揭秘盗取“羊毛党”比特币的钓鱼攻击事件 | 一例C2服务器跟踪分析报告

1    概述

行文之前先界定两个概念。

羊毛党，指关注与热衷于“薅羊毛”的群体，是指那些专门选择企业的营销活动、广告投放等，以低成本甚至零成本来换取高额奖励的人。早期网站站上利用虚假点击来获取广告受益，到现在利用各种营销机制漏洞、程序漏洞来“薅”企业推广的费用的两类群体，本文都统称为“羊毛党”。

比特币，英语Bitcoin，是一种全球通用的互联网加密数字货币，与传统的由特定机构发行或控制的中心化虚拟货币不同，比特币采用点对点网络开发的区块链技术，具有去中心化、匿名不易追踪的特点，因此很多黑客利用比特币逃避交易跟踪，比如wannacry等总众多勒索软件作者。

当比特币作为新兴电子资产被越来越多的人了解和使用时，热爱新鲜事物的羊毛党们靠着敏锐的嗅觉也开始推陈出新，一边利用比特币来进行交易逃避监管，一边利用各种“薅羊毛”方式来赚取比特币积累财富。然而，在这个行业繁荣的背后，隐藏着另一神秘的群体，如同太极里的阴阳，有光明必有黑暗，有繁荣必有摧毁繁荣，这个神秘的群体寄居在“羊毛党”之上，贪婪地薅着同样贪婪地“羊毛党”的羊毛。

近期，东巽科技2046Lab利用东巽威胁情报中心的全球C2（也称C&C，Command and Control Server缩写，指木马的控制和命令服务器）监控平台，就跟踪到这样一批神秘群体。

东巽科技的全球C2监控平台，实时监控着采集到的全球C2的存活状态。2046Lab的安全研究员通过算法，在监控结果中发现了一批非常相似类型C2上线。通过对这些C2进行深入跟踪分析后，发现了一些有趣的现象，某个C2区区几百个受害者，但被窃取的帐号密码却有近十万对，如下图。据此，我们推测这些受害者应该不是普通的网民，于是对整个C2、受害者和攻击者进行了全面深入的分析。

图 C2控制中心截图

2    C2与木马分析

2.1    C2与钓鱼页面

本次发现的C2主要位于域名a-work.info下，该域名下有3个C2，且登陆界面一样，基本断定三个C2属于同一个组织操控，并攻击了不少受害者，如下表。

攻击者是如何攻下这些受害者？我们通过跟踪分析发现，攻击者制造了非常精美的比特币相关钓鱼页面，并托管在http://file-loader.download/gen4btc和 http://uljob.info/btcgen/两个地址，引诱受害者下载钓鱼页面提供的“比特币生成器”，如下图。

图 “比特币生成器”钓鱼网页

然而，这款“比特币生成器”实际上是一个名为Agent Tesla的Keylogger类型木马，其功能主要有窃取浏览器、邮件、FTP等密码，收集键盘记录、粘贴板信息，获取截屏和网络摄像头。受害者一旦被植入该木马，则会将上述密码、信息发送到a-work.info下某个C2控制中心。

2.2     木马流量分析

安全研究员从上述钓鱼页面下载了所谓的“比特币生成器”，运行后进行 了流量分析。 在捕获的数据包中，可以明显的看到木马连回a-work.info站点，如下图。

图 木马执行后回连C2

同时，捕获到以下数据包：

1、发送受害者基本信息到服务器,关键参数为type=info，其他hwid为唯一编号，pcname为用户名和计算机名称。

2、每隔2分钟发送一次心跳包，关键参数为type=update。

3、发送屏幕截图，关键参数为type=screenshots,数据字段为screen，截图数据 数据量较大，内容 用｛$data｝代替。

4 、发送键盘记录和粘贴板记录，关键参数为type=keylog，数据字段为logdata，内容较多用{$data}代替。

5、发送窃取的密码，关键字段为type=passwords，数据字段为username和password，内容较多用较多用{$data}代替。