隨著新冠肺炎疫情的爆發，它已經成為了全球關注度最高的話題了。根據Unit 42的研究，自2月初以來，與冠狀病毒相關的Google搜索和URL大量增加。與此同時，黑客也試圖渾水摸魚，從中發現攻擊機會。在這種情況下，甚至是數十億美元的不幸。

疫情發生以來，Unit 42就一直在監控用戶對相關話題以及與這些主題相關的新注冊域名的興趣，因為黑客會經常利用它們進行惡意活動。伴隨著用戶瀏覽冠狀病毒話題的增長，研究人員發現從2月到3月，冠狀病毒相關域名的每日平均注冊量增長了656%。在這段時間內，包括惡意軟件和網絡釣魚在內的惡意注冊數量同時也增長了569%;并且“高風險攻擊”注冊的數量增加了788%，其中包括詐騙，未經授權的貨幣開采以及具有與惡意URL關聯域。截至3月底，有116357個與冠狀病毒相關的新注冊域名。其中，2022個是惡意的域，40261是“高風險”的域。

研究人員根據這些域的Whois信息，DNS記錄和屏幕截圖對這它們進行聚類分析，以檢測注冊活動。觀察發現，許多域名都已用于知名的惡意活動，比如借著銷售短缺商品，來進行網絡攻擊。傳統的惡意濫用冠狀病毒攻擊包括托管惡意軟件、釣魚網站、欺詐網站、惡意廣告、加密和黑帽搜索引擎優化(SEO)，以提高搜索排名不道德的網站。有趣的是，盡管許多使用新注冊域名的網絡商店試圖欺騙用戶，但研究人員發現了一個特別不道德的攻擊，就是利用用戶對冠狀病毒的恐懼來恐嚇他們購買惡意產品的域名群。此外，研究人員還發現了一組以冠狀病毒為主題的域，這些域現在使用高風險JavaScript為停放的頁面提供服務，這些JavaScript可能隨時會開始將用戶重定向到惡意內容。

在本文中，我們首先通過Google搜索趨勢和服務流量日志中的數據來展示互聯網上與冠狀病毒相關主題的用戶興趣的增長趨勢。其次，我們會說明最近包含與冠狀病毒相關關鍵字的域名的域名注冊活動顯著增加。第三，我們提供了一個詳細的案例研究，說明網絡犯罪分子如何在互聯網上濫用這些關注點尋覓攻擊機會。

與冠狀病毒相關主題的用戶興趣的增長趨勢

用戶搜索冠狀病毒相關關鍵字的趨勢

使用Google趨勢和流量日志，我們發現與冠狀病毒相關主題的用戶興趣急劇增加。在圖1中，我們可以看到用戶對基于Google趨勢的冠狀病毒相關關鍵字的興趣。特別是，我們看到在2020年1月底，2月底和3月中旬出現了三個高峰。第一個高峰與中國的病毒爆發相吻合，第二個高峰表示美國第一起來源不明的病例，第三個高峰與美國病毒爆發同時發生。圖1中一個有趣的例外是酒精，因為用戶全年都對酒精感興趣，圣誕節時達到高峰。直覺上，全年對酒精的興趣是喝酒，但是與冠狀病毒對準的峰是針對醫用酒精的。

訪問冠狀病毒相關URL的用戶趨勢

與我們對Google趨勢中有關用戶興趣的觀察結果相吻合，在圖2中，與2月初到3月下旬相比，客戶訪問的與冠狀病毒相關的獨特URL的數量增加了近十倍。

用戶對冠狀病毒越來越感興趣，這為網絡罪犯提供了一個攻擊的機會。攻擊者從熱門話題中獲利的一種常見方法是注冊包含相關關鍵詞的域名，如“冠狀病毒”或“COVID”。這些域名經常托管著看似合法的內容，并被用于各種各樣的惡意活動，包括欺騙用戶下載惡意文件、網絡釣魚、詐騙、惡意組織和加密貨幣挖掘。

為了防止攻擊者使用與冠狀病毒相關域名發起攻擊，我們從熱門話題中獲取關鍵字。首先，我們使用谷歌Trends API自動提取關鍵字。然后我們手動選擇與冠狀病毒最相關的關鍵詞。最后，使用我們的關鍵字集，密切監控新注冊的與冠狀病毒相關的域名。

冠狀病毒域名的興起

Unit 42對新注冊域名(NRD)進行了9年多的跟蹤調查，此前曾發表過對這些域名的全面分析報告。為了研究COVID-19新出現的威脅，他們檢索了2020年1月1日至2020年3月31日包含冠狀病毒相關關鍵字的NRD。在此期間，系統檢測到116357個相關NRD，每天大約有1300個域。圖3顯示了我們研究期間新域名注冊的每日趨勢。隨著時間的推移，我們發現冠狀病毒域的數量在增加，3月12日之后，平均每天發現3000多個新域。除了整體的增長趨勢外，我們也觀察到注冊域名數目的突然增加。這些注冊的增長緊隨在谷歌趨勢中出現的用戶興趣高峰之后，只是延遲了幾天。

