网络犯罪分子很少重复发明轮子,因为从勒索软件到窃密程序,地下市场有各种各样可供购买的工具包,任何人都可以快速上手。
研究人员近期发现了名为 Mr.SNIFFA 的信息窃密木马较为活跃,该恶意软件针对电子商务网站及其客户进行信息窃密。近年来,该信息窃密木马采用了各种混淆技术和隐蔽技术来加载其恶意代码并回传窃取的信用卡数据。
通过研究人员的深入分析,揭露了其部署在俄罗斯托管服务提供商 DDoS-Guard 上的攻击基础设施。最终发现了集合加密货币诈骗、比特币“混合器”、恶意软件分发等犯罪行为的“数字犯罪天堂”。
攻击者会尽量避免在常被安全分析人员注意的地方留下明显的痕迹,尝试只加载一次恶意代码或者以某种毫无防备的格式动态加载。
攻击链
研究人员发现一个电子商务网站被注入了一个指向以美国企业家和比特币拥趸 Michael J. Saylor(saylor2xbtc[.]com)来命名的外部网站的链接。尽管注入的网站与加密货币毫无关联,但针对加密货币的兴趣仍然昭然若揭。
恶意流量
恶意 Skimmer 代码在 DOM 中动态解压,收集信用卡支付信息并且对外泄露。
技术细节
Mr.SNIFFA Skimmer
2020 年春天,犯罪论坛中就出现了名为 Mr.SNIFFA 的信息窃密恶意软件的广告。该产品声称其恶意代码对浏览器工具不可见,并且对不同的浏览器兼容性较好。更重要的是,恶意软件开发者提供免费的 Bug 修复与 7×24 小时技术支持。
广告的推文
广告也不全是虚假宣传,有一部分后来也被证实了。
代码升级
第一部分是从 elon2xmusk[.]com 加载的 JavaScript 代码,也是经过混淆的。
Loader 代码
该 Loader 旨在加载部署在 2xdepp[.]com/stylesheet.css 上的特殊 CSS 文件,攻击者的攻击是一环套一环的,就是连接在一起才能生效。
文件的起始处会包含许多标准 CSS 代码,示例文件中是渲染字体的代码,但也有很多其他代码。
隐藏的代码
在文本编辑器中打开可以发现文件超过 8.8 万行代码,其中包括大量的空格、制表符和换行符。空白数据会通过原始 Loader(elon2xmusk[.]com/jquery.min.js)转换为二进制代码。
Denis Sinegubko 和 Eric Brandel 之前披露过关于 Mr.Sniffa 的这一技术。
空白编码特性
解码这段代码后,最终能得到与 Eric Brandel 同款恶意代码。
相同的恶意代码
在交易页面攻击者注入了付款代码,但攻击者存在语法错误(please enter your card details and will charge you later)。窃取的信用卡数据将使用相同的特殊字符编码回传给攻击者,以图片文件的形式发送。
通过图片文件进行数据泄露
攻击基础设施
DDoS-Guard
攻击活动中涉及到的 3 个域名都曾经与 DDoS-Guard 公司有关,该俄罗斯公司会为存在法律问题的网站提供保护。
攻击基础设施关联
研究人员清楚,此类攻击者通常都需要依赖防弹主机,攻击者可以不受干扰地进行犯罪活动。
通常,犯罪分子会通过不同的服务进行资金交易。跟踪被窃取的信用卡是困难且耗时的。
在与 Loader 部署的域名相同的 IP 地址(185.178.208.174)上,有一家虚假网站模仿零售商 Houzz 的网站。
