在突袭9个月后，机器人仍在试图到达网络掩体2.0地址

本文由SANS.edu研究生Karim Lalji与Johannes Ullrich合作撰写。

“网络掩体”指的是一个犯罪集团在实际的军事掩体中运营“防弹”托管设施。“防弹”托管通常指的是在执法很少或腐败的国家的托管地点，这使得关闭犯罪活动变得困难。网络掩体，也被称为“ZYZtm”和“Calibour”，有点不同，因为它实际上是在一个防弹掩体中操作的。去年九月，德国警方突击搜查了这个真实的网络掩体，并逮捕了几名嫌疑人。当时，布莱恩·克雷布斯写了一本关于网络掩体历史的巨著[1]。

根据州总检察长中央网络犯罪办公室的新闻稿，查获了超过2PB的数据，包括服务器、手机、硬盘、笔记本电脑、外部存储和文件。被国家刑事警察查获的其中一个网站C3B3ROB列出了6000多个与欺诈性比特币彩票、毒品暗网市场(净交易大麻、大麻、MDMA、摇头丸)、武器、假币、被盗信用卡、谋杀令和儿童性虐待图片有关的6000多个暗网网站[2]。

几名与网络掩体有关的个人目前正在德国接受刑事审判。为了支付法律费用，网络掩体背后的原则将网络掩体IP地址空间出售给荷兰公司Legaco。Legaco同意将网络掩体IP地址空间路由到我们的一个蜜罐，为期两周，以便我们能够收集有关试图访问网络掩体托管的资源的任何剩余犯罪活动的一些数据。

IP地址空间包括185.103.72.0/22、185.35.136.0/22和91.209.12.0/24，可归结为约2300个IP地址。我们收集了发往IP地址空间的完整数据包，并在各个端口上设置了监听器(主要是Web服务器)。

在所有IP地址中，我们收到了大约2兆位/秒的流量。流量并不是以相同的速率以所有IP地址为目标。取而代之的是，用于热门网站的IP地址获得了更多的流量。

上面的热图显示了网络掩体网络中源IP驻留的传入字节的地理分布。中等数量的流量来自伊朗、多个欧洲国家以及墨西哥。有趣的是，来自巴西的流量最高。

端口80流量被定向到Web服务器。我们立即注意到有些流量不是HTTP流量，而是IRC流量。机器人有时使用端口80，希望它能逃避防火墙规则和检查。

下图显示了几个IP地址访问由Apache记录的CyberBunker范围内的目标子集。有效负载显示一个IRC&34；USER命令，以及似乎是一系列计算机名称的内容。

收集的流量样本中存在近2000个唯一的计算机名称和超过7000个遵循类似请求模式的唯一源IP。当用时间戳分隔单个计算机名时，请求之间的间隔正好是1分30秒-表明自动化和潜在的C2。

我们还确定了仍在接收流量的各种网络钓鱼网站。这些钓鱼网站试图冒充加拿大皇家银行(RBC)、苹果、贝宝(Paypal)等。

在分析期间，域apple-serviceauthentication.com.juetagsdeas.org继续收到命中。对此域运行DIGG命令会导致NXDOMAIN响应；但是URLScan.io指出托管此站点的IP地址属于名称为#34；ZYZtm。"；的恶意网络。在分析时，似乎还有54个属于网络钓鱼类别的其他域与单个IP地址185.35.138.158相关联。根据URLScan.io屏幕截图功能，此IP地址上的主机之一是psrepair.3uitties.com，它显示了大通银行的凭证获取页面。

我们配置为接收发往网络掩体IP的流量的Web服务器收到流量，该流量用于查找通过getmyads.com和广告网络投放的横幅广告。像许多合法企业一样，犯罪分子通过横幅广告和推荐链接在其他网站上宣传他们的服务。被广告的站点通常作为URL的一部分被传送，以检索适当的横幅，或记入正确的广告商的信用。广告请求中包含的字符串表明，该网络被用来宣传成人服务，在某些情况下，这些网站可能与儿童性虐待有关。分发描述儿童性虐待的材料是针对网络掩体东主的其中一项指控。

在我们收集数据时，对这些URL的大部分请求都来自于搜索引擎Majestic&34；。

根据Archive.org的数据，getmyads.com在2016年至2018年是最活跃的，2019年末进行了一些更新。它有时似乎提供了一个多层次的营销风格的广告网络，这提供了丰厚的推荐费。2019年的最后一次更新显示，一条横幅被网络堡垒政府收缴，很可能是对德国政府在突袭后在多个与网络掩体相关的网站上发布没收的告示的回应。

分析还发现了其他值得注意的行为，如与已知恶意软件签名相关的加密二进制HTTP通信，并推定为C2通信，似乎是之前DDoS攻击的后向散射，以及托管非法色情内容(涉及动物)的网站的DNS解析。更多细节可以在SANS阅览室报纸上找到。[3]

接下来我将讲授：入侵检测深度-SANS Blue Team和Purple Team 2020