Поиск сетки вредоносных сайтов (кейс)

Вчера мне пришла SMSка с сообщением о том, что мне пришла MMSка (ёпта, кто придумывает такие легенды для социальной инженерии?!)…

Для получения ММСки нужно перейти на сайт и скачать её. Мне очень хотелось посмотреть ММСку (поскольку за всю жизнь я отправлял/получал в общей сложности где-то пяток MMS-ок, не больше; а за последние лет 10-15 мне вообще не доводилось получать или отправлять MMS сообщения — честно говоря, я даже стал забывать, что это такое. Не удивлюсь, если те, кому сейчас лет 25 вообще не в курсе и никогда этим не пользовались. Вот такая вот хреновая легенда для социальной инженерии… Поэтому я как-то засомневался.

При переходе по указанному адресу само-собой скачивался установочный файл для Android. А там бэкдор или вирус.

Я распаковал файл:

apktool d Photo_374207.apk

Попытался посмотреть исходный код, но ничего интересного не нашёл.

Поэтому я решил заняться тем, что у меня получается получше — искать информацию о владельце сайта.

Я, кстати, вчера же создал тему на форуме «Тренировка в анализе вредоносного приложения под Android» поскольку не думал, что буду писать эту статью, но хотелось поделиться с вами настоящим, боевым зловредом под Андроид.

Исходная информация: у меня есть домен acxc.pro.

Конечно, в первую очередь проверил whois этого домена — но там данные скрыты. За дополнительную плату можно купить услугу, когда домен регистрируется на Панамский или другой офшор. В результате данные о владельце недоступны в whois.

Поэтому я обратился к сервису Поиска сайтов на одном IP, получил:

  • zhqw.info
  • zadt.pro
  • ypco.pro
  • www.netcdnfly.us
  • witforyoubrain.com
  • sub.netcdnfly.us
  • stepicktondroplar.com
  • sg2019z.pro
  • rosubpillineyford.com
  • ohyd.pro
  • ns1.howardmatthews.net
  • new19p.pw
  • new19a.pw
  • netcdnfly.us
  • main.netcdnfly.us
  • lost7burn-tmz.com
  • jirv.info
  • howardmatthews.net
  • happyv.pw
  • diet-thebest.world
  • clients.netcdnfly.us
  • bufb.pro
  • akamaiservice.site
  • acxc.pro
  • accounts.akamaiservice.site

Из этих сайтов бросились в глаза такие:

  • acxc.pro
  • bufb.pro
  • jirv.info
  • ohyd.pro
  • zhqw.info
  • zadt.pro
  • ypco.pro

Они все созданы для распространения вредоносной программы под Android.

Я решил посмотреть, что интересного о домене acxc.pro может рассказать SecurityTrails. IP адресом сайта acxc.pro является 91.235.129.58. Сервис acxc.pro нашёл 33 домена на этом адресе, а также показал, что в качестве серверов имён он использует ns.dns-b.info или ns.dns-a.info, которые обслуживают всего 233 домена — данных немного, поэтому их также стоит проанализировать.

Далее большая часть сбора информации заключалась в следующих действиях:

  1. для каждого сайта смотрелась история, как менялись их IP адреса. Информация более старая чем 1 год отбрасывалась
  2. для каждого нового IP искались домены, которые его используют. С каждым новым IP адресом я возвращался к первому пункту. И так до тех пор, пока не кончились зацепки.

Смотрим данные истории для acxc.pro:

Там есть, к примеру, IP 176.99.9.211, а также ещё 91.236.74.14 и 91.236.74.0.

Выполняем поиск по IP 176.99.9.211, находим ряд сайтов. 

Смотрим историю IP адресов для каждого из них и выписываем те, которые ещё не известны ным. К примеру, взглянем на данные истории для heykeratro.com:

Там есть ранее не известные нам адреса:

  • 91.235.129.72
  • 91.236.74.13

А также уже известные:

  • 176.99.9.211
  • 91.236.74.14
  • 176.99.9.211

Новые добавляем в пул для анализа, а уже известные нам адреса подтверждают, что этот сайт также принадлежит тому же владельцу, что и целевой сайт.

В какой-то момент оба сайта находятся на одном IP 91.235.129.58, в их истории два общих IP 176.99.9.211 и 91.236.74.14. Проанализировав другие сайты из этого же списка, получаем аналогичные результаты. Исходя из этого, а также с учётом похожих whois записией (Панама, скрытые записи, одинаковые регистраторы доменных имён, одинаковые NS серверы) приходим к выводу, что это всё связанные сайты (сайты одного лица).