每日冠狀病毒相關的域名注冊趨勢

我們使用了Palo Alto Networks的威脅情報來評估與冠狀病毒相關的NRD。這個工具可以將NRD分為兩類。首先，惡意NRD包括用于命令和控制(C2)、惡意軟件傳播和網絡釣魚的域。其次，高風險NRD包含詐騙頁面，貨幣挖掘以及與已知惡意托管相關的域。在此文中，我們將分類分為惡意和高風險。

在分析中，我們確定了2022個惡意NRD和40261個高風險NRD。惡意率為1.74%，高風險率為34.60%。在這些惡意域中，有15.84%的網絡釣魚攻擊試圖竊取用戶的憑據，而84.09%的主機則托管著各種惡意軟件，包括特洛伊木馬和信息竊取程序。與網絡釣魚和惡意軟件不同，我們僅發現了幾個用于C2通信的域。

從2月到3月，與冠狀病毒相關的域的平均每日數量增加了656%。我們看到了惡意和高風險冠狀病毒域的類似趨勢，分別增長了569%和788%。在圖3中，我們可以觀察到惡意注冊符合了NRD趨勢，在某些情況下甚至超過了它們。

與冠狀病毒相關的每日客戶DNS查詢趨勢

此外，我們發現，盡管這些域是最近注冊的，但根據我們收集的被動DNS數據，我們總共觀察到了這些域的2835197個DNS查詢(不包括緩存)。此外，平均查詢到的惡意NRD比非惡意NRD高出88%，這符合攻擊者在被列入黑名單之前利用其域名的動機。圖4顯示了使用7天移動平均值在我們的被動DNS數據庫中觀察到的DNS查詢的每日趨勢。我們注意到，3月16日查詢的良性和惡意NRD數量急劇增加。這一增長與我們之前在美國因病毒爆發而在幾天前達到的用戶興趣和域名注冊量達到峰值有關。

NRD中最常濫用的關鍵字

我們用于分析的關鍵字集包含冠狀病毒流行的特定術語，如“冠狀病毒”和“COVID-19”。我們還使用了諸如“大流行”之類的更通用的詞，除了與病毒直接相關的詞外，我們還使用了與醫用耗材有關的關鍵字，例如“口罩”和“消毒劑”。

在圖5中，我們列出了與大多數NRD匹配的前15個關鍵字。一般來說，具體的條款更有利于注冊人，并且針對相關用品進行了多次注冊活動。除了檢測數量之外，這些熱門關鍵字的風險級別都高于平均水平(高風險率> 40%)，這意味著它們更容易被濫用。另一方面，它們的惡意率與平均關鍵字相似。一種特殊情況是匹配344個NRD的“virusnews”，其中33%是惡意的。

攻擊者是如何濫用冠狀病毒大流行的?

觀察到惡意和高風險冠狀病毒NRD的增加，我們進一步分析了這些域，以了解網絡攻擊者如何利用它們。我們首先根據Whois信息和DNS記錄對域名進行聚類，包括注冊日期，注冊商，注冊人的組織，自治系統編號(ASN)和名稱服務提供商。此外，我們根據域名與主網頁的視覺相似度對它們進行聚類。我們使用k近鄰算法，使用Keras庫中DenseNet 201模型的最后一層作為特征。在我們的集群上，我們發現了幾個惡意或濫用注冊活動，并將與典型的惡意用例場景一起進行討論。

使用冠狀病毒域來竊取用戶憑據

網絡釣魚攻擊的目的是誘使用戶向攻擊者泄漏其憑據和個人信息，在冠狀病毒域中，我們觀察到了一些經典的網絡釣魚方案，攻擊者向我們的客戶發送電子郵件，并提供指向假冒網站的鏈接，該假冒網站模仿合法品牌或服務的網站，欺騙用戶泄露他們的登錄憑證。

corona-masr21[.]com是一個帶有美國銀行頁面的釣魚域

我們檢測到在同一天注冊的20個域名集群，它們遵循corona-masr*.com模式，其中*是1到101之間的任意數字。在這個范圍內有101個可能的域名變體，但只有20個注冊了。在圖6中，我們看到了一個針對美國銀行的釣魚URL hxxp[:]//corona-masr21[.]com/boa/bankofamerica/login.php的示例。攻擊者的目的是讓用戶相信他們需要登錄這個假網頁，而且這個網頁是銀行的。該集群還包括模仿其他服務的釣魚url，包括針對蘋果的登錄頁面http[:]//corona-masr21[.]com/apple-online和針對PayPal的登錄頁面hxxps[:]//corona-masr3[.]com/CAZANOVA%20TRUE%20LOGIN%20SMART%202019/，另一個網絡釣魚活動的目標是來自corona-virusus.com和coronavirus-meds.com域的Outlook帳戶。

