摘要：有趣的是，儘管許多使用新註冊域名的網絡商店試圖欺騙用戶，但研究人員發現了一個特別不道德的攻擊，就是利用用戶對冠狀病毒的恐懼來恐嚇他們購買惡意產品的域名羣。此外，研究人員還發現了一組以冠狀病毒爲主題的域，這些域現在使用高風險JavaScript爲停放的頁面提供服務，這些JavaScript可能隨時會開始將用戶重定向到惡意內容。

隨着新冠肺炎疫情的爆發，它已經成爲了全球關注度最高的話題了。根據Unit  42的研究，自2月初以來，與冠狀病毒相關的Google搜索和URL大量增加。與此同時，黑客也試圖渾水摸魚，從中發現攻擊機會。在這種情況下，甚至是數十億美元的不幸。
疫情發生以來，Unit  42就一直在監控用戶對相關話題以及與這些主題相關的新註冊域名的興趣，因爲黑客會經常利用它們進行惡意活動。伴隨着用戶瀏覽冠狀病毒話題的增長，研究人員發現從2月到3月，冠狀病毒相關域名的每日平均註冊量增長了656%。在這段時間內，包括惡意軟件和網絡釣魚在內的惡意註冊數量同時也增長了569%;並且“高風險攻擊”註冊的數量增加了788%，其中包括詐騙，未經授權的貨幣開採以及具有與惡意URL關聯域。截至3月底，有116357個與冠狀病毒相關的新註冊域名。其中，2022個是惡意的域，40261是“高風險”的域。
研究人員根據這些域的Whois信息，DNS記錄和屏幕截圖對這它們進行聚類分析，以檢測註冊活動。觀察發現，許多域名都已用於知名的惡意活動，比如藉着銷售短缺商品，來進行網絡攻擊。傳統的惡意濫用冠狀病毒攻擊包括託管惡意軟件、釣魚網站、欺詐網站、惡意廣告、加密和黑帽搜索引擎優化(SEO)，以提高搜索排名不道德的網站。有趣的是，儘管許多使用新註冊域名的網絡商店試圖欺騙用戶，但研究人員發現了一個特別不道德的攻擊，就是利用用戶對冠狀病毒的恐懼來恐嚇他們購買惡意產品的域名羣。此外，研究人員還發現了一組以冠狀病毒爲主題的域，這些域現在使用高風險JavaScript爲停放的頁面提供服務，這些JavaScript可能隨時會開始將用戶重定向到惡意內容。
在本文中，我們首先通過Google搜索趨勢和服務流量日誌中的數據來展示互聯網上與冠狀病毒相關主題的用戶興趣的增長趨勢。其次，我們會說明最近包含與冠狀病毒相關關鍵字的域名的域名註冊活動顯着增加。第三，我們提供了一個詳細的案例研究，說明網絡犯罪分子如何在互聯網上濫用這些關注點尋覓攻擊機會。
與冠狀病毒相關主題的用戶興趣的增長趨勢
用戶搜索冠狀病毒相關關鍵字的趨勢
使用Google趨勢和流量日誌，我們發現與冠狀病毒相關主題的用戶興趣急劇增加。在圖1中，我們可以看到用戶對基於Google趨勢的冠狀病毒相關關鍵字的興趣。特別是，我們看到在2020年1月底，2月底和3月中旬出現了三個高峯。第一個高峯與中國的病毒爆發相吻合，第二個高峯表示美國第一起來源不明的病例，第三個高峯與美國病毒爆發同時發生。圖1中一個有趣的例外是酒精，因爲用戶全年都對酒精感興趣，聖誕節時達到高峯。直覺上，全年對酒精的興趣是喝酒，但是與冠狀病毒對準的峯是針對醫用酒精的。
訪問冠狀病毒相關URL的用戶趨勢
與我們對Google趨勢中有關用戶興趣的觀察結果相吻合，在圖2中，與2月初到3月下旬相比，客戶訪問的與冠狀病毒相關的獨特URL的數量增加了近十倍。
用戶對冠狀病毒越來越感興趣，這爲網絡罪犯提供了一個攻擊的機會。攻擊者從熱門話題中獲利的一種常見方法是註冊包含相關關鍵詞的域名，如“冠狀病毒”或“COVID”。這些域名經常託管着看似合法的內容，並被用於各種各樣的惡意活動，包括欺騙用戶下載惡意文件、網絡釣魚、詐騙、惡意組織和加密貨幣挖掘。
爲了防止攻擊者使用與冠狀病毒相關域名發起攻擊，我們從熱門話題中獲取關鍵字。首先，我們使用谷歌Trends  API自動提取關鍵字。然後我們手動選擇與冠狀病毒最相關的關鍵詞。最後，使用我們的關鍵字集，密切監控新註冊的與冠狀病毒相關的域名。
冠狀病毒域名的興起
Unit  42對新註冊域名(NRD)進行了9年多的跟蹤調查，此前曾發表過對這些域名的全面分析報告。爲了研究COVID-19新出現的威脅，他們檢索了2020年1月1日至2020年3月31日包含冠狀病毒相關關鍵字的NRD。在此期間，系統檢測到116357個相關NRD，每天大約有1300個域。圖3顯示了我們研究期間新域名註冊的每日趨勢。隨着時間的推移，我們發現冠狀病毒域的數量在增加，3月12日之後，平均每天發現3000多個新域。除了整體的增長趨勢外，我們也觀察到註冊域名數目的突然增加。這些註冊的增長緊隨在谷歌趨勢中出現的用戶興趣高峯之後，只是延遲了幾天。
每日冠狀病毒相關的域名註冊趨勢
我們使用了Palo Alto  Networks的威脅情報來評估與冠狀病毒相關的NRD。這個工具可以將NRD分爲兩類。首先，惡意NRD包括用於命令和控制(C2)、惡意軟件傳播和網絡釣魚的域。其次，高風險NRD包含詐騙頁面，貨幣挖掘以及與已知惡意託管相關的域。在此文中，我們將分類分爲惡意和高風險。
在分析中，我們確定了2022個惡意NRD和40261個高風險NRD。惡意率爲1.74%，高風險率爲34.60%。在這些惡意域中，有15.84%的網絡釣魚攻擊試圖竊取用戶的憑據，而84.09%的主機則託管着各種惡意軟件，包括特洛伊木馬和信息竊取程序。與網絡釣魚和惡意軟件不同，我們僅發現了幾個用於C2通信的域。
從2月到3月，與冠狀病毒相關的域的平均每日數量增加了656%。我們看到了惡意和高風險冠狀病毒域的類似趨勢，分別增長了569%和788%。在圖3中，我們可以觀察到惡意註冊符合了NRD趨勢，在某些情況下甚至超過了它們。
與冠狀病毒相關的每日客戶DNS查詢趨勢
此外，我們發現，儘管這些域是最近註冊的，但根據我們收集的被動DNS數據，我們總共觀察到了這些域的2835197個DNS查詢(不包括緩存)。此外，平均查詢到的惡意NRD比非惡意NRD高出88%，這符合攻擊者在被列入黑名單之前利用其域名的動機。圖4顯示了使用7天移動平均值在我們的被動DNS數據庫中觀察到的DNS查詢的每日趨勢。我們注意到，3月16日查詢的良性和惡意NRD數量急劇增加。這一增長與我們之前在美國因病毒爆發而在幾天前達到的用戶興趣和域名註冊量達到峯值有關。
NRD中最常濫用的關鍵字
我們用於分析的關鍵字集包含冠狀病毒流行的特定術語，如“冠狀病毒”和“COVID-19”。我們還使用了諸如“大流行”之類的更通用的詞，除了與病毒直接相關的詞外，我們還使用了與醫用耗材有關的關鍵字，例如“口罩”和“消毒劑”。
在圖5中，我們列出了與大多數NRD匹配的前15個關鍵字。一般來說，具體的條款更有利於註冊人，並且針對相關用品進行了多次註冊活動。除了檢測數量之外，這些熱門關鍵字的風險級別都高於平均水平(高風險率>  40%)，這意味着它們更容易被濫用。另一方面，它們的惡意率與平均關鍵字相似。一種特殊情況是匹配344個NRD的“virusnews”，其中33%是惡意的。
攻擊者是如何濫用冠狀病毒大流行的?
觀察到惡意和高風險冠狀病毒NRD的增加，我們進一步分析了這些域，以瞭解網絡攻擊者如何利用它們。我們首先根據Whois信息和DNS記錄對域名進行聚類，包括註冊日期，註冊商，註冊人的組織，自治系統編號(ASN)和名稱服務提供商。此外，我們根據域名與主網頁的視覺相似度對它們進行聚類。我們使用k近鄰算法，使用Keras庫中DenseNet  201模型的最後一層作爲特徵。在我們的集羣上，我們發現了幾個惡意或濫用註冊活動，並將與典型的惡意用例場景一起進行討論。
使用冠狀病毒域來竊取用戶憑據
網絡釣魚攻擊的目的是誘使用戶向攻擊者泄漏其憑據和個人信息，在冠狀病毒域中，我們觀察到了一些經典的網絡釣魚方案，攻擊者向我們的客戶發送電子郵件，並提供指向假冒網站的鏈接，該假冒網站模仿合法品牌或服務的網站，欺騙用戶泄露他們的登錄憑證。
corona-masr21[.]com是一個帶有美國銀行頁面的釣魚域
我們檢測到在同一天註冊的20個域名集羣，它們遵循corona-masr*.com模式，其中*是1到101之間的任意數字。在這個範圍內有101個可能的域名變體，但只有20個註冊了。在圖6中，我們看到了一個針對美國銀行的釣魚URL  hxxp[:]//corona-masr21[.]com/boa/bankofamerica/login.php的示例。攻擊者的目的是讓用戶相信他們需要登錄這個假網頁，而且這個網頁是銀行的。該集羣還包括模仿其他服務的釣魚url，包括針對蘋果的登錄頁面http[:]//corona-masr21[.]com/apple-online和針對PayPal的登錄頁面hxxps[:]//corona-masr3[.]com/CAZANOVA%20TRUE%20LOGIN%20SMART%202019/，另一個網絡釣魚活動的目標是來自corona-virusus.com和coronavirus-meds.com域的Outlook帳戶。
此外，我們發現，那些提供釣魚頁面的域也託管帶有惡意源構件的壓縮文件。其中包括網絡釣魚“前端”的HTML和PHP源代碼(corona-masr4[.]com/test.zip)，以及發送垃圾郵件和過濾來自良性網絡爬網程序的請求的代碼(corona-virusus[.]com/OwaOwaowa.zip)。這是惡意活動的一種常見做法，目的是託管和分發打包版的惡意有效載荷，這些載荷可以由惡意程序下載到另一個受影響的網站上。
美國銀行的合法網站
用戶可以檢查三個主要指標，如圖7所示，以確保他們不是釣魚攻擊的受害者。首先，他們需要確保URL的域部分是他們試圖登錄的服務所擁有的預期域名。其次，用戶需要確保左上角有一個鎖圖標，表示他們通過有效的HTTPS連接，從而防止中間人(MiTM)攻擊。最後，用戶可以驗證該域名是否與證書的所有者匹配。
託管惡意可執行文件的冠狀病毒域
許多新註冊的COVID-19域被認定與惡意軟件活動有關，其中一個域名covid-19-gov  [.com]值得特別關注，因爲它與Proofpoint先前報告的類似RedLine Stealer活動是一致的。
儘管最初用於引導潛在受害者到上述網站的感染媒介尚不清楚，但Unit 42的研究人員確定了RedLine  Stealer樣本託管在ZIP文件中的URLcovid-19-gov[.]com。提取ZIP文件的內容後，RedLine  Stealer二進制文件的文件名顯示爲Covid-Locator.exe。
執行後，該示例首先打開Internet  Explorer，並嘗試連接到hxxp://localhost:14109。然後，它向URLhxxp://45.142.212[.]126:6677/IRemotePanel發起HTTP  POST請求，這與RedLine Stealer的簽入行爲一致。簽入完成後，遠程C2服務器發出一個HTTP 200 OK響應，開始從主機中過濾數據：
來自RedLine Stealer數據過濾的網絡流量
特別要注意的是在SOAPAction HTTP標頭字段中URL  hxxp://tempuri[.]org/IRemotePanel/SendClientInfo的使用，雖然該域與惡意活動沒有直接關係，但是它是開發中Web服務的標準默認佔位符域。根據已建立的Web服務實現，應該更新此字段以反映適當的名稱空間，以便可以唯一地區分和標識給定的Web服務。就是說，即使是合法的Web服務，有時也會忽略此詳細信息，因此，出於安全識別的目的，tempuri[.]org不應被視爲一個IOC。
本文所講的RedLine Stealer變體的其他有趣的基於主機的行爲都包括在隱藏的命令提示符窗口中執行以下命令：
cmd.exe” /C taskkill /F /PID && choice /C Y /N /D Y /T 3 & Del  “”
根據命令的內容，可以推斷出惡意軟件開發者的意圖是確保通過cmd.exe執行該命令時，將通過其進程標識符(PID)阻止正在運行的RedLine  Stealer惡意軟件實例，初始化刪除RedLine  Stealer惡意軟件所在的目錄，並嘗試用Y響應以編程方式響應刪除提示。但是，這種方法存在兩個問題。首先，這個概念從一開始就不合理。在此用例中使用choice命令不會產生期望的結果。其次，儘管當前狀態下的命令確實可以阻止正在運行的惡意軟件實例並啓動選擇Y(然後根據命令的/  T開關在三秒鐘後自動選擇Y)，但它在出現文件刪除提示之前提供了此選擇。這意味着，即使可以通過這種方式使用選擇，也仍然行不通。
此外，此RedLine Stealer變體似乎不會在磁盤上生成其他惡意文件，不會創建或更改任何互斥鎖或嘗試建立基於主機的持久性。
除了RedLine  Stealer，我們還檢測到了使用冠狀病毒域進行惡意軟件傳播的其他示例。託管在corona-map-data[.]com/bin/regsrtjser346.exe中的另一個類似示例被標識爲Danabot銀行木馬。
我們還發現了幾個以冠狀病毒爲主題的惡意軟件的實例，這些惡意軟件旨在攻擊移動用戶。具體來說，我們從與架構  Corona-virusapps[.]com/s
我們還分別在coronaviruscovid19-information[.]com/it/corona.apk和coronaviruscovid19-information[.]com/en/corona.apk中找到了另外兩個木馬。
目前，前面提到的所有APK均被確認爲常用木馬。
儘管對Danabot示例和各種APK的全面深入分析超出了本文的範圍，但我們在IOC部分中包含了其他相關詳細信息，你可以在下一篇文章的附錄中查閱。

【責任編輯：趙寧寧 TEL：（010）68476606】