虚假网站对比
在与部署恶意 CSS 文件相同的 IP 地址(185.178.208.181)上,也能关联发现一个销售控制面板、RDP 与 Shell 的网站(orvx[.]pw)。
地下销售市场
以及一个加密货币“混合器”服务(bestmixer[.]mx),犯罪分子通常都会使用这种服务。
比特币混合器服务
同一个子网的 185.178.208[.]190 绑定了 blackbiz[.]top 域名,是一个宣传恶意软件服务的犯罪论坛:
犯罪论坛
研究人员发现该攻击团伙运营的域名中都有 2x,并且与加密货币有关:
通过域名查询,查找其他域名:
在 SilentPush 上进行查询
网站声称是 Tesla、Elon Musk、MicroStrategy 或 Michael J. Saylor 的官方活动,通过赚取数千个比特币来欺骗他人。根据 Group-IB 的报告,加密货币骗局在 2022 年上半年增长了五倍。
加密货币诈骗网站
攻击者使用了许多模仿 AnyDesk、MSI afterburner、Team Viewer 或 OBS 的域名来进行恶意软件分发。
虚假 AnyDesk 网站
以调查记者布 Brian Krebs 的名字命名的网站,为了出售被盗的信用卡。 该网站域名与其他先前已知的域名同步,攻击者 Brian Krebs 也为该网站做了多次宣传。
登录页面
窃取的信息
Robin Banks 是一个网络钓鱼即服务平台,于 2022 年 3 月首次被发现,专门销售网络钓鱼工具包。后来,Robin Banks 的基础设施也从 robinbanks[.]su 迁移到与 DDos-Guard 有关的 beta4us[.]click。
登录页面
分析人员跟踪了使用 DDoS-Guard 的 Mr.SNIFFA 工具包和攻击基础设施,按图索骥发现了相关联的各种数字犯罪。这些犯罪分子通常是互相勾连的,聚合各种数据和证据有助于更好地理解数字犯罪的生态系统、跟踪其发展趋势。
关于马的故事有哪些?
伯乐相马 有个要出卖骏马的人,接连三天呆在集市上,没有人理睬。 这人就去见相马的专家伯乐,说:“我有匹好马要卖掉它,接连三天呆在集市上,没有人来过问,希望你给帮帮忙,去看看我的马,绕着我的马转几个圈儿,临走时再回过头去看它一眼,我愿将一天的报酬奉送给您。 ” 伯乐接受了这个请求,就去绕着马儿转几圈,看了一看,临走时又回过头去再看了一眼,这匹马的价钱立刻涨了十倍。 老马识途 春秋时期,齐桓公率兵攻打山戎,山戎首领密庐投奔孤竹。 孤竹国君答里呵听从宰相兀律的建议,杀掉密庐假降齐军,并把齐军引向旱海沙漠。 齐桓公采纳管仲的建议,挑选几匹漠北的老马给齐军带路,走出沙漠,乘机攻占孤竹,杀死答里呵。 按图索骥 孙阳有个儿子,看了父亲写的《相马经》,以为相马很容易,就拿着这本书到处找好马。 他按照书上所绘的图形去找,一无所获。 又按书中所写的特征去找,最后发现有一只癞蛤蟆很像书中写的千里马的特征,便高兴地把癞蛤蟆带回家,对父亲说:“爸爸,我找到一匹千里马,只是蹄子稍差些。 ”父亲一看,哭笑不得,没想到儿子竟如此愚笨,便幽默地说:“可惜这马太喜欢跳了,不能用来拉车。 ”接着感叹道:“所谓按图索骥也。 ” 田忌赛马 齐国的大将田忌,很喜欢赛马,有一回,他和齐威王约定,要进行一场比赛。 