FOFA资产拓线实战:揭示“银狐”的行踪
2023-11-20 17:5:32 Author: 灰帽安全(查看原文) 阅读量:6 收藏

FOFA 在资产和线索拓线方面非常有优势,但是很多师傅并不是很理解如何操作,及应该提取哪些特征。需要注意的线索来自哪里?用哪种语法可以实现拓线?          

主要还是缺失线索查找的思路和方法,如何将线索和语法活学活用的使用起来,完成资产收集和线索拓线是网络安全不可或缺的重要一环。      

今天我们将一步一步地探讨这个话题,以“银狐”组织为例,通过多个实例演示如何使用 FOFA 进一步拓展样本资产,以扩大我们的战果! 

“银狐”是一个已经被广泛地去中心化传播的黑客工具,根据微步的研究发现,任何攻击者都可以获取和使用,目前检测到的活跃且被公开的团伙多达5个,还有更多不知名或者未公开黑产在持续使用银狐木马。

"银狐" 木马是一种专门针对企事业单位的管理、财务、销售和电商卖家进行钓鱼攻击的恶意软件。攻击者通过远程控制木马获取计算机控制权限,长期滞留并监控用户操作,然后使用聊天工具软件进行诈骗。

常见的传播路径有三种:    

1. 即时通信传播,使用QQ、微信等发送诱导性文件或链接。
2. 钓鱼网站传播,伪装成税务机关的网站,使用微信钓鱼。
3. 虚假软件传播,伪装成常见软件,购买流量在搜索引擎上传播。    
此类木马使用广告软件进行捆绑式推广,利用复杂形式的白利用,并呈现多阶段的投递方式。          
本文将会聚焦于FOFA的拓线能力,分享当拿到样本资产后,如何使用FOFA将战果扩大化。

样本一来源于360沙箱云报告:《360沙箱提醒您:注意防范“银狐”木马》

根据已知线索,我们获得了域名"b.zjsdfg.cn",和其解析的 IP 地址为 "211.99.98.76"。同时,根据截图的线索,我们了解到他的原文包含关键词 "钉钉电脑版" 和 "为企业解决办公协同问题"。   

将这些线索转化为对应的FOFA语法查询如下:
ip="211.99.98.76"
body="钉钉电脑版" && body="为企业解决办公协同问题"

首先,让我们通过 FOFA 进行 IP 查询,看看是否能找到与这个 IP 相关的信息。       

经过 IP 查询,我们确认该 IP 下的疑似钓鱼网站标题为 "钉钉电脑版-应用市场下载",但这不是我们的重点。 
重点在于,在相同的 IP 下,我们发现了新的线索:"down.cstny.xyz"。您可以使用以下查询语法来检查与该 IP 相关的更多信息:
ip="211.99.98.76"

使用资产关联的SDK特征进行查询,我们获得了 24 条记录,其中包括 6 个独立的 IP 地址。
sdk_hash="5IcXyBJ8QrxlDLQFTl2DCHG0Z42JHfk6"

继续深挖他的其他特征,标题和body中的关键词,有18条资产和6个独立ip命中。

title="百度网盘电脑版官方下载" && body="模板"
我们根据搜到的资产,查看FOFA保存的网站原文,可以看到很有意思的变化趋势。

从我们打开的网页原文中,我们可以清晰地观察到木马的下载链接及其变化过程。
我们可以看到它从本地存储过渡到了云存储,除此之外,还出现了明显的相似特征。这些相似特征可以进一步扩大我们的信息收集。          
在原始信息中,我们可以看到一些显著的相同特征,如 "downapp"、"count"、"fileurl" 等。此外,它们还共享相同的 "js_name" 特征,这也已经显露出来。
因此,我们可以继续使用以下搜索语法来深入查询,这个查询结果命中了 28 条数据和 7 个独立的 IP 地址。
js_name="static/js/quanzhan.js" && body="downapp"          

