一顆小胡椒
概述
近期,研究人員發現CL0P勒索軟件組織在成功從數千家企業竊取數據之后,開始使用Torrent(種子)來傳播竊取到的數據,在這篇報告中我們將披露CL0P勒索軟件組織所使用的技術,以供廣大研究人員學習和分析。
2023年以來,CL0P勒索軟件組織一直都積極地在泄漏網站上發布受害用戶的數據,其積極程度僅次于LockBit。CL0P的種子基礎設施也給我們提供了一個絕佳的視角去了解該組織的工作機制以及所使用的技術。通過分析現有的Torrent種子基礎設施(托管被盜數據),也能夠幫助我們更好地去抵御該組織的攻擊。
CL0P和MOVEit Transfer漏洞
在2023年5月底,Progress旗下的一款名為MOVEit的產品被曝存在0 day安全漏洞,而CL0P一直都在利用該漏洞實施攻擊。根據CISA的調查,已經有超過12000家企業(美國至少3000家,全球其他地區至少8000家)受到了該組織的影響。
值得一提的是,CL0P組織于2019年開始活躍至今,他們會使用非常專業的技術從目標用戶竊取數據,然后通過發布部分泄漏數據來威脅他們交付數據贖金。在該組織的活動中,目標用戶更愿意支付數據贖金,而不會選擇冒風險,因為數據泄露之后所帶來的損失會大得多。
這些泄漏數據會被發布在一個名為“leak site”的網站,該網站通過Tor網絡進行服務托管,這也使得CL0P可以一直保持“相對的”匿名性:
如果你使用過Tor網絡,你就會發現用它來下載數據是非常慢的,為了解決這個問題,CL0P與2023年8月15日發布了一篇公告,聲稱他們將通過大量新的技術(包括Torrent種子)來發布被盜數據,這些方法將利用點到點文件交換等技術提升數據下載的速度:
隨后,他們便開發了一個新的泄漏網站來管理magnet磁力鏈接。如果目標用戶拒絕支付數據贖金,那么CL0P每天都會使用這種方法發布一些新的被盜數據集:
接下來,我們將通過識別和分析這些Torrent種子來深入了解CL0P勒索軟件的活動。
Torrent種子
我們要知道的Torrent有兩種類型,一種是torrent文件,這也是很多人比較熟悉的,另一種就是magnet磁力鏈接。Torrent文件包含了跟一個Tracker相關的部分信息,當你加入Torrent之后,你將會通知Tracker。
接下來,這個Tracker將會將對等信息共享給客戶端,這樣它們就可以定期接收跟其他節點(也想要下載數據的終端)相關的更新信息了,這樣就能夠有效地提升數據下載速度。
Magnet磁力鏈接跟Torrent文件類似,但它們不包含任何與Tracker相關的信息。當客戶端加載一個磁力鏈接后,它將包含一個跟目標文件相關的哈希,它將使用這個哈希來識別數據種子。
下圖顯示的是Torrent文件與Magnet鏈接之間的差異對比:
而這種去中心化的技術正是CL0P選擇用來發布泄漏數據的方法。
技術分析
正如我們之前所說的,下載或訪問速度是非常關鍵的。加入一個Torrent時會有一個很小的時間窗口,每過一秒鐘,發現原始種子節點的可能性就會降低。為了解決這個問題,我們需要持續監控他們泄漏網站上新發布的泄漏數據,然后使用Magnet鏈接來啟動對等(Peering)進程。
連接到Torrent之后,我們就可以監控對等節點,直到我們發現第一個顯示100%完成狀態的節點。此時,我們就可以記錄下信息并退出監控了。
當我們連接到一個Torrent時,理想的輸出結果如下:
$ cat pikachu.out Address Flags Done Down Up Client 81.19.135.21 DEHI 100.0 0.0 0.0 Transmission 3.00 |
輸出將包含下列內容:
1、連接對等節點的IP地址
2、對等節點狀態的標記
3、完成百分比
4、上傳/下載速度
5、Torrent客戶端
DEHI標記包含下列含義:
1、“我”已經從對等節點開始下載數據(D)
2、使用了一個加密連接(E)
3、“我”通過一個DHT節點獲取到了對等節點(H)
4、對等節點時一個傳入鏈接(I)
上述的所有信息在后續分析中都會非常有價值。
接下來,我在監控到網站發布新的泄漏數據之后,我連接到了一個100%完成狀態的單個對等節點,并可以假設這是一個原始種子。
下面的兩個表格中顯示的是我兩次測試的輸出結果:
$ cat squirtle.out Address Flags Done Down Up Client 5.62.43[.]184 D?EHI 0.0 0.0 0.0 μTorrent 3.6.0 85.12.61[.]195 TDHI 0.0 0.0 0.0 qBittorrent 4.5.4 96.241.165[.]117 TDHI 0.0 0.0 0.0 BitWombat 1.3.0.2 113.30.151[.]125 TD?EHI 0.0 0.0 0.0 BitTorrent 7.0.0 151.20.161[.]85 DEHI 100.0 0.0 0.0 Transmission 2.93 178.62.25[.]161 TDHI 0.0 0.0 0.0 qBittorrent 4.4.1 183.60.144[.]94 TDHI 0.0 0.0 0.0 libtorrent (Rasterbar) 2.0.7 187.170.4[.]251 DEHI 100.0 0.0 0.0 Transmission 2.93 192.142.226[.]133 D?EHI 0.0 0.0 0.0 μTorrent 3.6.0 195.94.15[.]255 D?EHI 0.0 0.0 0.0 μTorrent 3.6.0 223.109.147[.]211 TDHI 0.0 0.0 0.0 libtorrent (Rasterbar) 2.0.7 $ cat charmander.out Address Flags Done Down Up Client 2003:ec:9711:2000:6576:cf7d:d597:cb42 TDEI 100.0 0.0 0.0 Transmission 4.03 2800:40:1a:7a1:cb7:dc6c:b8d1:9593 TDEH 100.0 0.0 0.0 qBittorrent 4.6.0 2a01:e0a:aa4:7b30:c87b:ad9b:7a44:2692 TDEH 0.0 0.0 0.0 qBittorrent 4.5.4 93.209.109[.]154 DEI 100.0 0.0 0.0 Transmission 4.03 162.120.136[.]148 TD?EH 0.0 0.0 0.0 μTorrent 3.6.0 190.210.32[.]85 DEHI 100.0 0.0 0.0 qBittorrent 4.6.0 198.44.136[.]216 TDEHI 100.0 0.0 0.0 qBittorrent 4.5.4 |
在上面兩個實例中,有很多100%完成狀態的對等節點,接下來我們就可以映射這些所有的對等節點了。
映射對等節點
下圖顯示的是對等節點的映射圖:
其中我們關注下列數據點:
1、對等節點的地址
2、目標用戶
3、客戶端
連接到這些節點后,我們就可以快速識別并映射出IP地址:
我們以81.19.135[.]21為例,我們可以看到一個很有可能是種子的對等節點:
一個高度疑似原始種子的對等節點不僅需要擁有大量的100%完成狀態的種子,而且還需要記錄大量目標用戶的信息。
種子分析
接下來,我們以92.118.36[.]111為例:
我們通過分析后發現,這個種子節點位于荷蘭的阿姆斯特丹,運營商為StreamHost。這個Torrent使用了Transmission 3.00客戶端字符串,并且從8月9日開始就有類似的FTP訪問行為:
在搜索該IP地址時,我們發現了這個地址在2023年6月初就曾利用過MOVEit漏洞執行攻擊,而CL0P也是利用該漏洞來竊取數據的:
下圖顯示的是對等節點分布地理位置圖:
技術分析結果
原始種子數量總共5個:
81.19.135[.]21
81.19.135[.]25
81.19.135[.]31
95.215.0[.]76
92.118.36[.]111
高度可疑種子:
81.19.135[.]11
95.215.1[.]221
Magnet鏈接總數:192
100%完成狀態對等節點:146
一顆小胡椒
CNCERT國家工程研究中心
安全圈
一顆小胡椒
一顆小胡椒
D1Net
一顆小胡椒
綠盟科技
嘶吼專業版
一顆小胡椒
關鍵基礎設施安全應急響應中心
Coremail郵件安全
