生的自定义base36字母进行编码，给我们提供消息

p6yqqqqp0b67gcj5c2r3gn3l9epzt。

 

 摘自：

https://blog.malwarebytes.com/threat-intelligence/2022/05/how-the-saitama-backdoor-uses-dns-tunnelling/amp/

（完）

交互式网络钓鱼：使用类似聊天机器人的Web应用程序来获取信息

2022年5月19日   Adrian Perez

       钓鱼网站的链接通常是透过电邮传送给有关的目标。一旦点击，这些网站通常会显示一个单独的网页，直接要求提供敏感信息，如账户登录凭证、信用卡详情和其他个人身份信息(PII)。

       最近，我们遇到了一个有趣的钓鱼网站，其中包含一个交互组件：聊天机器人。与许多钓鱼网站不同，这个网站首先建立一个对话，然后一点一点地引导受害者到实际的钓鱼页面。

       虽然网络钓鱼的方式相当独特，但它仍然使用电子邮件作为投送方式。对电子邮件头的深入检查表明，“From”头缺少电子邮件地址部分，这已经是一个危险的信号。

带有伪造的“From”头（DHL express）的钓鱼邮件

“From”头部分，没有电子邮件组件

       点击“Please follow our instructions”将打开浏览器，并将收件人引导至可下载的PDF文件。该文件有两种方式将收件人重定向到实际的钓鱼网站。第一种方法是通过“Fix delivery”按钮，第二种方法是从文件复制另一个URL。

带有DHL商标的可下载PDF文件，含有指向钓鱼网站的链接

       任何一种方法都会重定向到同一个网站，也就是真正的钓鱼网站。

钓鱼链

       第一站是类似聊天机器人的页面，试图与受害者建立信任。我们说“像聊天机器人”，因为它不是一个真正的聊天机器人。应用程序已经根据给定的有限选项预设了响应。

JavaScript 代码包含聊天机器人预设响应的

       沟通的第一部分只是确认预定物品的跟踪号码。

        点击“Yes”选项，程序将尝试与受害者进行更高层次的接触，通过显示物品的图片并询问首选的送货地址(即家庭或办公室地址)。

聊天机器人，受害者更多的细节和指令

        

        为了获得受害者更多的信任，在受害者点击“Schedule delivery”按钮后，验证码会立即显示。然而，这里有些奇怪的地方—除了确认和关闭按钮之外，没有其他可点击的。

伪造验证码，要求受害者输入显示数字

       检查页面源代码，可以证实验证码只是嵌入的jpeg 图片。

 

       通过点击“Confirm”，受害者现在将被重定向到另一个页面，在那里“聊天机器人”会要求登录凭证(即，电子邮件地址和密码)以及送货地址。

“聊天机器人”要求输入邮箱、密码和快递地址

       

        到了这里，你可能认为凶手已经得到了他们想要的东西，但你错了。网络钓鱼不会在本页停止。点击“Schedule Delivery and Pay”按钮，受害者会再次跳转到另一个钓鱼网页。这次，他试图窃取信用卡信息。

       信用卡页面有一些输入验证方法。一种是卡号验证，它不仅要检查卡号的有效性，还要确定受害者输入的卡号的类型。

       一旦受害者填写了表格，点击“PAY NOW”按钮将把受害者重定向到加载页面，几秒钟后，该页面将重定向到OTP(一次性密码)页面。OTP是自动生成的字符(数字或字母数字)，通常发送到用户的注册移动电话号码。这是单次交易另一层用户身份验证。

       事实上，网页要求OTP是相当令人惊讶的，因为前面的页面没有要求任何手机号码信息。输入随机字符只会将您重定向到相同的页面，说明安全代码不再有效。然而，在第5次尝试时，页面重定向到另一个页面，表示成功收到了提交。这标志着犯罪者网络钓鱼链的结束。

 

钓鱼链总结

       值得注意的是，url以“dhi”开头，这是品牌名称“dhl”或“dhl”的拼写错误版本，这显然是一种欺骗技术。

       该钓鱼邮件样本于2022年3月25日被Trustwave Mailmarshal检测到。在撰写本文时，实际的钓鱼应用程序仍然处于活动状态，但现在使用了一个新注册的域。

结论

       一般来说，使用聊天机器人会给网站增加一个交互组件。这通常会带来更高的转化率，因为这会让网站对用户来说更有趣、更吸引人。这就是这次网络钓鱼活动的肇事者试图利用的。除了在钓鱼邮件和网站上显示品牌欺骗目标外，这个类似聊天机器人的组件还会慢慢引诱受害者进入真正的钓鱼页面。此外，虚假OTP和验证码页面的加入使钓鱼网站看起来更合法。

       聊天机器人、OTP和验证码(CAPTCHA)技术已经很常见，并被各大品牌广泛应用于其在线系统中。因此，建议消费者在网上点击内容时要非常小心，并注意诸如此类复杂的网络钓鱼活动。

 摘自：

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/interactive-phishing-using-chatbot-like-web-applications-to-harvest-information/

（完）

原文始发于微信公众号（安全行者老霍）：DNS隧道和DHL聊天机器人钓鱼攻击