他们商量好,把各自的马分成上,中,下三等。 比赛的时候,要上马对上马,中马对中马,下马对下马。 由于齐威王每个等级的马都比田忌的马强得多,所以比赛了几次,田忌都失败了。 有一次,田忌又失败了,觉得很扫兴,比赛还没有结束,就垂头丧气地离开赛马场,这时,田忌抬头一看, 人群中有个人,原来是自己的好朋友孙膑。 孙膑招呼田忌过来,拍着他的肩膀说: “我刚才看了赛马,威王的马比你的马快不了多少呀。 ” 孙膑还没有说完,田忌瞪了他一眼: “想不到你也来挖苦我!” 孙膑说:“我不是挖苦你,我是说你再同他赛一次,我有办法准能让你赢了他。 ” 田忌疑惑地看着孙膑: “你是说另换一匹马来?” 孙膑摇摇头说: “连一匹马也不需要更换。 ” 田忌毫无信心地说: “那还不是照样得输!”孙膑胸有成竹地说: “你就按照我的安排办事吧。 ” 齐威王屡战屡胜,正在得意洋洋地夸耀自己马匹的时候,看见田忌陪着孙膑迎面走来, 便站起来讥讽地说: “怎么,莫非你还不服气?” 田忌说:“当然不服气,咱们再赛一次!”说着,“哗啦”一声,把一大堆银钱倒在桌子上,作为他下的赌钱。 齐威王一看,心里暗暗好笑,于是吩咐手下,把前几次赢得的银钱全部抬来,另外又加 了一千两黄金,也放在桌子上。 齐威王轻蔑地说: “那就开始吧!” 一声锣响,比赛开始了。 孙膑先以下等马对齐威王的上等马,第一局田忌输了。 齐威王站起来说: “想不到赫赫有名的孙膑先生,竟然想出这样拙劣的对策。 ” 孙膑不去理他。 接着进行第二场比赛。 孙膑拿上等马对齐威王的中等马,获胜了一局。 齐威王有点慌乱了。 第三局比赛,孙膑拿中等马对齐威王的下等马,又战胜了一局。 这下,齐威王目瞪口呆了。 比赛的结果是三局两胜,田忌赢了齐威王。 还是同样的马匹,由于调换一下比赛的出场顺序,就得到转败为胜的结果。 塞翁失马 战国时期,靠近北部边城,住着一个老人,名叫塞翁。 塞翁养了许多马,一天,他的马群中 忽然有一匹走失了。 邻居们听说这件事,跑来安慰,劝他不必太着急,年龄大了,多注意身 体。 塞翁见有人劝慰,笑了笑说:“丢了一匹马损失不大,没准会带来什么福气呢。 ” 邻居听了塞翁的话,心里觉得很好笑。 马丢了,明明是件坏事,他却认为也许是好事,显然 是自我安慰而已。 过了几天,丢失的马不仅自动返回家,还带回一匹匈奴的骏马。 邻居听说了,对塞翁的预见非常佩服,向塞翁道贺说:“还是您有远见,马不仅没有丢,还 带回一匹好马,真是福气呀。 ” 塞翁听了邻人的祝贺,反而一点高兴的样子都没有,忧虑地 说:“白白得了一匹好马,不一定是什么福气,也许惹出什么麻烦来。 ” 邻居们以为他故作姿态纯属老年人的狡猾。 心里明明高兴,有意不说出来。 塞翁有个独生子,非常喜欢骑马。 他发现带回来的那匹马顾盼生姿,身长蹄大,嘶鸣嘹亮, 膘悍神骏,一看就知道是匹好马。 他每天都骑马出游,心中洋洋得意。 一天,他高兴得有些过火,打马飞奔,一个趔趄,从马背上跌下来,摔断了腿。 邻居听说, 纷纷来慰问。 塞翁说:“没什么,腿摔断了却保住性命,或许是福气呢。 ”邻居们觉得他又在胡言乱语。 他 们想不出,摔断腿会带来什么福气。 不久,匈奴兵大举入侵,青年人被应征入伍,塞翁的 儿子因为摔断了腿,不能去当兵。 入伍的青年都战死了,唯有塞翁的儿子保全了性命 指鹿为马 秦二世时,丞相赵高野心勃勃,日夜盘算着要篡夺皇位。 