流量代理！网络犯罪超级巨头VexTrio运营大规模犯罪联盟计划

网络安全公司Infoblox在1月23日发布的报告中披露了其跟踪研究ClearFake、SocGholish和其他数十个攻击者背后的威胁行为者的成果，这些犯罪组织已与另一个名为VexTrio的实体建立了合作伙伴关系，作为大规模“犯罪联盟计划”的一部分。最新的进展表明了他们在网络犯罪行业中活动的广度和联系的深度，Infoblox将VexTrio描述为“安全文献中描述的最大的单一恶意流量代理”。据信，VexTrio至少自2017年以来就一直活跃，归因于恶意活动，这些活动使用字典域生成算法(DDGA )生成的域来传播诈骗、风险软件、间谍软件、广告软件、潜在有害程序(PUP)和色情内容。报告认为，VexTrio可能很长时间没有被安全社区认识或忽视，因为它们并不与特定的恶意软件绑定，而是以流量代理为核心。这对客户来说是不幸的，因为阻止VexTrio可以保护他们免受各种伤害，这一事实通过Infoblox的研究变得更加清楚。VexTrio之所以应该受到广泛的关注，是因为它们为许多网络犯罪分子提供流量代理，至少有60个附属机构。Infoblox的研究还强调了TDS企业在估计8万亿美元的网络犯罪经济中的重要作用。在营销行业中，有效的TDS的选择被认为对企业的成功至关重要，并且是通过联属营销人员执行的。在网站营销中，TDS被描述为一种脚本系统，用于分析网络流量，并根据网站管理员设置的规则给出适当的响应或重定向。TDS将流量源（例如消费者访问的页面）与目的地（例如广告）连接起来。流量经纪人根据经济收益将来源与目的地进行匹配。SocGholish和ClearFake等组织长期以来一直与使用社交工程攻击联系在一起，为用户提供浏览器和Microsoft Teams的虚假更新，以及旨在用恶意软件感染受害者的其他类型的诱饵，实施恶意软件投送、短信诈骗、机器人生成验证码等等恶意活动。识别此类恶意基础设施的一个困难在于，它通常类似于合法的营销操作和合法广告流量的处理。

主要发现

除了ClearFake和SocGholish是VexTrio附属公司的消息之外，研究还得出了许多其他重要发现。尤其：

VexTrio拥有至少60个附属合作伙伴，这使他们成为安全文献中描述的最大的单一恶意流量代理。

VexTrio以独特的方式运营其联盟计划，为每个联盟提供少量的专用服务器。

VexTrio的附属关系似乎由来已久。例如，SocGholish至少从2022年4月起就一直是VexTrio的附属公司。虽然总时间较少，但infoblox评估ClearFake在其整个生命周期中一直与VexTrio合作；至少自2023年8月发起活动以来。

VexTrio攻击链可以包括多个参与者。infoblox观察到攻击序列中有四个参与者。

VexTrio及其附属公司正在滥用McAfee和Benaughty相关的推荐计划。

VexTrio控制多个TDS网络，这些网络以不同的方式运行。特别是，infoblox揭示了2023年12月下旬首次观察到的基于DNS的新TDS。

VexTrio域生成方案不断发展。仅仅依靠基于域名历史记录的静态单词列表或顶级域名(TLD)来全面检测VexTrio域名是一种无效的方法，已知的VexTrio域名数量超过70,000个。

VexTrio实现了从专用托管和名称服务器到共享提供商的重大转变。自Infoblox首次发布VexTrio以来，超过55%的曾经分配给专用基础设施的VexTrio域已迁移到共享托管。

安全行业似乎忽视了TDS运营者 ，因此infoblox披露最新态势的目的是揭示网络犯罪生态系统中新发现的使全球消费者受害的隶属关系，并提高人们对TDS在犯罪活动中关键作用的认识。infoblox发现，在流量分布点打破攻击链比定位最终登陆页面和逐一阻止恶意软件签名所破坏的恶意活动要多得多。在许多情况下，TDS域名被安全行业标记为广告软件、潜在有害程序(PUP)或媒体共享，而事实上，它们负责将受害者传递给各种不良行为者。因此，infoblox呼吁加强整个行业加强合作，共同研究、发现和阻止恶意TDS提供商，为攻击对手创造一个更加困难的竞争环境。

VexTrio的商业模式

VexTrio的联属计划的运作方式与合法的营销联属网络类似。一般来说，每次攻击都涉及多个实体拥有的基础设施。参与的附属公司将源自其自身资源（例如受感染的网站）的流量转发到VexTrio控制的TDS服务器。随后，VexTrio有条件地将这些流量转发到其他参与者的恶意内容或其他恶意附属网络。在许多情况下，VexTrio还会将受害者重定向到他们直接运营的活动。下图说明了此类网络犯罪实体之间的这些服务交易。