此外，我們發現，那些提供釣魚頁面的域也托管帶有惡意源構件的壓縮文件。其中包括網絡釣魚“前端”的HTML和PHP源代碼(corona-masr4[.]com/test.zip)，以及發送垃圾郵件和過濾來自良性網絡爬網程序的請求的代碼(corona-virusus[.]com/OwaOwaowa.zip)。這是惡意活動的一種常見做法，目的是托管和分發打包版的惡意有效載荷，這些載荷可以由惡意程序下載到另一個受影響的網站上。

美國銀行的合法網站

用戶可以檢查三個主要指標，如圖7所示，以確保他們不是釣魚攻擊的受害者。首先，他們需要確保URL的域部分是他們試圖登錄的服務所擁有的預期域名。其次，用戶需要確保左上角有一個鎖圖標，表示他們通過有效的HTTPS連接，從而防止中間人(MiTM)攻擊。最后，用戶可以驗證該域名是否與證書的所有者匹配。

托管惡意可執行文件的冠狀病毒域

許多新注冊的COVID-19域被認定與惡意軟件活動有關，其中一個域名covid-19-gov [.com]值得特別關注，因為它與Proofpoint先前報告的類似RedLine Stealer活動是一致的。

盡管最初用于引導潛在受害者到上述網站的感染媒介尚不清楚，但Unit 42的研究人員確定了RedLine Stealer樣本托管在ZIP文件中的URLcovid-19-gov[.]com。提取ZIP文件的內容后，RedLine Stealer二進制文件的文件名顯示為Covid-Locator.exe。

執行后，該示例首先打開Internet Explorer，并嘗試連接到hxxp://localhost:14109。然后，它向URLhxxp://45.142.212[.]126:6677/IRemotePanel發起HTTP POST請求，這與RedLine Stealer的簽入行為一致。簽入完成后，遠程C2服務器發出一個HTTP 200 OK響應，開始從主機中過濾數據：

來自RedLine Stealer數據過濾的網絡流量

特別要注意的是在SOAPAction HTTP標頭字段中URL hxxp://tempuri[.]org/IRemotePanel/SendClientInfo的使用，雖然該域與惡意活動沒有直接關系，但是它是開發中Web服務的標準默認占位符域。根據已建立的Web服務實現，應該更新此字段以反映適當的名稱空間，以便可以唯一地區分和標識給定的Web服務。就是說，即使是合法的Web服務，有時也會忽略此詳細信息，因此，出于安全識別的目的，tempuri[.]org不應被視為一個IOC。

本文所講的RedLine Stealer變體的其他有趣的基于主機的行為都包括在隱藏的命令提示符窗口中執行以下命令：

cmd.exe” /C taskkill /F /PID  && choice /C Y /N /D Y /T 3 & Del “” 

根據命令的內容，可以推斷出惡意軟件開發者的意圖是確保通過cmd.exe執行該命令時，將通過其進程標識符(PID)阻止正在運行的RedLine Stealer惡意軟件實例，初始化刪除RedLine Stealer惡意軟件所在的目錄，并嘗試用Y響應以編程方式響應刪除提示。但是，這種方法存在兩個問題。首先，這個概念從一開始就不合理。在此用例中使用choice命令不會產生期望的結果。其次，盡管當前狀態下的命令確實可以阻止正在運行的惡意軟件實例并啟動選擇Y(然后根據命令的/ T開關在三秒鐘后自動選擇Y)，但它在出現文件刪除提示之前提供了此選擇。這意味著，即使可以通過這種方式使用選擇，也仍然行不通。

此外，此RedLine Stealer變體似乎不會在磁盤上生成其他惡意文件，不會創建或更改任何互斥鎖或嘗試建立基于主機的持久性。

除了RedLine Stealer，我們還檢測到了使用冠狀病毒域進行惡意軟件傳播的其他示例。托管在corona-map-data[.]com/bin/regsrtjser346.exe中的另一個類似示例被標識為Danabot銀行木馬。

我們還發現了幾個以冠狀病毒為主題的惡意軟件的實例，這些惡意軟件旨在攻擊移動用戶。具體來說，我們從與架構 Corona-virusapps[.]com/s

我們還分別在coronaviruscovid19-information[.]com/it/corona.apk和coronaviruscovid19-information[.]com/en/corona.apk中找到了另外兩個木馬。

目前，前面提到的所有APK均被確認為常用木馬。

接下篇文章《黑客是如何在新冠肺炎疫情中大肆尋覓攻擊機會的?(下)》