COVID-19攻击手段与数据分析 – 作者:Kriston-安全小百科

随着新冠病毒在世界范围内传播，研究人员发现自2月初以来，与冠状病毒相关的搜索和浏览量大幅增加，同时网络罪犯正利用新冠话题获利。

研究人员监控新冠主题相关的新域名注册，2月到3月日均冠状病毒相关域名注册量增长了656%，恶意注册（包括恶意软件和网络钓鱼）增长569%，“高风险”注册（包括欺诈、挖矿和其他恶意URL域）增长788%。截至3月底，确定了116357个冠状病毒相关的新注册域名。其中，2022个是恶意的，40261个是“高风险的”。通过Whois、DNS记录和爬虫收集分析这些域。发现许多域名注册后被转售，其中一部分域名既被用于恶意活动，也被用于欺诈。还发现了部分以冠状病毒为主题的域有高风险JavaScript页面，可能随时将用户重定向到恶意网页。

数据分析

用户搜索

近期观察到用户对冠状病毒相关主题的兴趣急剧增加。在图1中可以看到在2020年1月底、2月底和3月中旬三个显著的高峰。第一个峰值与中国的病毒爆发一致，第二个峰值表示美国第一例不明原因病例，第三个峰值与美国的病毒爆发同时出现。图1中的一个例外是酒精，因为用户全年都对它感兴趣。

在图2中看到，与2月初到3月底相比，访问与冠状病毒相关的url数量增加了近10倍。

用户对冠状病毒关注度给了网络犯罪分子有利可图的机会。攻击者获益的一个常见方法是注册相关关键字的域名，如“冠状病毒”或“COVID”。这些域名通常看起来合法，但会被用于各种各样的恶意活动，包括诱骗用户下载恶意文件、网络钓鱼、诈骗、恶意篡改和加密货币挖掘。

域名信息

从2020年1月1日到2020年3月31日检索了包含冠状病毒相关关键字的nrd，系统检测到116357个相关的NRD，每天大约有1300个域名。图3显示了研究期间检测到的新域名注册趋势。随着时间的推移，冠状病毒域的数量在增加，3月12日之后，每天检测到3000多个新的域。

可以把NRD分为两类。恶意nrd包括C2、恶意软件传播和网络钓鱼域；高风险nrd包含欺诈、挖矿和其他恶意URL域。发现了2022个恶意和40261个高风险NRD。恶意率为1.74%，高危率为34.60%。在恶意域名中，15.84%试图窃取用户凭据，84.09%托管了不同种类的恶意软件，包括木马和信息窃取软件等。2月到3月日均冠状病毒相关域数量增加了656%，恶意和高风险域分别增长了569%和788%。

共观察到这些域的2835197个DNS查询（不包括缓存），平均恶意NRD比平均非恶意NRD多88%。3月16日NRD数量急剧增加，这与美国病毒爆发有关。

在图5中列出了匹配最多NRD的前15个关键字。这些关键词的风险水平高于平均水平（高风险率>40%），它们更容易被滥用。另一方面，恶意率与一般关键词相似。一个特殊的例子是“virusnews”匹配344个nrd，其中33%是恶意的。

技术分析

钓鱼攻击

钓鱼攻击的目的是诱骗用户共享其凭据和个人信息。在冠状病毒域中，观察到攻击者向用户发送电子邮件，其中包含假冒网站链接，欺骗用户输入登录信息。

在形如‘corona masr*.com‘域名中，同一天检测到一个20个域名注册，其中*是1到101之间的数字。在图6是以美国银行为目标的钓鱼网站hxxp[:]//corona-masr21[.]com/boa/bankofamerica/login.php。此外还包括http[:]//corona-masr21[.]com/apple-online和hxxps[:]//corona-masr3[.]com/CAZANOVA%20TRUE%20LOGIN%20SMART%202019/。

此外发现钓鱼服务域还托管恶意压缩文件及其恶意程序组件。

恶意软件传播

许多新注册的COVID-19域被识别与恶意软件活动相关。其中covid-19-gov[.]com与Proofpoint报告的RedLine Stealer活动相同。研究人员确定了一个RedLine Stealer样本，该样本执行时，首先打开Internet Explorer并尝试连接到hxxp://localhost:14109。然后向hxxp://45.142.212[.]126:6677/IRemotePanel发起一个HTTP POST请求，远程C2服务器发出HTTP 200 OK响应后，样本开始从主机进行数据过滤：

