域名匿名化服务内幕解析 — BraZZZerSFF基础设施
生成优质情报的主要挑战之一是在正确时刻获取正确信息。从正确角度获取的正确遥测数据有助于检测和挖掘正确信号。有时,为了获得良好遥测数据,我们需要一点运气。
本文将通过一个操作员的简单错误,解释我们如何在2018年末至2022年间从一个名为BraZZZerS Fast Flux的"快速通量"网络中收集和利用大量宝贵信息。
在与合作伙伴共享这些TLP:amber数据多年后,随着该服务逐渐衰落且错误配置最终被修复,我们认为现在是发布这些数据并解释其中内容的适当时机。这是填补文档空白和记录网络犯罪历史技术事实的良好机会。
BraZZZerS Fast Flux:面向所有人的域名匿名化服务
2018年中,我们观察到一名使用昵称BrazzzersFF的行为者在推广基于域名匿名化系统的服务,被描述为快速通量:
“嘿,我们是BraZZZers,我们了解三件事:
- 在互联网上,有数百万个项目,但’定位’任何项目的服务器都很容易 — 感谢IP地址。
- 项目各不相同。有些项目出于某些原因最好隐藏IP地址。
- 可以确保没有人知道服务器的真实位置。没有人 — 从’一般’这个词来说。”
为此,我们拥有FastFlux技术,它将比任何人跟踪速度更快地更改您的IP地址。我们准备在您的服务器上安装此系统,并确保其像时钟一样运行。我们将全天候工作,因为与大多数此类服务不同,我们拥有真正的专业支持,每天24小时,无节假日和周末。
除了实际的FastFlux,我们还提供许多额外特权:
- 在任何时区提供优质、专业的全天候技术支持
- 支付后15分钟内启动服务
- 自有FastFlux控制面板
- 套餐包含服务器租赁
- 绝对防弹/容错
- 不断扩大的自有DNS地址大型数据库
- 创建或配置具有所需地理位置的自有DNS地址的能力
- 个性化设置和条件的完全定制
- 市场上最高的正常运行时间保证
- 支持.bit域名和SSL证书
- 自主选择流量接收端口
- 广泛的技术支持
实际运作机制
该服务被描述为快速通量,但实际上更像一个简单的代理系统。BraZZZers在互联网上租用大量VPS,并将它们用作代理IP来隐藏服务器的真实IP。
涉及的域名解析到IP地址列表(我们观察到每个域名从1个到超过20个IP),这些IP只是将流量重定向到真实服务器。滥用投诉通常发送到解析恶意域名的IP主机,但使用BraZZZers时,每个域名都有备用易失性IP,真实的恶意服务器受到保护。
为了配置他们的域名,每个BraZZZers客户都可以访问一个面板,在那里配置他们的域名记录。早期,BraZZZers建议使用他们自己的名称服务器,但最终像大多数犯罪分子现在做的那样,默认提议使用DNSPod。
基础设施映射方法
映射BraZZZers基础设施实际上相当简单。第一种最简单的方法是使用被动DNS:
- 识别BraZZZers客户
- 解析他们的域名
- 在IP上使用pDNS(BraZZZers节点在客户之间共享)
- 旋转直到覆盖最大数量的IP
同样,我们很快观察到自2018年以来,BraZZZers对其节点使用相同的TLS证书:03:21:56:e1:5c:92:6a:e6:3d:a4:c1:b6:51:54:c3:ff:cc:35
我们还发现每个BraZZZers节点都使用主机名"ns4.dnsdns.gdns",这使得节点可被大规模扫描提供商搜索。
Nginx配置错误
在配置用于保护域名的新节点部署时,Nginx虚拟主机配置设置为禁用error_log记录。管理员通过设置"error_log off"编辑了Nginx配置文件,而"off"实际上应该是一个路径。虚拟主机的配置方式最终将error_log写入html目录中名为"off"的文件中!
