通過網空搜索引擎發現惡意軟件登錄頁面
安全研究員 BushidoToken 最近利用 Shodan 網空搜索引擎,發現了三個新的信息竊密類惡意軟件:Titan Stealer、Patriot Stealer 和 Raxnet Stealer。
Shodan
最初是以 http.html:"stealer" 在 Shodan 進行檢索,能夠發現信息竊密類惡意軟件的登錄頁面。根據 Shodan 的結果,大部分都聚集在德國、巴拿馬、美國與俄羅斯四個國家。
僅僅幾天,數量已經出現了回落,可能是攻擊者進行了規避動作。
信息竊密類惡意軟件
發現的登錄頁面中很多是 Misha Stealer、Collector Stealer 與 Titan Stealer。其中,Titan Stealer 的登錄頁面是最新的,而且似乎沒有被披露過。
Grand Misha/Misha Stealer
- http.title:"misha" http.component:"UIKit"
- https://urlscan.io/search/#filename:%22misha.css%22
- https://urlscan.io/search/#task.tags:%22misha%22
Collector Stealer
- http.html:"Collector Stealer"
- http.html:"getmineteam"
- https://urlscan.io/search/#task.tags:%22collector%22
Titan Stealer
- http.html:"Titan Stealer"
- https://urlscan.io/result/daca0fcd-bbc9-48c8-810d-89fee466b639
Patriot Stealer
新發現的惡意軟件即服務(MaaS)平臺 Patriot Stealer,可以竊取受害者的密碼、Cookie、自動填充數據、Telegram 會話等。
從 Telegram 的描述來看,Patriot Stealer 的開發者似乎是講西班牙語的攻擊者。
- http.favicon.hash:274603478
- http.html:"patriotstealer"
- https://urlscan.io/result/43a51776-e283-4522-ab29-ea5c7efc174a/
RAXNET Bitcoin Stealer
RAXNET Bitcoin Stealer 主要針對加密貨幣用戶發起攻擊,將目標錢包地址替換為犯罪分子自己的錢包地址。
這種惡意軟件的售價從 80 美元與 150 美元不等。
運營人員也對外提供 75 美元的“傳播方法”售賣。
- http.favicon.hash:-1236243965
- https://urlscan.io/result/c4f7f543-46f5-4051-b3cb-3699d4b99c5c/
總結
BushidoToken 在 GitHub 上列舉了近 20 個檢索 Tips,包括 PoshC2、PowerSploit 等。
Adversary Infrastructure on Shodan
https://github.com/BushidoUK/OSINT-SearchOperators/blob/main/ShodanAdversaryInfa.md
目前仍然有一些在野活躍的登錄頁面,各位讀者可以通過 Shodan 檢索進行查詢與驗證。讀者也可以嘗試使用其他網空搜索引擎進行測試,如 ZoomEye、FOFA、Quake 與 Censys 等。
如之前所說,經過多年的探索,網絡空間搜索引擎早不局限于當初的識別與發現網聯設備的功能,由網空測繪結果數據上進行分析和挖掘產出的花樣已經越來越多。相信各廠商能夠基于海量的數據,探索更多新的“招式”。
點擊查看原文即可查看 BushidoToken 博客內容
