【翻译转载】HostingHunter系列：CHANG WAY 云服务商深度分析

Newbee123 419天前

▌写在前面

Joshua Penny 是一名高级威胁情报分析师，拥有5年在Bridewell公司以及教育和研究部门从事CTI工作的经验。

原文链接：https://medium.com/@joshuapenny88/hostinghunter-series-chang-way-technologies-co-limited-a9ba4fce0f65

这篇文章是由国外资深威胁情报分析师Joshua Penny撰写的，主要针对一家云服务提供商进行了深度分析。在他的工作中，他发现了大量的恶意软件和C2都与这家云服务商有关，这促使他决定深入研究这家公司。他的目标是看看是否可以从云服务提供商的角度挖掘出更多有趣的信息。文章中使用了许多工具和思路，非常有启发性，能够帮助我们拓宽视野。尽管作者的写作风格相当随性，甚至包含了一些“英式幽默”，但这并不影响他的观点和信息的传达。

需要注意的是，这篇文章已经经过部分修改，并已经获得了原作者的授权进行修改和翻译发布，以下为翻译内容。

▌介绍

欢迎阅读我的第一篇博客。我决定创建一个新的博客系列，名为“HostingHunter”。我将记录个人对互联网上各种云服务商进行的恶意或有趣动作的研究。我将尽可能地从零开始，着重研究那些不寻常和鲜为人知的云服务商。

这个想法源于我经常在工作中查看恶意IP地址，并想知道同一云服务商上还有什么其他的东西。通常，我会通过单个IP的拓线更多的恶意软件C2，或者与某个事件中相关的更多钓鱼基础设施。然而，在这个博客中，我将会把我的研究目标定位在这一家上，记录并呈现我发现的所有内容。

我期待以更随性的格式写作，分享我在进行这项研究中的乐趣。我将把博客分为两部分：

云服务商
该云服务商上的事件

那么从哪里开始呢？嗯，第一个映入我眼帘的是：Chang Way Technologies Co. Limited.

▌第一部分：云服务商

Chang Way Technologies Co. Limited于2020年9月23日在中国香港注册成立，是一家私企公司。这似乎是许多公司（Google结果有2.7k个）的常见注册地址：

CHANG WAY 在2021年6月被分配了ASN编号：AS57523，并分配了13个IPv4前缀 —— 总计拥有3,328个独特的IPv4地址：

这些IP地址分布在圣彼得堡和莫斯科之间，少量位于英国和中国香港。

org="Chang Way Technologies Co. Limited"

changway.hk

这个域名在公司的注册信息上是可见的。我首先查看WHOIS信息，以寻求任何其他的关联信息。使用Virus Total和DomainTools这两款工具，我发现了两个有趣的东西：

该域名的注册电子邮件是：bernard.webmail@gmail.com
注册人是：Victor Zaycev
云服务商 “Cat Technologies Co. Limited”也在相同的Victor Zaycev名下，且注册地相同，都在中国香港的地址下注册。

这个电子邮件在许多其他域名中被使用，虽然大多数域名现在已经不存活，但是它提供了一个与此电子邮件相关的活动时间线。通过Google、Yandex和VirusTotal，我识别出了以下域名：

查看Chang Way域名的DNS记录也出现了看起来像另一个邮箱地址的SOA记录RNAME —— processor.webmail.gmail.com。这条记录显示，这是用于负责该域名的管理员的电子邮件地址：

所以，到目前为止的发现总结如下：

与bernard.webmail@gmail.com相关的域名，除了changway.hk和31337.hk，所有的都已经过期。我已经探索了一个，所以让我们继续看看31337.hk这个域名。

31337.hk

看起来它已经被标记为传送恶意软件的主机 (Malware payload delivery host)，并位于Cloudflare后面。其中一些文件包括Amadey和SystemBC：

这里有一些有趣的子域名，尤其是bearhost和billing（稍后将会详细讲解）：

回到processor.webmail@gmail.com这个邮箱，这个邮箱地址在changway.hk的DNS记录中被使用。

通过使用Group-IB的威胁情报平台和图形工具，我可以将注册了bernard.webmail@gmail.com的域名和processor邮箱地址连接起来。一个新的人物：“processor”出现。这个用户在很多论坛上发广告，似乎正在销售名为“UNDERGROUND”和“BearHost”的防弹主机（bulletproof hosting servers）。

