Subzero军火商追踪小记

前两天微软发布了一篇文章 《Untangling KNOTWEED: European private-sector offensive actor using 0-day exploits 》

https://www.microsoft.com/security/blog/2022/07/27/untangling-knotweed-european-private-sector-offensive-actor-using-0-day-exploits/

里提到最近（今年5月）发现名为KNOTWEED的组织针对欧洲及中美洲的攻击活动，使用了Adobe pdf Reader + windows提权的0day Full Chain。这个也是他们历史上常用的套路。

按微软文章介绍KNOTWEED实际上是一个来自奥地利维也纳武器开发商（DSIRF），主要是开发了一套Subzero的马，微软应该是根据Subzero这个马，来对标到KNOTWEED的，至于pdf及windows 0day是不是他们一套“整活”销售就不是特别清楚了，不过按历史上跟Subzero马相关的攻击很多次使用pdf+windows提取这个套路，所以基本可以推断这个可能就是一个完整的武器产品（pdf+提取+马），这个有点像几年前被黑的Hacking Team产品套路?当然Hacking Team那时候喜欢flash等浏览器套路

追踪Subzero

在微软提供的IOC里提供了3个C2的域名：

acrobatrelay[.]com

finconsult[.]cc

realmetaldns[.]com

直接ZoomEye查询下发现finconsult[.]cc realmetaldns[.]com相关的资产里，都有个很典型的banner位于3000端口 http协议，如下图：

注意那个http头里Set-Cookie里有个_subzero_rails_session的cookie名里直接写着“subzero” ... 另外我们从2018年 泄露的 DSIRF的介绍ppt里

https://cdn.netzpolitik.org/wp-upload/2021/12/2018-08-28_DSIRF_Company-Profile-Gov.redacted.pdf

可以看出很典型web控制端，如下图：

所以基本就可以确定了，接下来就很简单了，直接提取这个指纹开搜：

https://www.zoomeye.org/searchResult?q=%22_subzero_rails_session%22

如下图：

一共找到28条数据，其中近一年的数据为4条，端口集中在3000推测这个为Subzero控制台的默认端口，为了更好的刻画出这个马的使用者画像，直接点击进入“聚合查询”，按年份分布如下图：

从这里可以看出从2018年到2022年都有活动，其中在2020年比较积极。再看下国家分布如下图：

主要是在德国（25个），法国（2），荷兰（1）这个比较奇怪为什么是德国？我们再看看运营商分布：digitalocean.com 21个 choopa.com七个 其中digitalocean.com主要是在2020年，而2022年的活动主要是在choopa.com

为什么是德国?

通过微软文章里的一些link，可以找到一些比较有意思的信息：

https://www.focus.de/politik/vorab-aus-dem-focus-volle-kontrolle-ueber-zielcomputer-das-raetsel-um-die-spionage-app-fuehrt-ueber-wirecard-zu-putin_id_24442733.html

文章里提到DSIRF公司虽然位于奥地利维也纳，但是它的老板是一个居住在奥地利和瑞士的德国人，另外在2018年跟克里姆林宫关系比较好并且帮忙推荐过这个公司的也是一个德国商人，从2018年的这个时间也跟我们前面ZoomEye统计的活动时间从2018年开始比较符合[注：ZoomEye是从2017年开始支持3000端口的]

商务模式？

按我们以往的思维或者常见的卖马的商业模式来看，即使是上面推断的“pdf+提取+马”的完整产品模式，应该也是单一完整销售的商业模式，当然一般情况下漏洞肯定是直接一次性买断的这个应该比较好理解，但是马的这种“产品”肯定很少一次新买断的，但也应该是可以购买者能独立部署那种模式，但是这个就很奇怪，Subzero主要集中在德国，而且运营商也很“集中”。如果按前面提到能跟毛子跨国交易的，不应该是这种集中分布才对（当然我们的数据集相对比较少的）。所以这里很可能是包括vps在内的高度一体化保障的方案，甚至很可能是Sas模式？目前ZoomEye上的目标不存活，基本也不太好确定...

军火商模式对APT追踪的影响

从意大利的Hacking Team，到以色列大名鼎鼎的开发飞马（Pegasus）系列的NSO，再到今天提到的KNOTWEED都是很典型的军火商模式，那么从传统的所谓恶意软件DNA等归类，只能指向这个军火商，而真正发起APT攻击的购买者则躲到了军火商的后面 ... 

这种模式其实是值得我们去纠结下的？！

关于知道创宇404实验室APT高级威胁情报团队

隶属于知道创宇404实验室，立足于全球著名的网络空间搜索引擎ZoomEye主动测绘能力 +知道创宇404实验室漏洞挖掘分析能力+ 基于知道创宇云安全的创宇智脑海量实时拦截恶意数据能力 + 创宇云蜜罐黑客数据能力 + 知道创宇猎幽APT流量监测系统分析监测能力，组成“五位一体”的APT高级威胁情报追踪团队，通过大量的真实的实战检验，备受好评，真正做到了“向前防御”、“积极防御”、“主动防御”！

本文主要体现了ZoomEye主动测绘能力及ZoomEye聚合查询在APT等组织，如果再结合我们ZoomEye雷达积极探测及ZoomEye数据订阅能力（可参考本公众号之前的一些文章），就是一套完整的“积极、向前、主动的防御”了。关于知道创宇404实验室APT高级威胁情报团队一些成果我们会在今年的KCon上做一些比较详细分享及介绍，对了今年KCon是免费线上直播的形式，另外原定8月6、7日的举办的KCon大会，延期至8月27、28日（周六、周日）举行，详细请大家多留意我们KCon官方通知！

原文始发于微信公众号（黑哥说安全）：Subzero军火商追踪小记