日志包含两种类型的日志。第一种是上游错误:
上游错误告诉我们:
- 客户端:176.221.XX.XX
- 尝试解析90–43430–34–34.com
- 代理节点与真实服务器之间的连接失败,生成上游错误
- 上游显示在2019/09/02,90–43430–34–34.com的真实IP是45.10.219.9
- 请求来自引用者:https://check-host.net/check-report/b0f5f12kdac
第二种是基本error_log信息,当域名解析到BraZZZers节点且该节点未为该域名配置虚拟主机时生成。
使用案例
Nemty勒索软件和JWT泄露
Nemty使用BraZZZers保护其域名nemty.top和nemty.hk。日志显示Nemty的Web面板基于socket.io。轮询服务在GET请求中泄露了非常重要信息:JWT令牌。通过在cookie中重用该令牌,您可以以与令牌相关的用户身份访问Nemty的面板。
Azorult的隐藏面板
泄露的BraZZZers日志对Azorult窃密软件特别有用。为了保护Azorult的Web面板,窃密软件的开发者强制将Web面板安装到具有随机名称的Web目录中(例如domain.com/fsebkjfxbefxdrhvbrghjkvb/admin.php)。通过日志,您现在可以跟踪每个隐藏面板并过滤发送到管理面板php页面的每个请求,以收集威胁行为者信息。
DJVU/STOP勒索软件
另一个BraZZZers客户泄露其面板的例子是DJVU/STOP勒索软件:日志泄露了隐藏的Web面板"sjdhgfgshdgfhhjsdpenelop26",使我们能够访问关联面板。
ISFB
BraZZZers最有趣的客户之一肯定是ISFB。我们观察到ISFB的几个分支使用BraZZZers隐藏其域名,最活跃的分支是Dreambot。BraZZZers代理对Dreambot设置造成了巨大损害。上游日志当然泄露了控制面板IP。
Cryptbot窃密软件
在这些日志中要跟踪的另一个很酷的恶意软件是Cryptbot。Cryptbot的操作员成功构建了一个隐藏在相当弹性基础设施后面的大型僵尸网络。直到我们查看BraZZZers,获取情报一直非常困难。
市场平台
BraZZZers不仅限于恶意软件,我们还观察到相当数量的市场平台/信用卡商店。一些知名平台如slilpp.top或cop.su可以在这里找到。
Magecart
作为最后一个例子,我们将展示如何利用Magecart(又称电子商务略读器)的引用者。BraZZZers上的几个域名被用于Magecart攻击:通过查看日志中的引用者,我们可以看到toplevelstatic.com从几个商店blockandcompany.com、thepinkdoormemphis.com等被调用。
从这些少数例子可以看出,可以采用不同方法来提取有价值数据。这些日志非常多样化,您可以看到来自多个僵尸网络家族的请求,例如ISFB、PsixBot、DJVU、Nemty、Ako、Riltok、Coalabot、Cryptbot、Megumin、Azorult、KPOT、Betabot、ZLoader、DiamandFox、Vidar、Lokibot、TinyNuke、OSX恶意软件…
全球统计
请再次记住,这些日志仅显示BraZZZers基础设施失败的请求。以下统计数据可以帮助查看趋势,但不一定用于确定谁接收了最多流量。
这个故事告诉我们,没有人能免受不称职供应链的影响。这是开放网络犯罪行业局限性的一个很好的例子。该业务主要基于信任和评论,我们已经看到几个案例,其中BraZZZers管理员推送虚假评论以提升服务的声誉。从这里开始就是雪球效应,只需要一个大名字如Azorult或一个勒索软件组有足够耐心容忍劣质服务来吸引更多客户。
数据开放
正如引言中解释的,数据由2018年末至2022年3月的上游和404日志组成。为了使有趣的数据可用,同时尽量不暴露受害者IP,我们以TLP:WHITE开放所有没有客户端IP的上游日志。
文件是csv格式:日期、域名、上游、引用者。 [下载] — Zip密码:infected ef2a69c94e5420f44ee0932abbfaf8e3b4f5f5bb6308a4928dc4dd4bc06f6d4c
我们希望这些日志可能使那里的某人能够从另一个角度查看它们。
狩猎愉快!