Поиск по новому IP 91.235.129.72 даёт нам, к примеру, домен etthemonth.com. Данные истории etthemonth.com и других доменов «сдают» нам новые IP адреса:

  • 91.236.74.0
  • 185.234.218.66
  • 185.234.218.63
  • 185.234.218.60
  • 185.234.218.59

Домен workerforyou.com (IP 185.234.218.59) в своей истории IP адресов привёл к адресу 195.22.126.81, а там, например, домены

  • mmsfile.download (тоже из «Панамы»)
  • photo-files.download

Данные истории andnowforphoto.com привели к IP адресу 195.22.126.160, а этот адрес привёл к сайту sms39.site, а его данные истории привели к IP адресу:

  • 195.22.126.80

В конечном итоге была составлена следующая таблица:

IP

Домены

Когда использовались

NS

Какой сайт привёл

На кого зарегистрирован

91.235.129.58

zhqw.info

zadt.pro

ypco.pro

www.netcdnfly.us

witforyoubrain.com

sub.netcdnfly.us

stepicktondroplar.com

sg2019z.pro

rosubpillineyford.com

ohyd.pro

ns1.howardmatthews.net

new19p.pw

new19a.pw

netcdnfly.us

main.netcdnfly.us

lost7burn-tmz.com

jirv.info

howardmatthews.net

happyv.pw

diet-thebest.world

clients.netcdnfly.us

bufb.pro

akamaiservice.site

acxc.pro

accounts.akamaiservice.site

Настоящее время

ns.dns-a.info

ns.dns-b.info

acxc.pro

Panama / www.namecheap.com

 

 

ordertld.com

176.99.9.211

advbaseblack.com

advredyiten.com

dbonmyiten.com

etthemonth.com

fotmx.ru

freemagazineforyou.com

heykeratro.com

iakb.info

ifadvhot.com

iw2019f.pro

jc2019b.pro

lc20d6ec.justinstalledpanel.com

lovfy.ru

mlfd.info

mmcea.ru

nl2019y.pro

ohyd.pro

parfiumpromo.com

pingoinpongo.com

qi2019v.pro

rosubpillineyford.com

stepicktondroplar.com

upadvhappy.com

whengoup.com

whiteonapple.com

whyadvhot.com

zadt.pro

zhqw.info

1 день назад

8 дней назад

ns.dns-a.info

ns.dns-b.info

acxc.pro

Panama / www.namecheap.com

 

ordertld.com

91.236.74.14

 

2 дня назад, 6 дней назад

 

acxc.pro

 

91.236.74.0

 

8 дней назад

 

acxc.pro

 

91.236.74.13

fothz.me

fotoef.pw

mmcih.me

smsps.pw

Настоящие дни

8 дней назад

1 месяц назад

2 месяца назад

ns.dns-a.info

ns.dns-b.info

 

dns2.registrar-servers.com

dns1.registrar-servers.com

advbaseblack.com

Panama / www.namecheap.com

185.234.218.66

 

2 месяца назад

 

advbaseblack.com

 

185.234.218.63

fotofn.pro

fotonp.pro

fotors.pro

imgun.pw

mmsgz.pro

mmshj.pro

mmsor.pro

netdiscounted.org

smsug.pro

smsxv.pro

Настоящее время

3 месяца назад

dns2.registrar-servers.com

dns1.registrar-servers.com

advbaseblack.com

Panama / www.namecheap.com

185.234.218.60

fotoan.pro

fotofo.pro

fotoot.pro

fotozw.pro

glamourpromo.com

mmsam.pro

mmscj.pro

mmsdo.pw

mmsmx.pro

mmsns.pw

mmsps.pro

mmsue.pro

mmszb.pro

smsbr.pro

smsbw.pro

smsdl.pro

smsed.pro

smsgk.pro

smssb.pro

wangoingo.com

Настоящие дни

3 месяца назад

ns4.cnmsn.com

ns3.cnmsn.com

 

dns2.registrar-servers.com

dns1.registrar-servers.com

advbaseblack.com

Panama / www.namecheap.com

 

ordertld.com

185.234.218.59

advrtbannerz.com

andnowforphoto.com

andnowwegoto.com

bannerdercials.com

bannerincbest.com

bannertsement.com

christmassgo.com

clearmystat.com

cogohopenet.com

confmyphoto.com

eomiatek.com

fundsonmyw.com

funnylowbighush.com

getthisopon.com

glowmybip.com

gonoprome.com

graziott.com

hellowopung.com

hesterif.com

hoochd.com

hoochforme.com

kaachrusnsmy.com

kansmychru.com

kansmychrus.com

kpopapansmychrus.com

lawerpingthis.com

myownbehap.com

nextonnew.com

powlowhast.com

priceforallon.com

proidmyoid.com

quostpeopls.com

raspmoduse.com

raticste.com

realtyauroco.com

scienmaingitlin.com

seedpool.gdn

setlice.com

sisirplus.com

sprintwordls.com

tallcattanchoi.com

ursdatallsph.com

vietusprotus.com

waitfomeon.com

watskingon.com

wephelpgocome.com

werpingthis.com

wewelowertick.com

whenwecallno.com

whenwegrobth.com

workatmeforyou.com

zavannerweb.com

3 месяца назад

4 месяца назад

ns4.cnmsn.com

ns3.cnmsn.com

 

dbonmyiten.com

ordertld.com

195.22.126.164

видимо, случайный адрес

 

 

 

fotmx.ru

(видимо, успел побывать дропом)

 

104.239.198.84

видимо, случайный адрес

 

 

 

fotmx.ru

(видимо, успел побывать дропом)

 

98.105.254.65

видимо, случайный адрес

 

 

 

fotmx.ru

(видимо, успел побывать дропом)

 

185.234.218.60

 

3 месяца назад

 

whyadvhot.com

 

91.235.129.72

mail.etthemonth.com

mail.heykeratro.com

mail.sg2019z.pro

parfiumpromo.com

whyadvhot.com

www.advredyiten.com

www.mlfd.info

www.ohyd.pro

www.pingoinpongo.com

www.zhqw.info

Настоящее время

ns.dns-b.info

ns.dns-a.info

whyadvhot.com

Panama / www.namecheap.com

 

ordertld.com

 

 

Несколько IP, к которым привёл mmcea.ru — видимо, все являются ложными результатами.

Сам домен может быть случайным.

 

 

 

mmcea.ru

 

Ложные IP от

lovfy.ru

 

 

 

 

 

Блок

146.112.240.234

146.112.240.233

146.112.240.232

146.112.240.226

146.112.240.209

146.112.240.204

146.112.240.202

146.112.240.195

 

Видимо, это ложные данные. Возможно, адреса принадлежат виртуальному хостингу

 

 

 

smsug.pro

whenwegrobth.com

 

195.186.208.145

Был виден только 1 день. Случайный адрес?

Очень много

 

 

mmsns.pw

 

141.8.226.58

Видимо, случайный адрес

 

 

 

mmsdo.pw

 

195.22.126.80

 

 

 

ursdatallsph.com

 

195.22.126.160

sms39.site

 

 

tallcattanchoi.com

Panama / www.namecheap.com

195.22.126.81

bestwaysage.com

bigslogous.com

campuphome.com

mmsfile.download

photo-files.download

6 месяцев назад

dns2.registrar-servers.com

dns1.registrar-servers.com

 

ns4.cnmsn.com

ns3.cnmsn.com

sisirplus.com

Panama / www.namecheap.com

 

ordertld.com

37.1.211.129

Случайный адрес?

Почему встречается минимум дважды?

 

 

 

raspmoduse.com

andnowwegoto.com

 

185.205.209.114

Случайный адрес?

 

 

 

gonoprome.com

 

54.241.4.132

Случайный адрес?

Встречается минимум трижды

 

 

 

zavannerweb.com

campuphome.com

bigslogous.com

 

62.0.58.94

Случайный адрес?

 

 

 

bigslogous.com

 

195.22.126.83

photo01.site

Домен создан 2018-03-09

ns4.cnmsn.com

ns3.cnmsn.com

sms39.site

Chined.pro

195.54.163.209

(работающие домены acxc.pro и другие поменяли свой адрес на этот 27 декабря 2018 года)

spotglass.com.ua

Валидация в Google Search Console: y0U79RGY_ll2E57pBtD d2PcjV47IV1YuVum_IFQkC8I 

sg2019z.pro

novza.pw

jc2019b.pro

happyw.pw

 

nsd4.srv53.org

nsd2.srv53.net

и другие

acxc.pro

ua.imena

194.87.190.129

(актуальный адрес для acxc.pro на 03:31 28.12.2018 по BKK)

sg2019z.pro

qi2019v.pro

novza.pw

nl2019y.pro

new19a.pw

new19.me

jc2019b.pro

iw2019f.pro

happyw.pw

happy19.me

agroinfo.co.uk

 

 

acxc.pro

 

194.87.190.71

Дата: 2018-12-26 10:42:13 по suip.biz

zhqw.info

ypco.pro

rosubpillineyford.com

ohyd.pro

new19p.pw

mlfd.info

jirv.info

iakb.info

ewlg.info

bufb.pro

acxc.pro

 

 

acxc.pro

 

194.87.190.66

Дата: 2018-12-27 11:09:29 по suip.biz

zadt.pro

www.happyw.pw

sg2019z.pro

rosubpillineyford.com

novza.pw

k2019ty.me

jc2019b.pro

heykeratro.com

happyw.pw

freemagazineforyou.com

dbonmyiten.com

acxc.pro

    acxc.pro  

Итак, самыми древними сайтами, до которых удалось докопаться этим методом, стали photo01.site (создан 2018-03-09) и sms39.site (создан 2018-03-15). Затем пошли mmsfile.download и photo-files.download (оба созданы 2018-05-31).

