隐藏在Gootkit恶意软件背后的犯罪团伙犯了过去几年数千家大型公司都犯过的错误——他们的MongoDB数据库在没有权限管控的情况下暴露在互联网上。
安全研究员Bob Diachenko最先发现这一问题,他下载了所有数据,并以此对其进行深入研究。
Diachenko已和ZDNet独家分享了其中一部分数据,因此本文的部分内容涉及Gootkit恶意软件团伙从其他服务器所偷取的数据。
GOOTKIT是什么?
Gootkit是一种恶意软件的名称,下文将使用Gootkit这个名称来指代隐藏在其背后的犯罪集团。
该恶意软件于2014年首次被发现,此后一直在演变。一开始,Gootkit的功能看起来是一个银行木马——在当时非常猖狂。它会在受害者登录银行网站时激活,记录下登录凭证。
相比于其他银行木马,它当时相当独特,因为它有一个“视频抓取模块”,会记录用户在银行网站上的操作,因此风靡一时。
而在过去的几年里,Gootkit已经逐渐变成了一个更简单,但更危险的数据窃取木马。
ZDNet联系了Fox-IT的安全研究人员,以了解Gootkit目前的形态。据研究人员称,Gootkit现在已不再专注于银行网站。
现在的Gootkit会从受害者处收集大量信息,再将这些数据发送到远程服务器中(就是Diachenko最近发现的服务器)。
如今,Gootkit的主要攻击目标是浏览器。它可以提取和收集浏览历史、密码和cookie等数据,攻击面覆盖多种浏览器(从Chrome到Internet Explorer)。
此外,Gootkit还会记录用户在网页表单中输入的内容,受害者帐号、密码等敏感信息都会被窃取。
Fox-IT表示,Gootkit还会定期对受害者的桌面进行截屏,收集有关受害者主机以及和主机相连的安全硬件的所有数据。
针对性攻击
就规模而言,Gootkit的感染范围远不及Emotet或TrickBot僵尸网络。
但是,其较小的规模只是因为Gootkit团伙传播恶意软件的方式不同。Gootkit没有使用大量垃圾邮件(malspam)来传播木马,而是只针对某个区域。
这就是为什么它很少上头条的原因。在这样一个充斥着勒索软件和挖矿攻击的网络世界里,我们很少听说Gootkit。
最近一次关于Gootkit活动的公开报道是在今年6月份发布的,其中详细介绍了一项规模很小,只针对意大利用户的攻击。
Fox-IT研究人员表示,他们发现了同样的攻击活动,还发现了针对法国、瑞士和奥地利等国银行用户的攻击,甚至还包括一些加密货币交易所的用户。
两台MONGODB服务器
尽管该恶意组织在运营上一直非常谨慎,但他们最近似乎犯了一个错误,其下属的两台命令控制服务器在7月份突然有一周时间可以被任何人访问。
目前尚不清楚这是因为Gootkit团队忘记设置密码,还是忘记设置防火墙。但无论如何,这些服务器被各种搜索引擎所索引,最终被Diachenko发现。
这两台服务器都运行着MongoDB服务,根据存储的数据,其中似乎聚合了来自三个Gootkit子僵尸网络的总共38653台已沦陷主机的数据。
在这两个数据库中,我们发现了名称相似的MongoDB数据集,这是当然的,因为这两台服务器都负责存储非法收集而来的数据。
我们发现了一个名为Luhnforms
的MongoDB集合,其中有关于支付卡的详细信息。我们在这两个数据库中总共发现了大约15000条类似数据,这大概代表了15000张支付卡的详细信息。
每条Luhnforms
数据都包含支付卡涉及的站点、浏览器和PC详细信息,当然,还有支付卡本身信息,均以明文形式存储。
在名为Windowscredentials
的MongoDB集合中,记录了受害者在某些网站上的用户名和登录凭证,这代表在感染期间受害者至少登录过一次相关网站。
这个集合的名称也表明Gootkit正在收集受害者的凭证,但据ZDNet分析,这些数据仅包含网络帐户。
据Diachenko称,其中用户名和密码以明文形式存储,共有2385472条数据。不过我们怀疑某些数据是重复的。
在分析中,我们发现了各种网站的登录凭证,从波兰滑雪商店到网站模板超市,从保加利亚政府机构到加密货币交易所。
这两个MongoDB中还包含了正在发送给已攻陷主机的配置文件,包括其他Gootkit模块的链接。被攻陷的主机应该会下载并运行这些恶意模块来改进软件的功能。
这些链接的IP以及文件在VirusTotal等网站上都显示是恶意的,这更进一步证明这两个数据库所代表的恶意活动。
其他GOOTKIT数据
以上并不是Gootkit所窃取的全部数据,数据库中还有cookie文件、屏幕截图、被攻陷电脑的配置参数——就像Fox-IT在采访中告诉我们的那样。
Gootkit会收集每一个受害者的详细信息,包括内网和公网IP、主机名、域名、CPU信息、内存信息(如果系统不是虚拟机)、ISP名称、操作系统详细信息、操作系统安装日期、MAC地址、浏览器详细信息等等。
这些海量数据足以让攻击者深入了解受害者的生活。
Gootkit的运营者可以轻易确定受害者使用的是家庭电脑,还是政府中的电脑,还是企业内部电脑。
在去年,像Emotet和TrickBot这样的恶意僵尸网络通过它们所控制的机器大赚了一笔。幕后主使将这些机器上的安全软件和其他恶意软件清除后租借给其他犯罪团伙
而其中企业或政府网络中的计算机更能卖出高价。
虽然Gootkit从未向其他犯罪团伙出售过,但他们可以在需要的时候也这么干。
数据库已下线
在暴露了一周后,Gootkit的MongoDB数据库下线了。Diachenko表示他是在7月4日发现这些服务器的,7月10日之前它们都被关闭了。从那以后,这两台服务器再也没有泄露过信息。
目前尚不清楚是Gootkit团伙在看到了Diachenko的声明后关闭的,还是无意中关闭的。
在ZDNet的帮助下,Diachenko向执法部门提供了一份数据副本,但还没有收到任何回复。最后,研究人员在他公司的[博客](https://securitydiscovery.com/banking-trojan-databa se-exposed)上发表了他的研究结果。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场:https://nosec.org/home/detail/2969.html
来源:https://www.zdnet.com/article/gootkit-malware-crew-left-their-databa se-exposed-online-without-a-password/