新闻快讯
< >

CDN校验漏洞催生海量网络投毒

近日,我们发现一起利用CDN厂商域名备案漏洞自动化进行大面积恶意软件投放的活动。我们将从事该起活动的组织命名为“Rickydiva”。经调查发现,“Rickydiva”组织的相关活动运用了多种手段绕过各级监管,在技术实现和套利变现机制上已非常成熟,应已具备自动化技术平台,并已持续较长时间,预计其非法获利惊人。

一、缘起

“Rickydiva”组织系列活动的发现,源自“烽火台”威胁情报联盟在2017年6月24日到2017年6月28日对恶意软件AVPlayer_130042.apk的监控。在短短的5天内,该恶意软件在某网络的下载量已近6万,其下载地址如下:

http://b9115.rickydiva.com/002/20170627/AVPlayer_130042.apk?attname=XXmovie_jius2.apk。

通过对样本的分析,我们发现该恶意APK为一个网络色情APP,并带有网络支付和吸费功能。APK的下载地址源自域名rickydiva.com,且下载子地址带有明显的随机性。

CDN校验漏洞催生海量网络投毒-E安全

通过对域名rickydiva.com的分析,我们发现APK下载使用了CDN服务,且该域名下大量无规律的子域名通过CNAME泛解析至CDN网络以逃避检测。

CDN校验漏洞催生海量网络投毒-E安全

CDN校验漏洞催生海量网络投毒-E安全

而对其他两个同源样本的分析,我们又发现下载域名tankelife.com和zhilianlm.com也存在类似情况,这些APP均通过使用大量随机二级域名且通过CDN服务来实现分散访问量和隐藏真实下载源地址的目的,致使各种检测和监管手段失效。

CDN校验漏洞催生海量网络投毒-E安全

CDN校验漏洞催生海量网络投毒-E安全

这两个同源样本的下载地址为:

http://9bb9b.tankelife.com/002/20170701/AVPlayer_135033.apk?attname=XXMove_czyc.apk

http://27c9c.zhilianlm.com/001/20170703/AVPlayer_104853.apk?attname=SexAv_sese02.apk

二、CDN厂商的监管漏洞

我们进一步对发现的三个恶意域名的深入分析,关联获得近2000个域名。通过排查,发现其中不少域名都已被“Rickydiva”组织利用。而通过查询备案信息,我们发现,这些被利用过的域名大多数都是在备案过期后被人重新注册。

而对其中7个仍在活跃域名的泛解析发现,同样CDN厂商的网络提供恶意APK的下载加速,并隐匿真实下载服务器地址。

序号

域名

CNAME信息

1

*.heartyheart.cn

iduzlvd.qiniudns.com

2

*.zhilianlm.com

iduzsy6.qiniudns.com

3

*.rickydiva.com

iduzq05.qiniudns.com

4

*.tankelife.com

iduzq06.qiniudns.com

5

*.res.heartyheart.cn

iduzlvd.qiniudns.com.:qiniuhigh.xdwscache.ourwebat.com.:wsall.qiniupic.high.cdn20.com.

6

*.reach-ru.cn

nm.ctn.aicdn.com.:yzz-10.b0.aicdn.com

7

*.hskhyy.cn

875.sp.spcdntip.com.:a9ac1afc.hskhyy.cn.cdn.dnsv1.com.

至此,我们确信“Rickydiva”组织有绕过某CDN厂商审查的方法。

我们对“Rickydiva”组织绕过CDN厂商审查的手段进行了进一步调查,并和CDN行业资深人士进行了探讨。发现目前国内CDN服务商普遍存在对所加速域名审查监管的漏洞。首先,工信部没有提供官方接口 API 去查是否备案,所有是否备案的信息都是通过两个渠道查的。一是网上的一些第三方站点(这些站点的内容不够与工信部实时同步,也不一定准确),二是手动去工信部的网站通过 web 查询(需要完全手工,且限制查询频率,无法满足CDN公司需求)。其次,CDN服务商准入时的信息和事后排查的信息(第三方网站上查的)前后有出入。

而“Rickydiva”组织正是利用了这一业务监控漏洞,通过自动化技术平台抢注备案过期域名,通过短时间使用这些备案过期域名,绕过备案监管和CDN厂商的监管,通过CDN网络从事大面积网络投毒活动。

下图是我们搜索到的某个专门从事备案过期域名抢注业务的网站页面。可以看出,相关产业已成规模化。

CDN校验漏洞催生海量网络投毒-E安全

通过这种方法,CDN厂商的网络成为了“Rickydiva”组织一系列网络投毒活动的“保护伞”,更加隐蔽,难以监控。

三、导流与套现

除了利用CDN厂商的域名备案监管漏洞外,我们还发现“Rickydiva”组织综合运用了下列手段实现导流、套现和其他功能。

1)关键字优化:通过针对百度等搜索引擎进行关键字优化,诱导网民在移动终端下载恶意APK并安装。

2)网络支付与订单管理功能:借助某个以微信支付为核心的O2O运营及营销服务平台等多种第三方服务,实现互联网支付和订单管理,功能非常完善。

3)通过http://app.diaodaxia.com:9000/api/getcode.html?p=2这一接口收集用户手机的电话号码、系统版本、IMSI号及APP设置的渠道信息等设备敏感信息。

4)app内置程序可在app启动三秒后禁止用户退出并持续显示色情推广支付界面,强迫用户付费。

5)色情app的付费体验金额不高(38元和68元),且支持微信和支付宝支付,未超出大部分人的心理预期,极易被引导付费。

从目前已有的观测数据来看,“Rickydiva”组织在导流、套利方面运营模式非常成熟,应该已经持续运营较长时间,且实现了全面自动化。我们谨慎估算,该组织非法获利巨大,已造成较大的影响。

四、总结

对“Rickydiva”组织的调查追踪,我们认为该组织利用了国内CDN厂商普遍存在的域名备案监管漏洞,抢注大量备案过期域名以逃避实名监管,利用大量随机子域名、多下载地址自动切换、样本自动变形等技术手段以逃避网络监测和样本检测,构建了一个高度自动化的、可大范围传播恶意程序的技术平台。该技术平台不仅可以用于传播网络色情、赌博等恶意APK,也可用于木马、勒索软件等其他类型恶意程序的传播。

而在其中起着关键作用的是CDN厂商的域名备案监管漏洞。我们建议相关厂商和监管机构应立即加强对域名备案的监管,优化现有的审查和监管机制,打击抢注备案过期域名用于非法活动的行为和市场。

我们将对此事件进行持续跟踪分析,更为详细的分析报告将会通过我们的情报平台redqueen.sec-un.com以及“烽火台”情报联盟的相关渠道发布和更新。

同时还请关注7月26日-27日在北京国家会议中心举办的2017网络安全生态峰会(ISS),届时在“威胁情报与安全智能分论坛”我们将分享更多关于“Rickydiva”组织活动的详细信息。