一个 ZoomEye 查询搜尽 BazarLoader C2
2021-09-10 14:40:00 Author: paper.seebug.org(查看原文) 阅读量:32 收藏

作者:heige@知道创宇404实验室
原文链接:https://mp.weixin.qq.com/s/2WOfABt6QAoTG2H-3IfA4g

在《趣访“漏洞之王”黑哥,探寻知道创宇十年网络资产测绘之路!》的采访中我提到了知道创宇在网络空间测绘领域的多个优势,其中:

第六,知道创宇提出了很多先进的测绘理念并实践,如黑哥提出的“动态测绘”,时刻关注数据的动态变化及趋势。前面提到的心脏流血漏洞,就是利用动态测绘的理念分析得出的各种有趣的结论。再比如2019年委内瑞拉大停电事件, ZoomEye是全球唯一及时响应、通过动态测绘理念完成该国的网络关键基础设施及重要信息系统测绘的工具。此外还有 “交叉测绘” 的思想,基于它可以完成IPv4 vs IPv6 、暗网 vs IP/域名的交叉比;通过“行为测绘”理念来实现重要基础设施的识别定位等等。

高端访谈,公众号:知道创宇趣访“漏洞之王”黑哥,探寻知道创宇十年网络资产测绘之路!

提到了由我们提出的多个测绘理念:“动态测绘”、“交叉测绘”、“行为测绘”,在之前我有详细专题文章进行阐述:

再谈“动态测绘”

https://zhuanlan.zhihu.com/p/183952077

聊聊网络空间“交叉”测绘溯源

https://mp.weixin.qq.com/s/QTyfHbcnoMYoVUXhcbCYCw

谈谈网络空间“行为测绘”

https://mp.weixin.qq.com/s/fQatA5iyewqRBMWtpVjsRA

其中关于“行为测绘”的文章昨天才正式对外发布,同时也写了下英文文档给老外们科普科普,我担心那蹩脚的英文影响老外的理解,所以想着今天补充个例子说明,所以顺带也给国内的朋友们分享一下!

所以今天的主题就是:How to hunt more BazarLoader C2s through a ZoomEye Query?

我留意这个BazarLoader还是在@TheDFIRReport在推特9月1日发布的一个威胁情报:

https://twitter.com/TheDFIRReport/status/1433055791964049412 #BazarLoader64.227.73.8064.225.71.198

按照我一贯的作风,遇到IP或者新设备都忍不住往ZoomEye里一搜:

图片

从搜索的banner来看两个IP的443端口有着非常相似特征,唯一区别跟追踪Trickbot遇到过的一样,也就是有一个有"Connection: close",一个没有,考虑到特征比较明显,所以我这里先选了这个有"Connection: close"的 64.227.73.80:443

经过几次的搜索尝试,得到一个比较准确的指纹:

"HTTP/1.1 404 Not found" +"Server: nginx" +"Content-Type: text/html; charset=UTF-8" +"Connection: close Date" -"Content-Length" -"<head>" -"Cache-Control"

图片

因为这个只是初步分析,意在获得更多更明显的特征,肯定存在误报的情况的,这里查询出157条数据,主要集中在443端口且都是https协议(顺带书哟下这个也跟样本IP 64.227.73.80:443是一致的),所以我们继续提取了证书里特征比较明显的"issuer" 进行特征观察:

图片

很明显可以看出来"issuer"的证书大多数表现出来分词结构相似的情况,因为数据量不多,我肉眼手工提取了这些证书里的特征做了个特征集:

(ssl:"System,CN" ssl:"Amadey Org,CN" ssl:"O=Global Security,OU=IT Department,CN=example.com" ssl:"NZT,CN" ssl:"O=Lero,OU=Lero" ssl:"Security,OU=Krot" ssl:"O=Shioban,OU=Shioban") 

在配合前面掌握到的https服务返回的banner特征:

 +"HTTP/1.1  404 Not found" +"Server: nginx" +"Content-Type: text/html; charset=UTF-8"

当然结合这两个条件还存在一些误报,所以进行一些排除运算:

 -ssl:"OU=System" -ssl:digicert -"Content-Length" -"Connection: keep-alive" 

所以最后得到的查询语句为:

 (ssl:"System,CN" ssl:"Amadey Org,CN" ssl:"O=Global Security,OU=IT Department,CN=example.com" ssl:"NZT,CN" ssl:"O=Lero,OU=Lero" ssl:"Security,OU=Krot" ssl:"O=Shioban,OU=Shioban") +"HTTP/1.1  404 Not found" +"Server: nginx" +"Content-Type: text/html; charset=UTF-8" -ssl:"OU=System" -ssl:digicert -"Content-Length" -"Connection: keep-alive" 
https://www.zoomeye.org/searchResult?q=(ssl%3A%22System%2CCN%22%20ssl%3A%22Amadey%20Org%2CCN%22%20ssl%3A%22O%3DGlobal%20Security%2COU%3DIT%20Department%2CCN%3Dexample.com%22%20ssl%3A%22NZT%2CCN%22%20ssl%3A%22O%3DLero%2COU%3DLero%22%20ssl%3A%22Security%2COU%3DKrot%22%20ssl%3A%22O%3DShioban%2COU%3DShioban%22)%20%2B%22HTTP%2F1.1%20%20404%20Not%20found%22%20%2B%22Server%3A%20nginx%22%20%2B%22Content-Type%3A%20text%2Fhtml%3B%20charset%3DUTF-8%22%20-ssl%3A%22OU%3DSystem%22%20-ssl%3Adigicert%20-%22Content-Length%22%20-%22Connection%3A%20keep-alive%22

图片

图片

一共得到254条数据,到这里实际上我们就已经实现了“一个ZoomEye查询打尽BazarLoader C2”的目标,当然少了不了数据分析的部分:

BazarLoader C2 国家 Top 10

 美国 112 荷兰 53 德国 22 英国 15 罗马尼亚 11 捷克 8 拉脱维亚 8 摩尔多瓦 4 俄罗斯 4 法国  3

BazarLoader C2 运营商 Top 10

amazon.com 79digitalocean.com 68Unknown 14hosting.international 7itldc.com 7colocrossing.com 5ovh.com 5smarthost.net 5dedipath.com 4eonix.net 4

从这些结果来看,如果你经常对僵尸网络恶意IP地址进行追踪我想这些国家你可能并不陌生,当然我们对这些数据的证书里的域名及JARM进行提取:

证书中的域名统计

amadeamadey.at   46asdotaera.it      7baget.fr          1bigter.ch         3confarencastyas.it  3enjobero.ch       1example.com      33forenzik.kz      64gosterta.fr       2haner.it          3hangober.uk       5holdasdg.it       1holdertoysar.uk   4jerbek.fr         2jermegib.fr       3jersjersy.com     2kajekin.je        6komanchi.com      1ksorun.it         2laralabana.it     3maloregerto.it    6mataner.at        4monblan.ua       14munichresed.de    1nortenarasta.fr   1nztportu.pg       2ofgasrty.fr       2parismaote.fr     1perdefue.fr       7pnercon.tr        1pokilorte.es      7rosteranar.uk     1selfoder.gb       6smartoyab.it      1smartoyta.uk      1smartoytaas.it    4zalustipar.uk     3

JARM 统计(有一些目标没有获取到JARM) :

2ad2ad16d2ad2ad22c2ad2ad2ad2ad7329fbe92d446436f2394e041278b8b2  92ad2ad16d2ad2ad22c2ad2ad2ad2ad47321614530b94a96fa03d06e666d6d6  322ad2ad0002ad2ad22c2ad2ad2ad2adce7a321e4956e8298ba917e9f2c22849  392ad2ad0002ad2ad0002ad2ad2ad2ade1a3c0d7ca6ad8388057924be83dfc6a  25

这里顺带提一下单一的JARM表现不是很准,误报比较多,但是它还是有一定的统计学上,数据排除等上面有一定的意义的。

详细数据见:https://pastebin.com/Y9T4KKYr

本文只是个具体例子进行说明,理论相关详见:

谈谈网络空间“行为测绘”

https://mp.weixin.qq.com/s/fQatA5iyewqRBMWtpVjsRA

题外话:

我觉得我搞的这些套路,真真的好用,真的!而且我也没秃顶,也没有不务正业,也还在搞技术,真的!真的!真的!


Paper 本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/1703/


文章来源: http://paper.seebug.org/1703/
如有侵权请联系:admin#unsafe.sh