在这些帖子显示的联系方式包括TG账户：underground31337、billing31337和bear31337。这些名字与bernard邮箱地址关联的子域名和域名相匹配：

在整理了与“processor”这个角色相关的账户和电子邮件地址后，我们可以把在DNS中发现的processor电子邮件和WHOIS中的bernard电子邮件建立起联系。

如果我们对新识别的地址进行上面相同步骤的搜索，我们可以看到一些有趣的结果。

例如，“processor”这个角色关联的jabber联系信息与2022年3月在crdpro.cc网站上发布关于“UNDERGROUND — 防弹主机（bulletproof hosting servers）”的广告帖子有关。

备注：Jabber是一种开放源代码的即时通讯协议，也被称为XMPP（Extensible Messaging and Presence Protocol）。它可以用于发送即时消息、创建多用户聊天室、发送和接收文件等。

第二个结果是一位安全研究员最近从各种个体关联的Jabber ID中挖掘出来的数据。在这些数据中包括了与Alphv、BlackByte、Vice Society、Mallox和No_Escape等相关的邮件地址。我联系了这位研究员，他提到这些地址是从网络犯罪论坛中挖掘出来的。

在同一数据集中包含的与勒索软件相关的电子邮件地址：

alphv@01337.ru
avos@thesecure.biz
blackbytesupp0rt@onionmail.org
mallox@exploit.im
No_ESCAPE@exploit.im
stormouss21@dnmx.org
vicesociety@onionmail.org
v-society.official@onionmail.org

继续用Yandex进行搜索，我们可以看到这些processor账户在哪些其他论坛上发了广告：

总结一下第一部分（云服务商）的一些发现：

通过WHOIS和DNS，我们可以将两个Gmail地址关联到Chang Way上注册和托管的两个域名。

名为Bernard的邮箱用于新的域名注册，特别是changway.hk和31337.hk，这两个域名包含与processor相关的子域名。
名为processer的邮箱用于销售，为BearHost/Underground的bulletproof hosting servers打广告。
“processor”是一个在论坛和Jabber频道中与勒索软件团伙进行沟通的角色。

▌第二部分-该云服务商上的事件

以下是一些发现的事件总结：

事件1：攻击者利用CVE-2023–3519在Citrix Netscaler Gateways上植入webshells
事件2：印度全国犯罪记录局（National Crime Records Bureau）的信用卡网络钓鱼
事件3：Android恶意软件：Hydra、Hookbot、aXedroid、Rusty Droid
事件4：Windows恶意软件：SectopRAT
事件5：me taSploit、Nessus和Cobalt Strike
事件6：404 TDS
事件7：UNDERGROUND/BearHost防弹主机托管
事件8：BlackByte
事件9：TacticalRMM
使用的工具包括：urlScan、FOFA、Shodan、Maltego、VirusTotal和Greynoise。

在我查看进入网络的流量，例如寻找网络钓鱼页面，恶意软件C2等之前，我想我会开始查看通过Greynoise来自网络的哪种流量。

Greynoise

Greynoise在帮助我们理解一个IP地址是否可能被归类为恶意行为，如进行扫描或被观察到利用特定的漏洞，展现出极其重要的作用。在这种情况下，我们可以输入CHANG WAY的IP段，并对其类型进行分类。

