几年前,在与LockBit勒索软件安全事件中,发现:攻击者偏好使用特定的文件共享平台进行数据传输。这些平台包括temp.sh, file.io, sendspace.com, anonfiles.com, transfert-my-files.com, tempsend.com, transfer.sh 和 bashupload.com。这一发现不仅揭示了网络攻击者在数据泄露和提取方面的行为模式,也为我们提供了关于如何检测和防范这些行为的重要线索。
数据提取和收集方式
数据提取(Exfiltration)在这些平台上,我们主要观察到POST请求,这是数据上传的主要方式。具体来说,这些请求包括:
-
向temp.sh的/upload路径发送POST请求。
-
向file.io的根目录发送POST请求,通常伴随有标题参数。
-
向sendspace.com的/upload路径发送POST请求。
-
向api.anonfiles.com的/upload路径发送POST请求。
-
向transfert-my-files.com的inc/upload.php路径发送POST请求。
-
向tempsend.com的/send路径发送POST请求。
-
向transfer.sh发送POST请求。
-
向bashupload.com发送POST请求。
数据收集(Collection)数据收集主要通过GET请求实现,攻击者通过这些请求下载已上传的数据。这些请求通常指向:
-
temp.sh的特定子路径。
-
file.io的根目录或特定子路径。
-
sendspace.com的/file/路径。
-
anonfiles.com的特定子路径。
-
transfert-my-files.com的/files/路径。
-
tempsend.com的根目录或特定子路径。
-
transfer.sh的根目录或特定子路径。
-
bashupload.com的根目录或特定子路径。
恶意软件样本的隐藏与传播
然后我自己在实际的攻防演练中,发现确实存在一些攻击者利用上述这些文件共享平台存放各种恶意软件样本,包括远程控制软件样本。
这些样本通常被隐藏在看似无害的文件中,以逃避安全软件的检测。一旦下载和执行,这些恶意样本就能在受害者的系统中执行后渗透操作,如数据窃取、系统控制等。
通过深入观察和分析这些流行的文件共享平台的使用模式,我们可以更好地理解和预防网络攻击者的行为。了解他们如何利用这些平台来隐藏和传播恶意软件
这个主要是在其他平台上看见别人在前几年都总结好了,然后我自己确实也碰见过,所以稍微让chatgpt整理记录一下。0-0
原文始发于微信公众号(天才少女Alpha):一些隐藏与传播恶意样本的文件共享平台
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论