在完成了ip的线索拓线后,我们将聚焦在第二个线索,即样本原始页面所拥有的特征进行提取:

body="钉钉电脑版" && body="为企业解决办公协同问题"

而且这次根据结果,我们发现了多条新的特征资产。通过以下标题:

title="钉钉电脑版-鲁大师应用市场下载"

我们获得了 3 条搜索结果,这将帮助我们更深入地了解 "钉钉电脑版" 相关的信息。

此外,我们还发现了新的 IP 地址:43.248.190.199。通过对该 IP 进行搜索,我们发现了新的特征线索,其中新的标题线索为:
title="OBS录屏⼤师 _官⽹_简单易⽤的超清录屏软件_电脑录屏⼤师"

这个新线索将有助于进一步扩大我们的信息收集和分析,获取到3个独立域名。

通过分析他body中的js_md5 值加上上面发现的该工具的通用特征可以进一步进行语法拼接。

构造出来新的钓鱼网站查询语法是:
js_md5="a13f7f208ba534681deadb1ec7a2e54a" && body="downapp" && (body="count" || body="fileUrl")
搜索结果中又出现了新的标题线索,我们通过使用标题语法继续搜索,获取到了18条独立子域名,2个独立ip。
title="剪影·拍拍_官⽹_简单好⽤的视频剪辑软件_电脑视频剪辑"
检索到的结果如下:
jy15.lianhuawangluo03.xyzjy.hehuashangwu04.xyzjy.hehuashangwu01.xyzjy.lianhuawangluo17.xyzad.jianying-pro.ccjy15.lianhuawangluo09.xyzjy.hehuashangwu04.xyzjy.hehuashangwu01.xyzjy.hecishangwu.xyzjy.hecishangwu.xyzjy.lianhuawangluo17.xyz150.109.76.206124.156.185.102jy.hehuashangwu20.xyzjy1.hehuashangwu11.xyzjy15.lianhuawangluo09.xyzad.jy2023.ccjy15.lianhuawangluo03.xyzjy.hehuashangwu20.xyzjy1.hehuashangwu11.xyz124.156.134.59
在观察结果这个结果时,我们能发现了一些规则,这些域名大多都是以 "hehuashangwu" 和 "lianhuawangluo" 后面跟着两位数字的域名组合方式。
那么我们可以使用FOFA的模糊搜索功能来构建新的查询语法,命中107条资产,34个独立ip。
host*="*.lianhuawangluo??.xyz" || host*="*.hehuashangwu??.xyz"          
到这里根据这个样本的资产,我们已经完成了很多特征的提取,我们最后在根据已知特征构建新的语法,梭哈一波。
body="function downapp" && (body="count" || body="fileUrl") && (body="exe" || body="msi" || body="zip")

成功查到136条资产,35个独立ip,通过搜索结果来看出现了更多的钓鱼网站,其中有抖音桌面、WPS、百度网盘、迅雷、winrar等等,这些钓鱼网站都伪装成与该木马相关,这是一个有趣的发现。

好了,我们整理整理思路,继续进行另一个样本的探索。         

样本二来源于火绒报告:《毒鼠”后门病毒再升级 通过伪造官网传播》

我们通过 FOFA 平台查询到了与该资产相关的信息。这次,我们将直接使用资产上标记的 fid 值进行拓线:

fid="VAaTqhs0Tw/lp4YjN7vWlw=="
根据当前资产线索,我们成功查询到了 12 条资产和 4 个独立的 IP 地址。通过这些信息,我们获得了木马的下载地址:
hxxps://vv[i]ipp.xykr[s]ii.cn/tsetup-x64Chinese.exe
通过解析它的ip,可以通过开源平台查询whois绑定的用户身份信息等,当然我们今天只使用FOFA进行线索扩充,就不进一步的演示其他的内容啦。
我们继续探索样本三,来自于微步在线的报告:《因势象形:警惕银狐组织发起新一轮钓鱼攻击》。

