Doxbin 恶意软件分析

介绍

本研究报告对 Doxbin 域进行了详细分析。众所周知，Doxbin 实际上并不托管恶意软件，因为它是一个文档和粘贴站点，用于以文本形式存储信息。类似的网站包括 Pastebin 和 Hatebin。基本上，用于存储基于文本的信息的网站。

多年来，Doxbin 越来越受欢迎，因为该网站被用于存储 SSN、地址等人的个人信息，并且是一个高度基于网络犯罪分子使用的网站，也是政府和机构用于调查目的的资源。尽管如此，人们很少知道 doxbin 实际上重定向到包含恶意软件的主机和暴露个人信息的网站，包括 IP 地址，例如 Facebook，我们将在下面看到。

对网站本身的调查（基于粘贴的调查）

相关视频教程

• 恶意软件开发（更新到了155节）

在看到适用于 Google Chrome 的 Avast 在线安全插件显示的此错误后，我决定开始在 doxbin 网站上进行调查：

这为我开始对网站本身进行恶意软件分析奠定了基础，并找出导致 Avast 发出此警报的网站后端背后的原因。几个月前，我被 doxbin 本身传播的恶意软件感染，在他愚蠢到通过电子邮件将我的所有密码通过电子邮件发送给我并告诉我他用远程访问木马感染了我的 PC 之后，他将恶意软件命令和控制服务器的所有者追溯回埃及。尽管如此，这种恶意软件本身的来源如下所示：

所有这些粘贴都包含某种链接到它的软件，其中包含远程访问木马（这些程序伪装成合法的程序，以控制您的计算机和数据，主要由黑客通过利用远程代码执行和从命令和控制服务器控制您的计算机来建立远程连接）。使这些粘贴仍然存在的是它们包含个人信息的事实，管理员和版主只是忽略了粘贴包含恶意软件的事实，并将其留在那里传播给从粘贴中下载它的人。

我们可以看到这些埃及黑客如何充分利用他们的社会工程技术来解雇检查这些链接的版主或管理员，因为他们将其命名为“Autodox 工具”，而显然没有这样的事情，他们利用了该网站并用它来传播恶意软件。人肉搜索下方是人们的个人信息，为了这些人的隐私和安全，这里不会显示。

我们可以从这里进一步看到，从这些链接传播的恶意软件链接是实时的，并且仍然可以从网站上下载恶意软件。这本身就非常危险，特别是因为恶意软件的所有者能够适当地伪装它以绕过 Doxbin 网站管理员和版主的眼睛。

现在，既然我们已经看到了对包含恶意软件的 doxbin 粘贴的调查，那么让我们继续进行下一步的调查。

任何运行威胁情报引擎调查

对于此调查，我们将使用 Any Run 来调查与本网站相关的任何恶意或可疑活动。您可以从此处访问此详细报告。

在这里，我们看到该域的一般信息与具有两个指标的恶意活动相关联。这些指标表明，该网站在后台运行许多进程，并且还具有执行网络攻击的能力。

从这里我们看到，Doxbin Web 应用程序系统能够运行iexplore.exe （Internet Explorer），并且能够在执行的每个进程中对系统进行上述更改，并从 Microsoft Outlook 安装路径中检索该数据。

我们现在开始看到域删除并下载到PC中的可疑文件。其中有很多，所以我不会费心去一一介绍，但如果你想自己检查一下，那么我建议你自己看一下报告。其中大多数只是图像、文本和二进制文件。其中一些可能包含恶意软件，但不太可能。其中大多数是 JavaScript 代码、临时文件、Cookie 等，这些都是域运行所必需的。

所有这些都表明该网站背后有可疑的东西。虽然他们说该网站是安全的，但这并不能让他们有理由在Web应用程序系统的管理面板中隐藏PayPal或Payoneer面板。除此之外，Facebook Favicon 表示进一步怀疑该网站可能将流量匿名重定向到 Facebook（记录 IP 地址的网站）。