VexTrio犯罪生态系统

至少六年来，VexTrio一直致力于将网站访问者与恶意内容联系起来。他们的长期生存证明了他们成功的商业模式；它依赖于来自大量附属贡献者的永无休止的网络流量来源，以及他们自己的基础设施，这些基础设施建立在他们受到损害的网站上。以下关键做法使VexTrio能够逃避检测，并增强了其抵御互联网服务提供商暂停其资产的能力。

• 直接危害易受攻击的网站以维持自己独立的网络流量来源，
• 从其他网络犯罪分子那里获取网络流量以最大限度地扩大目标范围，
• 发展联属网络并使其多样化，以减少可能的删除：删除多名联属成员不会停止VexTrio的业务，
• 执行正常的业务功能，例如跟踪联属网络营销商的推荐并记入联属网络营销商的流量贡献，
• 使用多级 TDS 重定向链过滤流量，
• 使用与合法且真实的联盟网络常用的推荐链接重叠的 URL 查询参数名称，以及
• 每天注册大量通过字典域生成算法(DDGA)动态生成的域，这是注册DGA(RDGA)的一种特定形式。

在调查基于HTTP的日志时，安全运营中心(SOC)团队可能很容易将VexTrio活动视为良性广告流量，因为其行为与无害的联属网络相似。VexTrio使用与常见广告附属关键字重叠的URL查询参数名称（例如Urchin跟踪模块(UTM)）以及侵犯技术品牌的相似TDS域名，这给SOC团队和研究人员在考虑是否起诉VexTrio域名时带来了进一步的挑战。此外，既不共享命名模式也不共享托管基础设施的域之间的多重重定向使关系分析变得复杂。最终，研究人员放弃了对单个攻击的调查，转而进行高级 DNS分析。这使研究人员能够自动化VexTrio检测，从而更全面地了解其联属网络的广度。

注：术语流量分配系统 (TDS)，有时也称为流量交付系统，源自营销行业。根据历史悠久的营销公司LeadBit的说法，联属营销中对TDS的需求来自于快速决定将用户引导至何处的必要性。TDS是一个处理流量管理的系统，用于确定将访客引导至何处以获取最大利润。传统的营销TDS是托管在一个或多个服务器上的一组脚本和数据库，用于根据一组既定规则确定如何路由用户。即使来自目标明确的上下文的流量也是多种多样的，无论是在地理位置还是在浏览器、设备类型和其他参数方面。您只需几分之一秒的时间就可以决定将访客重定向到哪里。

结论和建议

infoblo认为，SocGholish和ClearFake等组织长期以来一直与使用社交工程攻击联系在一起，为用户提供浏览器和Microsoft Teams的虚假更新，以及旨在用恶意软件感染受害者的其他类型的诱饵，实施恶意软件投送、短信诈骗、机器人生成验证码等等恶意活动。识别此类恶意基础设施的一个困难在于，它通常类似于合法的营销操作和合法广告流量的处理。

VexTrio先进的商业模式促进了与其他参与者的合作，并创建了一个极难破坏的可持续且有弹性的生态系统。由于联属网络的复杂设计和纠缠性质，精确的分类和归因很难实现。这种复杂性使得VexTrio得以蓬勃发展，同时在安全行业中默默无闻已有六年多了。此外，攻击者还改变了他们对提供商的选择，并通过Cloudflare等保护服务来掩盖他们的活动。尽管难以识别和跟踪，但阻止VexTrio会直接破坏大量网络犯罪活动。鉴于其悠久的历史和适应性，预计他们将继续提升其能力和网络。

Infoblox建议用户采取如下措施缓解VexTrio相关的攻击风险：

1、将Web活动限制为使用安全套接字层(SSL)证书的安全网站。安全网站的URL应以“https”开头，而不是普通的“http”。

2、访问不熟悉的网站时，请寻找绿色的锁图标，然后单击该图标以检查该网站的真实性。

3、不允许来自不受信任的网站的推送通知。

4、考虑使用广告拦截程序来阻止由弹出广告激活的某些恶意软件。与广告拦截器一起，考虑使用网络扩展NoScript，它允许JavaScript和其他潜在有害内容仅从受信任的站点执行，以减少攻击者可用的攻击面。

5、利用威胁洞察服务，对实时DNS查询执行实时流分析，可以提供高安全覆盖范围，以及针对基于DGA和DDGA的威胁的保护。

6、当观察到攻击链包括通过可能是VexTrio或其他TDS参与者的域进行重定向时，请主动阻止中间域。

参考资源：

1.https://blogs.infoblox.com/cyber-threat-intelligence/cybercrime-central-vextrio-operates-massive-criminal-affiliate-program/

2.https://thehackernews.com/2024/01/vextrio-uber-of-cybercrime-brokering.html

3.https://www.govinfosecurity.com/malicious-traffic-distribution-system-spotted-by-researchers-a-24166

原文来源：网空闲话plus

“

原文始发于微信公众号（CNCERT国家工程研究中心）：流量代理！网络犯罪超级巨头VexTrio运营大规模“犯罪联盟计划”