通过他的域名luthj.sbs进行查询,向之前一样获取其资产的关键特征进行裂变。          

当然不管是通过FOFA特有的FID指纹,还是使用上面提到的SDK特征都可以进行进一步的进行线索扩充,这次我们选择提取他body信息中的关键特征。

根据提取的特征,我们生成了以下搜索语句,找到了109条结果和10个独立的IP地址。
body="暗影⽹络⽂件传输系统 kiftd v1.1.0-RELEASE" && body="票据服务"     
银狐这个工具的使用广泛,其主要思路是通过伪装成常见软件的下载页面制作钓鱼网站,然后通过钓鱼邮件的形式发送到受害者的邮箱,诱导他们下载木马文件。
通过对一系列资产的拓线发现,一些相关的钓鱼网站域名遵循着一定的规则,可以根据这些规则来拓线到相应的钓鱼网站资产。
此外,不同类型的钓鱼网站通常包含有相同的关键词,如 "js_name" 或 "downapp",这提示这些钓鱼网站可能来自同一个组织。
在这次真实的银狐案例分析中,我们使用了多种 FOFA 查询语法,包括语法 ip、body、host、sdk_hash、title、js_name、js_md5、fid 以及模糊匹配功能,来进行资产拓线。
整个拓线流程依赖于 FOFA 的强大搜索功能,但更重要的是发现线索和思考的方法。希望这个案例能帮助师傅们更好地利用 FOFA 进行资产拓线和信息收集,并最大化地发挥 FOFA 的价值。
本次案例拓线后去重结果的如下:
103.143.159.111103.143.159.94103.143.159.98103.15.104.242103.163.46.172103.253.13.59103.36.166.149104.21.15.115104.21.16.191104.21.30.24104.21.33.112104.21.4.219104.21.44.41104.21.50.201104.21.63.17104.21.67.152104.21.83.241104.21.89.234110.42.2.115114.134.189.99114.29.254.8114.29.255.45121.37.160.16123.60.48.116124.156.134.59124.156.185.102150.109.68.68150.109.76.206154.213.26.46156.241.132.69172.67.130.220172.67.140.212172.67.143.80172.67.148.236172.67.150.109172.67.161.227172.67.166.144172.67.177.134172.67.178.193172.67.183.119172.67.192.54172.67.194.205172.67.197.152172.67.202.418.166.188.15618.228.225.125206.238.115.108211.99.98.76211.99.99.15023.225.205.17123.225.205.17323.225.7.16323.225.7.1662345zip.hehuashangwu02.xyz2345zip.hehuashangwu02.xyz:21361.ploos.top38.47.106.18943.129.172.11443.154.136.1043.154.192.21343.154.23.20243.154.49.343.154.61.10543.154.80.18743.155.69.5643.248.190.19945.116.166.25145.116.166.2745.116.166.4045.125.51.2545.125.51.745.204.83.2245.204.83.4247.240.76.13247.242.43.1559.56.110.10460.204.174.338.217.38.14596.43.110.1296.43.110.2696.43.110.27a.fhuehuy7.cna.zjsdfg.cna1.nykoy06.topaa.nykoy01.shopaa1.sdsl07.topaa2.sdsl07.topaa3.sdsl07.topab.nykoy01.shopad.jianying-pro.ccad.jy2023.ccad.nykoy01.shopal.fapiaozx.comantey.sbsasdfghwin02.hhzef.cnasdfwspp03.whroz.cnatjzw.sbsautodiscover.atjzw.sbsautodiscover.ghfdt.sbsautodiscover.ijytr.sbsautodiscover.ktfgr.sbsautodiscover.nefgs.sbsautodiscover.pjuyt.sbsautodiscover.vrheg.sbsautodiscover.yrfgd.sbsb.fheuheg8.cnb1.nykoy06.topc.zjsdfg.cncff01.027jly.comcpanel.ghfdt.sbscpanel