从这里我们可以看到，该站点在浏览时同时执行多个网络活动。

我只是想知道这是否是某种笑话，或者究竟是什么，因为似乎 Doxbin 将定向到 Microsoft，一个记录 IP 的网站。仅仅因为它重定向，并不意味着他们看不到网站引用者被doxbin到请求更新的地方，以便从Microsoft服务器下载。

该博文使 Doxbin 服务器似乎使用 Internet Explorer 将病毒恶意软件下载到计算机中，并且恶意软件的网站被列入白名单，这使情况变得更糟。

因此，为了简单起见，Doxbin 可能不会像他们所说的那样记录您的 IP 或其他信息，但 Facebook、Microsoft 和 Google 会记录，当这些网站从 doxbin 建立连接时，推荐人被用作参考，以准确显示网站的连接来自哪里。这意味着Facebook，Google和Microsoft可以通过访问Doxbin获取您的IP，并且他们可以知道您访问了Doxbin，因为引荐来源将显示Doxbin域重定向了连接。

我们甚至可以从这里看到，下载 Doxbin 重定向到的病毒的博客文章已被标记为恶意。

网站源码分析

我们可以从这里进一步看到，该网站使用 Google Analytics 记录数据和信息，这并不是巧合。在查看 Doxbin 页面的源代码时，我们看到 Doxbin 管理员在重新制作网站时犯了一些错误，尤其是开发人员和前管理员本人在源代码的评论中公开了他的 ProtonMail。布伦顿，也被称为约瑟夫·奥唐纳（Joseph O'Donnell），他的信息在从doxbin中隐身后被解码，通过使用他劫持的执法部门的帐户在他的CashApp上执行了紧急数据请求。

看到这一点很明显，任何人都可以使用网站 hCaptcha Site Key。

我们进一步看到网站搜索表单令牌，如果有人决定访问该网站的源代码并使用它，他们就会这样做。

虽然我们可以看到他们说他们不接受PayPal或礼品卡，但这很明显，因为他们已经从管理面板中禁用了该选项，并且可能不想使用它。此外，源代码似乎没有 Google Analytics 标签，这使得他们也必须从管理面板中禁用它。虽然该网站支持这些功能，但为了访问该网站的人的安全，他们必须禁用它们。尽管如此，这并不意味着该网站仍然无法将流量重定向到这些域。

最后，总而言之，我们可以看到，当管理部门发生变化并且新所有者对网站进行翻新时，他们留下了大量信息，尤其是应该隐藏在源代码中的令牌和电子邮件。在漏洞赏金中，报告这些确实是有报酬的，但我敢肯定，在他们看到这份报告后，他们很可能会联系我。目前，与实时 Doxbin 域相关的 whois 信息，这些是 .com、.org 和 .net 域都与一个名为 Nicenic 的域注册商相关联，如下所示：

我们可以进一步看到，他们没有申请隐私，而是在网站注册商信息中留下了他们的国家、州甚至名称作为他们的组织。

虽然目前还不清楚他们为什么这样做，但我很确定他们申请了隐私，并使用了他们用来注册该网站的其他人的姓名和实体遗漏了这些其他信息。尽管如此，由于我们知道 Doxbin 是一个用于骚扰人们的网站，并且被网络犯罪分子大量用于针对人们的有针对性的攻击，包括拍打，因此他们很可能正在使用网站注册上的其他人的信息。尽管如此，这并不意味着如果我向域名注册商报告该网站的恶意软件，那么他们就不会将其删除，因为我相信他们很可能会这样做。此外，由于whois信息也是欺诈性的，因此也可以报告。

在谷歌上搜索纽约的杰西卡·赫希（Jessica Hirsch）这个名字，可以显示内容创建者的信息。尽管如此，很明显，Jessica 不是 Doxbin 域名的注册商，whois 数据库中提供的信息是欺诈性的，不是真正的注册人信息。

OSINT 在 Brenton 的电子邮件中：

电子邮件： [email protected] 链接。智能 X 链接。

该网站的信息 lawless.cf 与从非洲服务器托管的服务器有关，这并非巧合，Doxbin 允许恶意软件通过其网站传播，并通过电子邮件追溯到埃及，正如我们在下面看到的那样，我们将在执行进一步的恶意软件分析时看到。