一天上朝时,赵高让人牵来一只鹿,满脸堆笑地对秦二世说:“陛下,我献给您一匹好马。 ”秦二世一看,心想:这哪里是马,这分明是一只鹿嘛!便笑着对赵高说:“丞相搞错了,这里一只鹿,你怎么说是马呢?”赵高面不改色心不跳地说:“请陛下看清楚,这的确是一匹千里马。 ”秦二世又看了看那只鹿,将信将疑地说:“马的头上怎么会长角呢?”赵高一转身,用手指着众大臣,大声说:“陛下如果不信我的话,可以问问众位大臣。 ” 一些胆小又有正义感的人都低下头,不敢说话,因为说假话,对不起自己的良心,说真话又怕日后被赵高所害。 有些正直的人,坚持认为是说明书而不是马。 还有一些平时就紧跟赵高的奸佞之人立刻表示拥护赵高的说法,对皇上说,“这确是一匹千里马!” 事后,赵高通过各种手段把那些不顺从自己的正直大臣纷纷治罪,甚至满门抄斩。
画图索骥什么意思
是【按图索骥】吧!古代,孙阳有个儿子,看了父亲写的《相马经》,以为相马很容易,就拿着这本书到处找好马。 他按照书上所绘的图形去找,一无所获。 又按书中所写的特征去找,最后发现有一只癞蛤蟆很像书中写的千里马的特征,便高兴地把癞蛤蟆带回家,对父亲说:“爸爸,我找到一匹千里马,只是蹄子稍差些。 ”父亲一看,哭笑不得,没想到儿子竟如此愚笨,便幽默地说:“可惜这马太喜欢跳了,不能用来拉车。 ”接着感叹道:“所谓按图索骥也。 ”索:找;骥:良马。 按照画像去寻求好马。 比喻墨守成规办事;也比喻按照线索去寻求。
以“我心中的太阳”为题目写600字文章
书,是我生命中最重要的部分,是我心中的太阳。 书如友。 书可以呼唤出千百年前的古人,让他们为我深情地讲述上下五千年的故事。 书可以为我排忧解难:遭遇挫折时,《钢铁是怎样炼成的》能给我勇气和力量,使我像保尔那样顽强而乐观;心烦意乱时,《安徒生童话》会让我充满信心,坚信丑小鸭终会变成白天鹅;得意忘形时,《名句荟萃》又使我谦虚而警醒,因为虚心使人进步,骄傲使人落后。 ……无论何时,书都是我值得信赖的朋友,是我心中的太阳。 书如师。 它总是无声地等我去问问题。 即使有一千个、一万个问题,它也从不感到厌烦。 天文、地理、语文、数学、音乐、美术……无数个疑问,只要找到它,书都会给我答案。 人说老师似春风化雨滋润万物,书又何尝不是?人说老师似蜡炬成灰,书又何尝不是?一遍又一遍翻,一本又一本烂,可在你、我需要它的时候,它又何曾有过一句怨言?一年一年,它像循循善诱的良师,解开了我一个又一个的疑团,它像太阳一样,照亮了我心灵的每一个角落。 书如舟。 书山有路勤为径,学海无涯书作舟。 是书载着一个个渴望成功的学子,驶向知识的彼岸。 书,是数学之舟,使我思维变得精密,载我驶向数字的王国;书,是语文之舟,使我知识渊博,载我驶向文学的殿堂;书,是诺亚方舟,使我心忧天下,载我驶向和平的天堂。 书在我的心中越发的神圣,它是我心中的太阳。 书如火。 无论是牙牙学语的孩童,还是秉烛夜读的老人,它总是敞开胸怀,热情地迎接你,保证你满载而归。 书是永不熄灭的火,温暖了我的人生,照亮了我的前程。 书如海。 只要你捧起了第一本书,你便会发现,海洋尚有尽头,书却无边无际,包罗万象。 我愿一辈子在其中泅渡,无怨无悔。 书如人生。 书中记载了前人、今人的喜怒哀乐、成败得失。 书,我心灵的明火,我心中的太阳。 你为我白纸般的人生涂满斑斓的色彩,你使我短暂的人生变成永恒,你让我平淡的人生洒满太阳的光辉。 我爱你呀,心中的太阳--书!
发表评论