把结果输入到可视化表格中，我把他们放到了一起进行分析。

备注：Malicious为恶意、Unknown为未知。

IP段62.122.184.0/24似乎包含了被标记为恶意的IP地址最多，这些IP地址与各种扫描活动相关。

事件1 — 威胁行动者利用CVE-2023–3519漏洞在Citrix Netscaler网关上植入webshell

通过urlScan，我们可以了解托管在ASN上的域名类型以及可能存在的恶意活动。ASN功能显示最新的扫描、来源、最近的截图、有关联的截图和最近观察到的主机名。

https://urlscan.io/asn/AS57523

在和它有关联截图中，一些有趣的截图出现了，各种公司的CitrixVPN网关似乎正在与此ASN上的地址进行通信。这绝对需要进一步地调查。

在进行深入挖掘后，我们可以确定有问题的IP地址：

根据这些的信息，我们找到了一些域名：

cloud-js.cloud
jsc ript.club

查看cloud-js.cloud域会返回许多公司的Citrix网关。

除此之外，看起来该域名上托管了一些ja vasc ript文件。初步看起来像是在登录时将身份验证凭据POST到此域名。

然后，再对这个域名进行搜索，搜到了两篇有趣的文章：

https://securityintelligence.com/x-force/x-force-uncovers-global-netscaler-gateway-credential-harvesting-campaign/?source=post_page-----a9ba4fce0f65--------------------------------

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-201a

这看起来像是与“攻击者利用Citrix CVE-2023-3519植入Webshells”的持续活动有关。

使用这个URLScan查询：

filename："citrix.js" OR filename："citrix2.js" OR filename："citrix3.js" AND page.url："/vpn/index.html"

我们可以识别用于凭据泄露的域名。从这里，我们可以对在Citrix登录页面的网页中找到的域名用FOFA进行查询。

("jscloud.ink" || "jscloud.biz" || "cloudjs.cloud" || "cloud-js.cloud" || "cloudjs.live") && server!="cloudflare"

为我们提供全球受害者的分布视图：

需要注意的是，攻击者将这些域放在Cloudflare后面，以避免检测到他们的后端服务器，但通过这些工具，我们已经识别出了它：

另外，CISA报告提到了NPS的使用：

将NPS隧道器[6]部署到受害者网络的/tmp目录。NPS是用Go编写的开源内网穿透代理服务器工具。

Deployed the NPS tunneller [6] to victim networks to the /tmp directory. NPS is an open source tunneller written in Go.

我们也可以通过检查这个IP地址的8081端口来验证这一点：

ip="85.209.11.134" && port="8081"

具有相同响应头的全球视图：

header_hash="-687058669"

NPS地址：

https://github.com/ehang-io/nps

看起来是由一位中国的作者编写的，已经有超过200万次下载。使用NPS的服务器主要分布在中国。

所以，通过首次观察到的活动。这些域名背后的IP地址是：85.209.11.134

事件2 —— 印度国家犯罪记录局（NCRB）信用卡网络钓鱼事件。

这个事件确实让我和我的十几岁的继女感到非常有趣，我让她扮演受害者的角色去尝试。去弄清楚问题出在哪里，以及为什么电脑会告诉她，只有她输入信用卡详情后，她才能解除被封锁的状态。我让她退出这个页面，看着她因此产生的困惑，我感到非常的愉快。

备注：作者的英式幽默猝不及防

这个页面假冒印度国家犯罪记录局的页面，试图向访问“SQ和非法网站”的受害者索取付款。有趣的是，当你首次加载该页面时，它会弹出一个对话框，要求你重新加载页面：

在重新加载后，屏幕会进入“全屏模式”，并模仿浏览器。因此，试图关闭屏幕的尝试可能会失败，这可能会增加受害者的焦虑，并增加最终付款的可能性。

这是一种可能有效的有趣的社会工程策略。通过使用网页的favicon哈希，我们可以识别出另外9个专门用于这种诈骗的服务器，这些服务器都托管在Chang Way上：

URLScan的结果如下：

https://urlscan.io/search/#hash%3A13b787fc7df5bd583e50c3f159fc16296757aa3e3efeaefe954cf33273e58504

链接文字

基于在网页上找到的ba se64编码字符串的FOFA搜索情况：

"PGgxIGNsYXNzPSJhbGVydC1kYW5nZXIiPjwvaDE+DQogICAgICAgICAgICAgICAgICAgIDxwPjwvcD4"

这样可以返回更多不限于CHANG WAY的结果。

私货：当然，我们直接把图标拖进去也搜哦。

icon_hash="1588839859"