电子邮件： [email protected] 链接。智能 X 链接。

电子邮件： [email protected] 链接。 X 链接。

我们可以看到，根据 Intelligence X 的说法，这封电子邮件出现了一个漏洞，那就是 doxbin 漏洞，其余数据都是 doxbin 网站的抓取。

很明显，违规行为不是公开的，这就是为什么它不是在 Intelligence X 上，因为它是提供给 HaveIBeenPwned 的 Troy Hunt 的，这家伙非常擅长将违规行为保密。

Autodox Scrapper 工具的恶意软件分析

如前所述，我们从 doxbin 下载了一个恶意软件样本，该样本是从粘贴中传播的，我们将在此处进一步分析此样本。我们将进行所有三项分析，包括将命令和控制服务器所有者的身份追踪到埃及，正如您将亲眼看到的那样。对于静态分析，我将使用 radare2 恶意软件逆向工程工具对 Windows 中的源代码和其他一些工具进行进一步分析。Windows 计算机中使用的工具将是 Process Explorer 和 Portable Executable Studio。

Autodox Scrapper 工具的动态分析：

不会广泛涵盖此恶意软件的动态分析，但我会尽力从经验中总结出在分析此恶意软件的几个月中一切是如何发生的。将涵盖一些引用动态分析的内容，但简而言之，由于命令和控制服务器目前已关闭，因此无法对其进行完全动态分析。

从应用程序本身的外观可以看出，如果没有徽标之类的东西，它看起来非常可疑。

首先在没有互联网连接的情况下运行程序。

虽然此错误对于此恶意软件来说是正常的，但它基本上是说它无法执行负责建立互联网连接的 python 脚本。

在这里，执行Python DLL文件并非巧合，此文件旨在帮助恶意软件建立Internet连接。尽管如此，在建立Internet连接并再次运行程序后，我们收到此错误。

此错误表明恶意软件无法使用Obsfuscated_SynapseX（这是作为特洛伊木马运行的已执行恶意软件的名称，伪装成 SynapseX）与包含连接到命令和控制服务器的信息的粘贴建立连接。

虽然程序应该继续在任务管理器上运行，但可以理解的是，在错误发生后，程序会结束，因为如果无法与命令和控制服务器建立连接，它将无法执行任何操作。

虽然启动文件夹中突然没有任何内容，但如果该恶意软件建立了与命令和控制服务器的连接，它将能够将其他文件下载到系统中，甚至可以将恶意软件的样本添加到启动文件夹中。除此之外，它还将生成DLL文件，并进一步生成一个文本文件，显示有关与Discord帐户的连接的信息。这是因为 SynapseX 主要依赖于 Discord，并且此恶意软件旨在通过使用 Discord 在由威胁参与者控制的命令和控制服务器上运行。然后，恶意软件会从您的 Web 浏览器和计算机信息中提取信息。其中包括系统信息、Cookie 等。它将这些文件压缩并上传到 Discord 命令和控制服务器。

Autodox Scrapper 工具的威胁情报工具分析：

对于此分析，我们将使用名为 VirusTotal 和 Joe SandBox 的威胁情报引擎来获取恶意软件的完整分析报告。

VirusTotal 报告：

有关VirusTotal报告的链接，请单击此链接。

从这里我们可以看到，检测表明很少有反恶意软件引擎得到这种恶意软件，并且我们从众包的 YARA 规则中进一步看到，该恶意软件也充当恶意软件的某种安装程序。该恶意软件是在汇编中编码的（很明显它是用 C++ 编码的），它能够覆盖其他程序，检查 PC 中的运行时模式，访问 CPU 时钟设置，它是一个 64 位程序，我们可以看到它睡眠很多（这意味着它被设计为不经常运行）并且是持久的， 这意味着它仍然是隐藏的。