RedLine Stealer可在隐藏窗口中执行命令：

cmd.exe” /C taskkill /F /PID <RedLine Stealer PID> && choice /C Y /N /D Y /T 3 & Del

该命令通过进程标识符（PID）杀死正在运行的RedLine Stealer恶意软件，并删除存在RedLine Stealer恶意软件的目录，并用Y响应删除提示。此外，RedLine Stealer变体不会在磁盘上生成其他恶意文件、创建/更改任何互斥对象或尝试建立持久控制。

除了RedLine Stealer，还在‘corona-map-data[.]com/bin/regsrtjser346.exe’检测到Danabot banking木马，在Corona virusapps[.]com域上发现了三个恶意Android应用程序，url分别为：Corona-virusapps[.]com/s<1-3>/CoronaVirus-apps.apk、coronaviruscovid19 information[.]com/it/corona.apk和coronaviruscovid19 information[.]com/en/corona.apk。

C2 Communication

网络罪犯主要使用冠状病毒相关域进行恶意软件传播、网络钓鱼和诈骗，同时也观察到C2通信情况。

在NATSupportManager远程访问工具网络流量中，可以看到域covidpreventandcure[.]com解析为5.181.156[.]14。然后它向hxxp://5.181.156[.]14/fakeurl.htm发送多个POST请求，并向端口443发送TCP数据包。如图10所示，POST通信格式为HTML表单，C2服务器将编码命令和有效负载附加到HTTP响应中，木马则会发送编码后的数据。

covidpreventandcure[.]com于3月26日注册。两天后发现相关DNS流量，一直持续到4月11日。4月份解析此域的DNS流量增加。

诈骗广告

研究中发现了高风险域名中的诈骗网站，试图骗取用户购买短缺物品。如口罩或洗手液。

心理利用

发现网站利用人们对冠状病毒的恐惧迫使他们购买电子书，如图16所示。发现了8个注册域，包括coronavirussecrets[.]com和pandemic-survival-coronavirus[.]com。

传统诈骗

在coronavirusaware[.]xyz和covid19center[.]检测到诈骗活动，如图17所示。攻击者目的是恐吓用户，迫使他们打电话，攻击者利用电话进行诈骗。

病毒网站

发现许多新冠病毒网站，比如coronamasksupply[.]com和coronavirusinrelatime[.]com在浏览器中对用户操作进行劫持。

总结

当人们的恐惧感增强时，总会有网络罪犯试图从中获利。就冠状病毒而言，每天注册的冠状病毒相关域名数量急剧增加，恶意冠状病毒NRD平均每日数量增加569%，高风险域名平均每日数量增加788%。自1月1日以来，发现2022个恶意和40261个高风险NRD。

人们应该对任何带有COVID-19主题的电子邮件或新注册的网站持高度怀疑态度，任何以COVID-19为主题的电子邮件都应该小心处理。

IOCs

Credential Harvesting

corona-masr21[.]com/boa/bankofamerica/login.php

corona-masr21[.]com/apple-online

corona-masr3[.]com/CAZANOVA%20TRUE%20LOGIN%20SMART%202019/

corona-virusus[.]com

Scams

allsurgicalfacemask[.]com

surgicalfacemaskpharmacyonline[.]com

selectsanitizer[.]com

survivecoronavirus[.]org

facemasksus[.]com

coronavirussecrets[.]com

pandemic-survival-coronavirus[.]com

internet-covid19.xyz

coronavirusaware[.]xyz

covid19center[.]online

Whatsapp[.]version[.]gratis

whatsapp[.]cc0[.]co

Coinminers

coronamasksupply[.]com

coronavirusinrealtime[.]com

coronashirts[.]store

Black Hat SEO

coronavirus-latest-update[.]info

coronavirus-com[.]info

sharkroulette[.]com

Illicit pharmacy:

covid19-remedy[.]com

rxcovid[.]com

anticovid19-pharmacy[.]com