事件3 — Android恶意软件：Hydra，Hookbot，aXedroid，Rusty Droid Hydra。

我之前写过一篇关于Hydra Android银行木马的文章：

在这里，我找到了4个运行恶意软件的C2服务器。.apk文件被命名为Chrome.apk和PlatStore.apk。同时还找到了Hookbot，aXedroid和Rusty droid的登录面板：

私货：用FOFA查询文中提到的HOOKBOT后台，查询语法和链接如下：

fid="8ZfqDfBADcCVT8Cf796SUg=="

事件4 — Windows恶意软件：SectopRAT

引用链接。

事件5 — me tasploit, Nessus 和 Cobalt Strike

Nessus：“利用业界最受信赖的漏洞评估解决方案，评估攻击面。”

私货again，FOFA的Nessus搜索语句：

app="tenable-Nessus"

me taSploit：“me tasploit 项目是一个计算机安全项目，提供有关安全漏洞的信息，并在渗透测试和IDS签名开发中起到帮助作用。它属于马萨诸塞州波士顿的安全公司Rapid7。

其最知名的子项目是开源的me tasploit框架，是一种用于开发和执行针对远程目标机器的漏洞利用代码的工具。” — Rapid7

私货3，FOFA的me tasploit搜索语句：

app="RAPID7-me tasploit"

Cobalt Strike: “是一款商业对抗模拟软件，面向红队进行销售，但也被从勒索软件运营商到注重间谍活动的高级持久威胁（APTs）的各种攻击者积极盗用和使用。” — Mandiant

私货,FOFA搜索语句：

app="COBALTSTRIKE-beacon" || protocol="cobaltstrike"

上图显示了在CHANG WAY上运行Cobalt Strike或me tasploit的IP地址。一个IP地址，85.209.11.162，同时运行着这两个。

CHANG WAY上的许多Cobalt Strike服务器使用了水印：1580103824，用于识别正在使用的Cobalt Strike版本。这是与最近的Cl0P/SysAid报告中使用的Cobalt Strike服务器是相同的水印：

我们可以通过使用服务器使用的SSL jarm来进一步关注另一步。

我在关于SysAid报告的另一篇近期文章中提到了这一点，使用SSL jarm和水印版本号，我们可以聚合一些Cobalt Strike服务器。在这里，我们使用来自SysAid IP地址的ssl jarm，可以看到它与2个服务器共享该指纹+水印，一个在CHANG WAY，一个在Cat Technologies。

FOFA 搜索语句：

banner="Watermark: 1580103824"

事件6 —— 404 TDS

404 TDS不是我真正试图跟踪过的东西，但我相信它的一部分运行在CHANG WAY上。什么是404 TDS？TDS代表Traffic Distribution System（流量分发系统）。

这是一种可以由各种攻击者购买的服务，用于分发不同的恶意软件。TDS的目的是将流量通过攻击者控制的基础设施重定向，以验证受害者，然后根据某些条件将其重定向到链条中的下一个。这使攻击者可以进行诸如地理围栏之类的事情，以过滤掉不需要的流量（如研究者）并将受害者分发到不同的恶意软件，比如信息窃取者（个人机器）或Cobalt Strike（企业系统）。

Proofpoint在跟踪这个并更新社区关于作为这个生态系统一部分的有效载荷和诱饵方面做得很好。通过404 TDS交付的有效载荷包括：Truebot，NetSupport RAT，IcedID，AHK Bot，AsyncRAT和DarkGate等。

这是ProofPoint在10月份的文章，文中有404和IcedID，我们找404 TDS看一下：

所有这些域名都解析到一个IP：193.3.19.160。猜猜哪个组织在上面...

让我们把这个放到Maltego中，看看我们还能在CHANG WAY上找到什么有关404 TDS的信息：

总共有12个IP地址。所有这些都包含了一些不解析到网页的域名，而且在VirusTotal中都有通信文件，所有这些都符合你期望从典型的电子邮件附件诱饵中看到的（HTML和PDF格式）。我确信这些IP地址都是相关的，然而，令我感兴趣的是，尽管这是一个被广泛使用的流量分发系统，我的搜索只找到了那些托管在CHANG WAY上的。