这些进一步表明该恶意软件用于传播勒索软件、命令外壳等。它甚至被设计为根据入侵检测系统的规则检索设备的外部 IP 地址。

从这里我们可以看到，这个恶意软件是Windows的可移植可执行文件（这是显而易见的），并且我们正确地将汇编链接到编译程序之前使用的语言C++。我们甚至可以看到一个 Python 安装程序，它只是表明该恶意软件充当某种下载器，将其他恶意软件下载到系统中。

我们在这里看到另一个名称，称为 SynapseX，它与同一个人传播的同一恶意软件的名称相同，该恶意软件通过 doxbin 粘贴传播此恶意软件。如果您仔细查看其他链接，SynapseX 程序就在那里。SynapseX程序与此程序相同。它们都是相同的恶意软件，我们看到恶意软件是针对 x64（64 位 Windows 操作系统）的。

由于该恶意软件旨在在 Discord 上运行，因此将其命名为 SynapseX 是有道理的，因为他们试图宣传 SynapseX 的免费破解程序，结果证明是恶意软件本身。正如在动态分析中看到的那样，程序会创建文件，其中包含来自浏览器的信息，包括用户名和密码以及来自PC的其他信息，ZIP将其启动，然后尝试将其发送到命令和控制服务器。很明显，如果此恶意软件是 Discord 恶意软件，那么它会将信息发送到与威胁参与者访问命令和控制服务器的恶意软件相关联的 Discord 帐户。虽然大多数 doxbiners 使用 Discord，但很明显他们熟悉 Discord 远程访问木马，其中一些甚至创建了这些木马，此示例只是其中之一。

Joe SandBox 报告：

您可以从此处访问 Joe SandBox 报告。

如果您有时间自己查看 Joe Sandbox 的报告，您将进一步看到还删除了多个文件。

威胁情报报告到此结束，当您有时间时，我建议您自己查看报告，以获取此处未涵盖的详细信息。

Autodox Scrapper 工具的静态分析：

虽然这个程序的大部分代码都是在汇编中，没有完全反编译，但它没有多大意义。尽管如此，我将尽最大努力尽可能多地涵盖此恶意软件的静态分析观点。让我们开始吧。

从开始分析代码开始，我们开始看到信息是使用从内存中运行在计算机内核中的DLL程序来处理的。我们可以看到，恶意软件获取了设备安全标识符 （SID） 和有关后台进程的信息 （GetCurrentProcessId），并且它更改了设备安全描述符中的信息，所有这些都是使用 DLL 文件完成的。

将在 Windows 计算机上执行进一步分析，以完成此恶意软件的静态分析。

这些字符串与恶意软件能够通过执行基准测试以及执行与勒索软件相关的加密功能来枚举 CPU 信息有关。这再次将我们带回确认来自VirusTotal的分析报告。

其中包括任务、子进程、线程、流、事件等。它甚至有一个套接字字符串，旨在通过某种代理建立套接字连接。这清楚地表明恶意软件程序能够建立互联网连接。

它被称为setuptools的事实使它更加令人畏缩，因为程序似乎正在执行某些东西的设置，如果程序是恶意软件的下载器以进一步感染系统，并且下载的恶意软件也依赖于来自下载器的恶意代码，这是有道理的。

从这里，我们知道该文件是可移植的可执行文件，并且该文件自 2022 年 3 月正式编译以来就存在，并且我们看到该文件是可执行文件的更多信息，这是显而易见的。

我们看到该文件能够防止数据可执行，执行结构化异常处理，具有执行控制流保护的能力，并且具有高熵。

该程序的静态分析到此结束。我们现在可以追踪威胁行为者的身份，以找出他是谁。

威胁参与者的身份：

几个月前，在感染了这种恶意软件以尝试执行动态分析以查看该恶意软件的实际作用后，我收到了一个陌生人的电子邮件，告诉我他可以控制我的 PC，并且正在监听音频，甚至控制鼠标和其他功能（虽然该恶意软件确实是一种远程访问木马，可以执行远程代码执行， 目前尚不清楚他控制了我的鼠标，因为我在动态分析期间从未怀疑过这一点），但我知道他可以监听甚至使用设备摄像头，因为我已经澄清了这一点，让我们看看这封电子邮件，然后进一步分析它。

他发给我的第一封电子邮件包含我所有的密码，所以这就是他发送的。尽管如此，他还是愚蠢地使用了自己的真实电子邮件地址，并且不希望被识别：

这封电子邮件中的其余信息将不包括在内（因为他包含一些针对我的诽谤性言论和个人身份信息。请记住，Doxbin 等网站和来自那里的人通常是勒索者、连环骚扰者、诈骗者、欺诈者和网络犯罪分子。这个人有勒索的意图，因为他使用了他的恶意软件），但很明显，是他早些时候联系我，告诉我我被黑客入侵了。虽然他早些时候采取了良好的立场，使用匿名电子邮件，不容易追溯到他，但当他使用雅虎邮件并发送我所有密码时，他第二次没有这样做。尽管如此，让我们开始使用 OSINT 来跟踪这些电子邮件。尽管如此，他如何使用与他的真实身份相关的真实电子邮件来像这样暴露自己，这真是太疯狂了。

电子邮件： [email protected] 链接。智能 X 链接。

虽然我不确定他的真名是不是阿里，但我认为可能是。尽管如此，检查 Google ID 中的信息可以揭示很多关于我们的威胁行为者及其位置的信息。让我们来看看：

这些评论得出结论，我们的威胁参与者的位置在埃及。他的谷歌地图评论中的所有三个位置都是这些：

72PH+G78， El-Nasr， Al Mandarah Bahri， Montaza 2， 亚历山大省5527101， 米斯里

H22C+VJP， Shibin el Kom， Menofia Governorate 6132410， Misri

1 Beat Almakdes， Tanta Qism 2， Tanta， Gharbia Governorate， Misri

我们甚至看到他的 Skype ID 是：来自 Epeios OSINT 的 mmdouh25，如果您可以获得高级订阅。

虽然我们无法访问和查看他的日历，但我们可以从自 2019 年以来存在的存档中访问和查看他的 Google+ 帐户：

这清楚地表明，此威胁参与者仍在逃亡，并且他正在使用的这封电子邮件仍处于活动状态。使用他的个人电子邮件通过电子邮件将我的密码发送给我，并告诉我在运行该恶意软件并执行动态分析后，我直接被黑客入侵，这最终导致文件进入虚拟机转义，因为我没有正确设置虚拟机进行分析。

电子邮件： [email protected] 链接。智能 X 链接。

分析的最后一封电子邮件很清楚，他是为了匿名而创建的，以隐藏自己的身份，但是在他用我的密码与我联系后，它改变了他的一切，因为他当时得到了 100% 的去匿名化。

结论：

虽然 doxbin 可以成为收集有关人员、网络犯罪分子等信息的良好资源。人肉搜索是不对的，人肉搜索本身就是一种骚扰形式。来源：

在任何情况下都应高度避免使用该网站，除非您是执法部门或只想发布片段、代码或随机文本的人，强烈建议不要使用它来发布人们的个人信息，因为这是犯罪分子所做的。在一些欧洲国家，人肉搜索本身是非法的，因为它能够对人们的生活造成损害。

虽然我决定将此恶意软件分析报告发送给 Nicenic，以暂停此域以传播恶意软件和/或拥有虚假的 whois 信息，但我怀疑他们会这样做，因为该网站本身就是执法部门寻找犯罪分子信息的良好资源。尽管如此，让我们希望他们这样做，即使他们这样做了，在网站恢复之前也将是非常暂时的，因为该网站对执法部门有很大的豁免权，这就是它被允许运营的原因。尽管如此，他们所能做的就是向域名所有者发送此报告，以隐藏他们的域名信息并摆脱恶意软件链接和恶意软件重定向，最有可能。

• windows网络安全防火墙与虚拟网卡（更新完成）

• windows文件过滤(更新完成)

• USB过滤(更新完成)

• 游戏安全(更新中)

• ios逆向

• windbg

• 还有很多免费教程(限学员)

• 更多详细内容添加作者微信