Выявленные IP адреса:

  • 91.235.129.58
  • 91.235.129.72
  • 91.236.74.0
  • 91.236.74.13
  • 91.236.74.14
  • 176.99.9.211
  • 185.234.218.59
  • 185.234.218.60
  • 185.234.218.60
  • 185.234.218.63
  • 185.234.218.66
  • 194.87.190.129
  • 194.87.190.66
  • 194.87.190.71
  • 195.22.126.160
  • 195.22.126.80
  • 195.22.126.81
  • 195.22.126.83
  • 195.54.163.209

На момент написания, а также уже после написания, активные сайты часто меняют IP адрес.

То, что большинство найденных сайтов принадлежат одному человеку или группе подтверждается:

  • пересекающимися IP адресами
  • использование одинаковых регистраторов и способов сокрытия данных о владельце
  • одинаковыми целями некоторых сайтов (распространение вируса для Android под предлогом скачивания изображения или MMS)
  • все сайты созданы не ранее чем март 2018 года

Вывод

Даже если для сокрытия информации о владельце используются сервисы фиктивного whois, при использовании открытых и бесплатных источников возможно:

  • собрать информация о сетках сайтах одного лица
  • собрать информацию об используемых IP (следовательно, о хостин провайдерах)

Если лицо, чьи сайты здесь рассмотрены, не поменяет свою модель поведения, то создаваемые им в будущем сайты можно обнаружить уже описанным способом. А если это лицо оставит чуть больше зацепок на каком-либо сайте (либо уже оставил — я не изучал сайты подробно), то это даст дополнительную информацию о нём и позволит, например, в 2020 году связать определённого человека с распространением вируса в начале 2018…

Бонус — выявление доменов, которые ещё не использовались

В списке актуальных сайтов с вредоносной ссылкой 

  • acxc.pro
  • bufb.pro
  • jirv.info
  • ohyd.pro
  • zhqw.info
  • zadt.pro
  • ypco.pro

можно найти две закономерности:

  1. Все домены состоят из четырёх букв.
  2. Все домены в зонах .pro или .info

Можно предположить, что имеются ещё домены, которые названы по этим же правилам, но о которых мы не знаем. Поэтому на ум приходит брут-форс доменных имён. То есть наша цель найти домены, которые существуют, но которые но о которых ещё не знает ни один сервис по той причине, что эти домены ещё не использовались.

Начнём с того, что создадим два словаря, в которых будут перечислены варианты всех возможных доменных имён:

maskprocessor ?l?l?l?l.info > info.dic

и

maskprocessor ?l?l?l?l.pro > pro.dic

Посмотрим, какие сервера имён используют целевые домены:

whois acxc.pro | grep 'Name Server'

Мы получили ns.dns-a.info и ns.dns-b.info. У этих серверов IP адреса 51.68.142.40 и 54.39.148.148.

Причём у этих серверов имён есть особенность: они знают только о «своих» доменах.

Например, если мы введём запрос по «вредоносному» домену с dig:

dig jirv.info +short @51.68.142.40

То в ответ мы получим его IP адрес, сейчас это 195.54.163.209.

Если мы введём запрос по обычному домену, то сервер имён ничего не ответит:

dig yahoo.info +short @51.68.142.40

Используя эту особенность, можно написать и запустить пару скриптов, первый для брутфорса доменных имён по словарю pro.dic:

#!/bin/bash
 
cat pro.dic | while read domain; do
    if [[ "`dig $domain +short @51.68.142.40`" ]]; then
       echo $domain
    fi
done

Второй для брут-форса имён хостов по словарю info.dic

#!/bin/bash
 
cat dic.info | while read domain; do
    if [[ "`dig $domain +short @54.39.148.148`" ]]; then
       echo $domain
    fi
done

К примеру, именно таким образом был найден домен ewlg.info.

Бонус 2

Поиск выполнялся с использованием SecurityTrails. Сервисы с аналогичными функциями:

Эти сервисы берут данные из других источников, поэтому с их помощью можно получить дополнительную информацию.

Рекомендуется Вам:

One Comment to Поиск сетки вредоносных сайтов (кейс)

  1. Роман:

    Спасибо за Инфу знакомую нагнула такая ММs'ка на 5к рублей.

Добавить комментарий

Ваш e-mail не будет опубликован.