.ijytr.sbscpanel.ktfgr.sbscpanel.nefgs.sbscpanel.pjuyt.sbscpanel.vrheg.sbscpanel.yrfgd.sbscpcalendars.atjzw.sbscpcalendars.ghfdt.sbscpcalendars.ijytr.sbscpcalendars.ktfgr.sbscpcalendars.nefgs.sbscpcalendars.pjuyt.sbscpcalendars.vrheg.sbscpcalendars.yrfgd.sbscpcontacts.atjzw.sbscpcontacts.ghfdt.sbscpcontacts.ijytr.sbscpcontacts.ktfgr.sbscpcontacts.nefgs.sbscpcontacts.pjuyt.sbscpcontacts.vrheg.sbscw.mandongzuoxinxi.cndd.sdsl06.topdd001.wolfing1235.cnding.qdjyswkj.comding.yincaitong.com.cndingd.wolfing1234.cndingding.fjeihg3.cndou.qdjyswkj.comdoushop.lianhuawangluo07.xyzdown.cstny.xyzdown.qianniu.icudown.qianniu2023.ccdsf01.whnmzw.cnfapiaoi.comfwiop.clubfyjughk.topfyjughk.xyzfz.mandongzuoxinxi.cnghfdt.sbshfmzkj.tophjklnmwps04.hhzef.cnhuiyi.sxnjal.cnhuiyix.icuhy.fjehh9.cnijytr.sbsjetdh.sbsjhges.sbsjy.hecishangwu.xyzjy.hehuashangwu01.xyzjy.hehuashangwu04.xyzjy.hehuashangwu20.xyzjy.lianhuawangluo17.xyzjy1.hehuashangwu11.xyzjy15.lianhuawangluo03.xyzjy15.lianhuawangluo09.xyzktedy.sbsktfgr.sbskyy.fdjh7889.toplian.qianmouren.topluthj.sbsm.atjzw.sbsm.ghfdt.sbsm.ijytr.sbsm.ktfgr.sbsm.nefgs.sbsm.pjuyt.sbsm.vrheg.sbsm.yrfgd.sbsmail.ghfdt.sbsmail.ktfgr.sbsmail.nefgs.sbsmail.pjuyt.sbsmail.vrheg.sbsnefgs.sbsoffice.hehuashangwu07.xyzoffice1.lianhuawangluo20.xyzoffice2.hehuashangwu13.xyzoffice2.hehuashangwu20.xyzoffice2.lianhuawangluo02.xyzoffice2.lianhuawangluo08.xyzoffice22.lianhuawangluo15.xyzp.fjehyy6.cnp.fjeihg9.cnp.njcsdaq.toppdf.nykoy06.lifepdf.ogkkl.toppiaojufw.cyouppdf.nykoy01.toppssabe.mboworld.compyxiaoyuan.comqn.hflh2.cnqwertps01.whroz.cnrar2.hehuashangwu16.xyzsa.asog510.comsdf.kemanxing.topsg.pdfqo05.topsg.yysk982.comshanghu.hehuashangwu12.xyzsmtp.atjzw.sbssmtp.ghfdt.sbssmtp.ijytr.sbssmtp.ktfgr.sbssmtp.nefgs.sbssmtp.pjuyt.sbssmtp.vrheg.sbssmtp.yrfgd.sbssogou1.hehuashangwu10.xyzsogou2.lianhuawangluo04.xyzsogou2.lianhuawangluo10.xyzsougou22.lianhuawangluo24.xyzsougou22.lianhuawangluo25.xyzsss.fhgges.cntelegramde.sbstelegramvesl.orgtelegrrram.comtxhy.qfmailw.comtyujlih.icuurbgv.sbsvrheg.sbsw.fegee8.cnw.iejhfh5.cnwang.hfqc3.cnwang.iowxk1456.topwang.mboworld.comwang.yyghzmd.cnwangp.winaaa.topwebdisk.atjzw.sbswebdisk.ghfdt.sbswebdisk.ijytr.sbswebdisk.ktfgr.sbswebdisk.nefgs.sbswebdisk.pjuyt.sbswebdisk.vrheg.sbswebdisk.yrfgd.sbswebmail.atjzw.sbswebmail.ijytr.sbswebmail.nefgs.sbswebmail.pjuyt.sbswebmail.vrheg.sbswebmail.yrfgd.sbswf1.sdsl02.topwin.tzhzkj.comwinar.nykoy01.topwinrar.nykoy06.lifewkl.nykoy01.topwp.fhufe9.cnwp.herdc.comwp.hflh2.cnwp.hfmzwl.topwp.hfyx3.cnwp.pdfqo05.topwp.wsp51si.topwp.ycmzwy.cnwppp1.hfmzwlkj.topwps.nykoy06.lifewps.qdjyswkj.comwps2.hehuashangwu05.xyzwpss.nykoy01.topwwp.sagh5293.topwwps.tzhzkj.comwww.atjzw.sbswww.fwiop.clubwww.ghfdt.sbswww.hehuashangwu02.xyzwww.hehuashangwu04.xyzwww.hehuashangwu05.xyzwww.hehuashangwu06.xyzwww.hehuashangwu07.xyzwww.hehuashangwu08.xyzwww.hehuashangwu09.xyzwww.hehuashangwu14.xyzwww.hehuashangwu19.xyzwww.hehuashangwu20.xyzwww.ijytr.sbswww.ktfgr.sbswww.lianhuawangluo13.xyzwww.lianhuawangluo14.xyzwww.lianhuawangluo20.xyzwww.lianhuawangluo21.xyzwww.lianhuawangluo22.xyzwww.lianhuawangluo24.xyzwww.lianhuawangluo28.xyzwww.lianhuawangluo29.xyzwww.lianhuawangluo38.xyzwww.lianhuawangluo39.xyzwww.lianhuawangluo39.xyz:22www.lianhuawangluo39.xyz:43080www.luthj.sbswww.piaojufw.topwww.pjuyt.sbswww.swqe.sbswww.telegramde.sbswww.telegramvesl.orgwww.telegrrram.comwww.vrheg.sbswww.yfapiao.cyouwww.yfapiao.topwww.yrfgd.sbswww.yunfpzx.comxjtdf.sbsxl.hflh2.cnxun.hfyx1.cnxunl.hfqc3.cnxunlei11.hehuashangwu15.xyzxunlei11.lianhuawangluo01.xyzxunlei11.lianhuawangluo12.xyzxunlei11.lianhuawangluo23.xyzxunlei11.lianhuawangluo25.xyzxw.wsopkf.topxwbb.mmwu710.comyrfgd.sbsyunfpzx.comyunvfapiao.comyxc16.chenqingwen.topyyds.hnxbkjyxgs.comyyts08.hhzef.cnzip1.hehuashangwu18.xyzzip2.lianhuawangluo05.xyzzip2.lianhuawangluo11.xyzzuo.zhangsilei.topzxcvbbnnca03.hhzef.cnzxcvvbrar02.whroz.cn
https://mp.weixin.qq.com/s/ae1iOSrUOrGBhERyjqZJIQ     
https://mp.weixin.qq.com/s/jy_iVqXB3QLgsaxApVXc5A         
https://mp.weixin.qq.com/s/WmLekqCN3sOy3_JQlMvyVg 

▌End

欢迎各位白帽师傅们加入我们的社区大家庭,一起交流技术、生活趣事、奇闻八卦,结交无数白帽好友。

也欢迎投稿到 FOFA,审核通过后可获得F点奖励,快来加入微信群体验吧~~~

微信群:扫描下方二维码,加入 FOFA 社群!获取更多一手信息!


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg2MjYxODQ4Mw==&mid=2247484878&idx=1&sn=62f9469ef070873df5d660564dd14963&chksm=ce0453d2f973dac412dcc4006f4da89aa066f6070f034fdfcc035abae4a3792954f68c1189b0&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh