域名匿名化服务内幕——BraZZZerSFF基础设施

生成优质情报的主要挑战之一是在正确时刻获取正确信息。从正确角度获取正确的遥测数据有助于检测和挖掘正确的信号。有时，为了获得良好的遥测数据，你需要一点运气。

我们在此讲述的故事将试图解释，如何从一个操作员的简单错误开始，我们在2018年底至2022年间从一个名为BraZZZerS Fast Flux的"快速通量"网络中收集并利用了大量宝贵信息。

在与合作伙伴以TLP:amber级别共享这些数据多年后，随着该服务逐渐衰落且错误配置最终被修复，我们认为现在是发布这些数据并解释其中内容的适当时机。这是填补文档空白并记录网络犯罪历史技术事实的好机会。

BraZZZerS Fast Flux：面向所有人的域名匿名化

2018年中期，我们观察到一名使用昵称BrazzzersFF的行为者在推广基于域名匿名化系统的服务，被描述为快速通量：

“嘿，我们是BraZZZerS，我们了解三件事：

1. 在互联网上，有数百万个项目，但’定位’其中任何一个项目的服务器都很容易——感谢IP地址。
2. 项目各不相同。有些项目出于某些原因最好隐藏IP地址。
3. 可以确保没有人知道服务器的真实位置。没有人——从’一般’这个词来说。

为此，我们拥有FastFlux技术，它将比任何人都能跟踪的速度更快地更改您的IP地址。我们准备在您的服务器上安装此系统，并确保其像时钟一样运行。我们将全天候工作，因为与大多数此类服务不同，我们拥有真正的专业支持，每天24小时，没有假期和周末。

我们是BraZZZerS。我们是一群经验丰富的专业人士，曾经从另一家类似公司分离出来，以使我们的服务质量更好。我们将使您完全隐形、难以捉摸和坚不可摧。

现在更具体些。除了实际的FastFlux，我们还为您提供许多额外特权：

1. 在任何时区提供高质量、专业的全天候技术支持
2. 付款后15分钟内启动服务
3. 自有FastFlux控制面板：
   • 具有操作和流程自动化
   • 域名注册——即将推出
   • 自动计费和通知——即将推出
   • 任何类型域名记录（MX等）的说明——即将推出
   • 以及许多其他愉快和有用的奖励，我们正在努力开发
4. 资费包含服务器租赁，为您服务：
   • 一套标准配置，以及根据您的要求选择具有个性化参数的服务器
   • 持续的DDoS攻击防护
   • 24小时监控和支持
   • 有保证的通信渠道
5. 绝对防弹/容错。所有系统都处于我们专家的全天候自动和手动监控下
6. 庞大的自有DNS地址数据库，不断扩展
7. 能够创建或配置具有所需地理位置的自己的DNS地址
8. 我们随时准备与您会面，并根据您的个性化设置和条件完全为您创建FastFlux
9. 我们在市场上拥有最高的正常运行时间。我们保证这一点
10. 支持.bit域名和SSL证书（一键获取或创建自己的证书）
11. 您自己选择流量接收端口
12. 我们的技术支持相当广泛。我们很乐意为您设置服务器、安装必要软件并帮助解决其他技术问题”

该服务被描述为Fast flux，但实际上更像是一个简单的代理系统。BraZZZerS在互联网各处租用VPS池，并将它们用作代理IP以隐藏服务器的真实IP。

Brazzzers机制

涉及的域名解析到IP列表（我们观察到每个域名从1个到超过20个IP），这些IP只是将流量重定向到真实服务器。滥用投诉通常发送到解析到恶意域名的IP的主机，但使用BraZZZerS，每个域名都有备份的易变IP，真实的恶意服务器受到保护。

为了配置他们的域名，每个BraZZZerS客户都可以访问一个面板，在那里他们可以配置自己的域名记录。在早期，BraZZZerS建议使用他们自己的名称服务器，但最终像大多数犯罪分子现在所做的那样，默认提议使用DNSPod。

映射BraZZZerS节点

映射BraZZZerS基础设施实际上相当简单。

第一种也是最简单的方法是使用被动DNS：

• 识别BraZZZerS客户
• 解析他们的域名
• 在IP上使用pDNS（BraZZZerS节点在客户之间共享）
• 不断扩展直到覆盖最大数量的IP

然而，pDNS方法在映射基础设施方面有其局限性，因为你只能发现已知的DNS解析，并且在pDNS中扩展时必须非常小心时间范围。

同样，我们很快观察到自2018年以来，BraZZZerS对其节点使用相同的TLS证书： 03:21:56:e1:5c:92:6a:e6:3d:a4:c1:b6:51:54:c3:ff:cc:35

然后你可以使用你喜欢的大规模扫描提供商寻找新的IP。

我们还意识到每个BraZZZerS节点都使用主机名"ns4.dnsdns.gdns"，这使得节点可被大规模扫描提供商搜索，然后pDNS扩展成为可能。

然而，我们找到了更好的网络映射方法。通过分析基础设施的每个节点，我们发现了一个有趣的Nginx配置问题。

Nginx错误配置

在配置用于保护域名的节点部署时，Nginx虚拟主机配置设置为禁用error_log记录。

管理员通过设置"error_log off"编辑了Nginx配置文件，而"off"实际上应该是一个路径。虚拟主机的配置方式最终将error_log写入html目录中名为"off"的文件中！

日志包含两种类型的日志。第一种是上游错误：

上游错误告诉我们：

• 客户端：176.221.XX.XX
• 尝试解析90–43430–34–34.com
• 代理节点与真实服务器之间的连接失败，生成上游错误

上游显示我们在2019/09/02，90–43430–34–34.com的真实IP是45.10.219.9

• 请求来自引用者：https://check-host.net/check-report/b0f5f12kdac

通过查看该日志，我们可以理解这是从check-host账户发送的请求，这是一个用于监控域名正常运行时间的Web服务。

第二种不太有趣但仍然泄露大量信息，是基本的error_log信息。例如，在节点上检测到的每个404（你可以看到许多大规模网络爬虫大规模扫描IP）。当域名解析到BraZZZerS节点且该节点没有为该域名配置虚拟主机时，通常会产生这些错误。日志示例：

在日志中我们可以看到：

• 客户端96.57.xx.xxx
• 发送了Web请求"GET tuneappservice.org/l3k42hj56h634gkj2lk14356jk4gh23k5jl6h4/gate.php?ped=RTY3M0E4NjhDQ0I5JE1DLTEwNw"

我们在这里可以看到看起来像恶意软件回调的内容，实际上是Riltok（Android恶意软件）。日志泄露了受害者信息（IP和"ped"），还有一个Web路径3k42hj56h634gkj2lk14356jk4gh23k5jl6h4/gate.php。足够的数据来生成更多情报。

使用案例

Nemty勒索软件和JWT泄露

Nemty使用BraZZZerS保护其域名nemty.top和nemty.hk。

日志显示Nemty的Web面板基于（直到Nemty生命的最后一年）socket.io。轮询服务在GET请求上泄露了非常重要的信息：JWT令牌。通过在cookie中重用该令牌，你可以作为与令牌相关的用户身份验证访问Nemty的面板：

通过观察Nemty的请求，我们可以轻松分析哪些IP正在联系管理面板部分，然后开始对威胁行为者进行情报操作。

BraZZZerS的一个简单配置错误最终危及了整个操作。像BraZZZerS的大多数其他客户一样，Nemty信任该服务来隐藏其后端，并没有采取任何额外的预防措施来从BraZZZerS网络中隐藏真实IP。

Azorult的隐藏面板

泄露的BraZZZerS日志在处理Azorult窃取程序时特别方便。为了保护Azorult的Web面板，窃取程序的开发者强制将Web面板安装到具有随机名称的Web目录中（例如domain.com/fsebkjfxbefxdrhvbrghjkvb/admin.php）

这个随机名称理论上使任何人都无法猜测Web面板URL。

当Azorult项目被放弃时，该恶意软件在野外仍然非常活跃，并且在BraZZZerS基础设施周围无处不在。

感谢日志，你现在可以跟踪每个隐藏面板，并过滤发送到管理面板php页面的每个请求，以收集威胁行为者信息。

隐藏面板/随机目录名称技巧在恶意软件开发者中非常流行，BraZZZerS帮助我们收集了宝贵的情报。

DJVU/STOP勒索软件

BraZZZerS客户泄露其面板的另一个例子是DJVU/STOP勒索软件：

日志泄露了隐藏的Web面板"sjdhgfgshdgfhhjsdpenelop26"，让我们可以访问一个 affiliates 面板：

一些开发者还在GET请求中使用密码来显示面板的登录表单。有趣的Coalabot几年前就这样做了，而BraZZZerS再次危及了它们。

ISFB

BraZZZerS最有趣的客户之一肯定是ISFB。我们观察到ISFB的几个分支使用BraZZZerS隐藏其域名，最活跃的分支是Dreambot。BraZZZerS代理对Dreambot设置造成了巨大损害。

首先，上游日志当然泄露了控制面板IP：

像这样的请求对ISFB机器人非常典型。对于Dreambot，控制服务器的80端口保留给机器人，3000端口保留给面板。

即使我们想象Dreambot操作员使用基本安全措施，例如不使用admin:admin作为凭据，BraZZZerS请求也像沉洞一样运作，使我们能够捕获和分析大量Dreambot活动并警告受害者。

当BraZZZerS泄露像这样的日志时： http://anti-doping.at/images/W7DM8fQnAkZl5/w_2BSbbA/6KBhhx7wg5evMuvuMv1oao4/U6yRGzURZD/XiL01nc5vbfiBN4bX/1hU3GL4_2F8A/_2Br5AtZAwV/A9odyEI1ZXMvvh/PyF7OtEFdbtoa6ixqh_2F/kovs8YDK7vDDr2cc/iLrdTIARsyp9z_2/FT_2BFFd_2BUGwOjfW/ZEZOwXx.gif

我们可以轻松地（感谢Fumiko）解析这些请求并提取活动数据，甚至无需寻找二进制文件：

Cryptbot窃取程序

在这些日志中要跟踪的另一个很酷的恶意软件是Cryptbot。Cryptbot的操作员成功构建了一个巨大的僵尸网络，隐藏在相当有弹性的基础设施后面。获取情报非常困难——直到我们查看了BraZZZerS。

我们可以观察到Cryptbot的早期阶段可以追溯到2019年。感谢上游，我们能够监控他们使用相同的IP作为中央CnC数月：5.182.39[.]172。

如果你进行反向查找并查找配置到该IP的所有域名，你会看到Cryptbot在早期托管自己的市场以转售他们窃取的日志。

除了用作CnC网关的通常的.top域名外，我们看到基础设施托管商店如larek.info或magazzz.top

月复一月，你可以观察到僵尸网络演变成多个在不同基础设施上分割的僵尸网络。

这只是这些日志如何有用的另一个例子。查找附加到相同隐藏IP的每个域名是帮助归因的好方法。许多行为者对真实服务器IP粗心大意，认为他们受到BraZZZerS的保护。

市场

BraZZZerS不仅限于恶意软件，我们观察到相当数量的市场/信用卡商店。一些知名的如slilpp.top或cop.su可以在这里找到。

我们从日志中提取了最知名列表：

• darknet.so
• cop.su
• vor.nz
• srost.biz
• slilpp
• v-market
• cvv2.name
• cvvshop.lv
• hybra2web.ru
• vault.ug

Magecart

作为最后一个例子，我们将展示如何利用引用者与Magecart（也称为电子商务撇取器）。BraZZZerS上的几个域名用于Magecart攻击：

通过查看日志中的引用者，我们可以看到toplevelstatic.com从几个商店被调用：blockandcompany.com、thepinkdoormemphis.com……从日志中，你可以轻松创建受Web撇取器感染的Web商店列表。

从这些少数例子可以看出，可以采用不同的方法来提取有价值的数据。这些日志非常多样化，你可以看到来自多个僵尸网络家族的请求，例如ISFB、PsixBot、DJVU、Nemty、Ako、Riltok、Coalabot、Cryptbot、Megumin、Azorult、KPOT、Betabot、ZLoader、DiamandFox、Vidar、Lokibot、TinyNuke、OSX恶意软件……

全球统计

再次请记住，这些日志仅显示BraZZZerS基础设施失败的请求。以下统计可以帮助看到趋势，但不一定用于确定谁接收的流量最多。

开放数据

如引言中解释，数据由从2018年底到2022年3月的上游和404日志组成。为了使有趣的数据可用，同时尝试不暴露受害者IP，我们以TLP;WHITE开放所有没有客户端IP的上游日志。

文件是csv：日期、域名、上游、引用者。 [下载] — Zip密码：infected ef2a69c94e5420f44ee0932abbfaf8e3b4f5f5bb6308a4928dc4dd4bc06f6d4c

我们希望这些日志可能使那里的某人能够从另一个角度查看它们。

狩猎愉快！