mp.weixin.qq.com Open in urlscan Pro
203.205.232.110  Public Scan

Form analysis
0 forms found in the DOM

Text Content

国内最大IT社区CSDN被挂马，CDN可能是罪魁祸首？

Original 红雨滴团队 奇安信威胁情报中心
奇安信威胁情报中心
奇安信科技集团股份有限公司


威胁情报信息共享，事件预警通报，攻击事件分析报告，恶意软件分析报告

759篇原创内容


2024年12月11日 20:08

“




鸣谢个人研究员：LugA、Zero17010、Sn2waR提供溯源帮助，共同完成了本次事件的恶意组织披露。






水坑细节

奇安信威胁情报中心在日常监控中观察到 analyzev.oss-cn-beijing.aliyuncs.com 恶意域名的访问量从 9 月初陡增，一直持续到 9
月底，在此期间并没有观察到可疑的 payload，只有一些奇怪的 js，之后进入了一段时间的潜伏期。





直到 10 月底开始爆发，并且观察到恶意的 payload 程序。

URL

hxxps://analyzev.oss-cn-beijing.aliyuncs.com/update.exe

hxxps://analyzev.oss-cn-beijing.aliyuncs.com/ntp.exe

hxxps://analyzev.oss-cn-beijing.aliyuncs.com/flash_update.exe

hxxps://analyzev.oss-cn-beijing.aliyuncs.com/ntp_windows.exe




网络日志显示在请求上述 URL 时的 Referer 字段都是 CSDN 的正常博客，非常奇怪。

Referer

hxxps://blog.csdn.net/Liuyanan990830/article/details/139475453

hxxps://blog.csdn.net/A186886/article/details/135279820

hxxps://blog.csdn.net/gitblog_06638/article/details/142569162

hxxps://blog.csdn.net/qq_44741577/article/details/139236697

hxxps://blog.csdn.net/jsp13270124/article/details/100738172




基于相关日志最终确认 CSDN 被挂马，并且成功复现。






加载了额外的 js：

Js

https://analyzev.oss-cn-beijing.aliyuncs.com/jquery-statistics.js




基于奇安信全球鹰测绘数据，国内大量网站正文页面中包含该恶意域名，其中包含政府、互联网、媒体等网站：






所涉及的域名均挂有 CDN，对应IP也都为 CDN 节点，由于我们缺乏大网数据，只能推测 CDN 厂商疑似被污染。jquery-statistics.js
解混淆后逻辑如下：






获取本机的 IP 与内置的IP列表进行比对，如果匹配成功，则跳转到下一个 js，该 js 主要用来钓鱼，页面如下：



诱导有害者更新证书，下载上述 payload 并执行，这一阶段的钓鱼 js 有多种，还观察到 flash
更新页面，正常情况下受害者会误以为该页面是浏览器的更新请求，手动下载该 payload 并执行从而导致中招。

我们对内置的 IP 列表进行了分析，攻击者似乎比较关注媒体行业。






木马分析

初始 payload 一般带有签名：

MD5

Name

签名

0b42839d1d07f93f2c92c61416d589c3

sslupdate.exe

Octopus  Data Inc.

cafe15fde16f915c014cc383b9503681

dc0d62cb42a56a3fd7458a2f5519f4cc

ntp_windows.exe

Chengdu Nuoxin Times Technology Co., Ltd.

eba2a788cf414ab9674a84ed94b25d46

flash_update.exe

Chengdu  Nuoxin Times Technology Co., Ltd.




相关样本在 VT 上 0 查杀：






目前奇安信天擎已经可以对上述样本进行查杀：






sslupdate.exe 是个 downloader，首先解密出要链接的 C2：server.centos.ws:8848。






之后连接 C2 并发送数据。






发送和接收的数据包有固定前缀特征 64 6D 07 08。






之后 recv 接收数据，收到的数据是个 .NET DLL。






接收完毕后会加载 CLR 执行该 DLL，调用其导出函数 Client.Program.Start。






此 DLL 是个特马，将其配置信息加密后以 Base64 形式存储，解密后如下，C2 与 Loader 一致。






该后门的插件需要攻击者手动下发。












溯源分析

jquery-statistics.js 中的 IP 列表除了国内的目标 IP 之外还包含了一些境外 IP，推测可能是攻击者的测试 IP 或者境外目标，境外
IP 大部分为 p2p 节点和 tor 节点，如果将其当作目标很难入侵到对应的人员。







基于奇安信 xlab 的僵尸网络数据 80.67.167.81 的 tor 节点最近非常活跃，使用jenkins RCE Nday 漏洞投递 lucifer
团伙的挖矿木马。






该 tor 节点似乎由法国的 NGO 组织提供，目前已经被黑灰产团伙所利用，如果是测试 IP，那么本次活动可能与 lucifer 团伙有关。









总结

目前，基于奇安信威胁情报中心的威胁情报数据的全线产品，包括奇安信威胁情报平台（TIP）、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等，都已经支持对此类攻击的精确检测。









IOC

C2：

update.sslcsdn.com

fix-ssl.com

47.243.177.243:443

analyze.sogoudoc.com

107.148.62.90:443

47.243.177.243:443

107.148.61.185:8084

8.217.107.66:443

csdnssl.com

sogoucache.com

sslcsdn.com

sogoudoc.com

flash-update.com

centos.ws

45.205.2.101:8848

103.112.98.83:8848

sslupdate.org

analyzev.oss-cn-beijing.aliyuncs.com

updateboot.com

ntpfix.com




MD5：

0b42839d1d07f93f2c92c61416d589c3

cafe15fde16f915c014cc383b9503681

dc0d62cb42a56a3fd7458a2f5519f4cc

eba2a788cf414ab9674a84ed94b25d46

31f84f78241819e6e6b9f80005bc97ae

ede730817f76f4e3c47a522843125eb8

cc15da6879fd31262d71a7e471925548

点击阅读原文至ALPHA 7.0

即刻助力威胁研判






预览时标签不可点
恶意代码4
供应链攻击3
恶意代码 · 目录
上一篇 潜藏在签名安装文件中的Koi Loader恶意软件
Read more
修改于2024年12月11日

Close

更多

Mini Program
Ad


Search「undefined」网络结果



Read more
修改于2024Year12Month11Day


暂无留言



已无更多数据




Send Message

  写留言:
Close
Comment
Submit更多
表情




Scan to Follow

继续滑动看下一个

轻触阅读原文
奇安信威胁情报中心


向上滑动看下一个

当前内容可能存在未经审核的第三方商业营销信息，请确认是否继续访问。


继续访问Cancel
微信公众平台广告规范指引





Got It
Scan with Weixin to
use this Mini Program
Cancel Allow
Cancel Allow
× 分析

: ， .   Video Mini Program Like ，轻点两下取消赞 Wow ，轻点两下取消在看 Share Comment Favorite


奇安信威胁情报中心
国内最大IT社区CSDN被挂马，CDN可能是罪魁祸首？
,



选择留言身份