一、概述

EITest是一个记录完好的感染链，它依靠受感染网站将用户重定向到利用套件（EK）登陆页面、社交工程框架等。EITest可能是同类产品中历史最悠久的，而且被各种勒索软件、信息窃取工具和其他恶意软件所利用，有明确的证据表明其历史可以追溯到2011年。最近Proofpoint与来自brillantit.com和abuse.ch的研究人员一起利用水坑攻击，拦截了EITest，致使感染链无效，每天能阻断多达200万次潜在的恶意重定向。

二、历史

正如我们在2017年1月写的[1]，在EITest开始利用社会工程方案后不久，研究人员通过服务器端组件及感染历史追踪源头(当2011年其重定向至私有EK——Glazunov之时)。感染链似乎在2013年底至2014年7月初暂停，当时它开始定向到Angler（图1）。

图 1: 2014年上半年暂停前后，与EITest相关的事件

查看图1中的历史记录，我们发现该攻击者正在将Zaccess Trojan作为关联成员进行传播，这很可能是出于自己使用Glazunov EK的目的。Glazunov是EITest运营商使用的私人EK，它与Urausy组织[2]专用的Kore / Sibhost EK很相似，考察EITest命令和控制（C＆C）域的创建日期，看起来攻击者在2013年11月左右开始重新设计基础设施。

图2: EITest C&C域名创建时间 

2014年7月，该链再次出现了传播多种payload的新感染模式。这种下游活动通常与两种可能的情况相关：

· 攻击者出售负载（感染）

· 该攻击者正在出售流量（给其他攻击者，负载者或兼而有之）

图3中显示的模式表明，EITest背后的攻击者正在销售流量。

图 3: 两周的EITest记录事件,多种EK和payload表明该攻击者正在出售流量

根据地下论坛的EITest攻击者的行为和Empire EK的见解（见附录），我们确认攻击者正在销售流量。2014年，我们发现该攻击者以块为单位销售流量，每块50-70,000名访问者，20美元每千人，每块大约1000美元到1400美元之间。

如图4所示，上个月此感染链背后的活动主要由社会工程[1]和技术支持诈骗[3]所导致的勒索软件组成。

图 4: 一系列记录在案的事件表明过去一年EITest背后活动的演变

三、水坑行动

2018年3月15日，与abuse.ch [5]和@ Secu0133 [6]一起，我们能够完全用水坑攻击拦截 EITest。

正如@ secu0133在他对EITest php脚本[7]的分析中解释的那样，C＆C域名是通过关键域stat-dns [.] com解析生成的。查获之后，我们将该域名指向一个新的IP地址，生成四个新的EITest C＆C域名，反过来又被指向了abuse.ch sinkhole。

图5: 2017年1月EITest的基础设施

有了这些新域名，我们就能够用水坑取代恶意服务器。现在我们正在接收来自受感染网站后门程序的流量，从EITest C＆C及其访问者(感染者)中发送出来的。

图6: 红色方框突出显示了我们用一个代替的水坑服务器，以及与水坑关闭的EITest C＆C的连接。

四、水坑分析

我们分析了2018年3月15日至4月4日的水坑数据。在此期间，水坑从大约52,000台服务器接收到近4400万个请求。通过对请求进行解码，我们可以获得受感染的域名列表以及浏览受感染服务器的用户IP地址和user agent。

在受感染网站中，我们看到了多个CMS，但绝大多数使用WordPress。

图7显示了EITest使用的52,000台受感染服务器的地理分布。

图 7: EITest感染网站全球分布图

图8显示了浏览事件的全球分布情况，即触发了从受感染服务器连接到sinkhole连接的可能受害者的地理位置;如果没有水坑，它们将与EITest C＆C连接。图9显示了触发连接数排名前十位的国家。

图8: 触发受感染网站到水坑浏览事件的全球分布图

图9:访问 EITest感染网站的Top 10 (3.15 —— 4.4, 2018 )

五、总结

EITest是历史最悠久，规模最大的感染链之一，在其运营初期主要通过私有漏洞利用工具分发恶意软件。近年来，EITest的运营者通过其大型受感染web服务器网络成为EK运营商和社会工程方案的高产销售商。此感染链每天会破坏超过200万次潜在的恶意重定向，并对EITest流量的下游购买者产生重大影响。

在成功将流量引入水坑之后，攻击者关闭了他们的C＆C，但是我们没有看到EITest运营者的进一步公开反应。虽然目睹了一些连到水坑的嵌入式命令，我们将其与尝试接管联系起来，但无法验证它们究竟是由运营者、其他研究人员还是试图与真正的EITest C＆C交互的攻击者发起的。但是，我们将继续监控EITest，因为EITest可能会尝试重新控制涉及感染链的一部分受感染网站。

参考

[1] https://www.proofpoint.com/uk/threat-insight/post/EITest-Nabbing-Chrome-Users-Chrome-Font-Social-Engineering-Scheme

[2] https://malware.dontneedcoffee.com/2013/05/the-missing-link-some-lights-on-urausy.html

[3] https://malware.dontneedcoffee.com/hosted/anonymous/kotd.html

[4] https://blog.malwarebytes.org/exploits-2/2014/10/exposing-the-flash-eitest-malware-campaign/

[5] https://abuse.ch/

[6] https://twitter.com/Secu0133

[7] https://blog.brillantit.com/exposing-eitest-campaign/

IOC

附录

EITest运营者的广告 —-6. 22, 2014

Продам mix ie iframe траф

Ищу человека, готового выкупить поток фильтрованного от ботов ie mix трафа.

Траф с лома, без ру и снг, примено 50-70к в сутки.

Хочу 20$ за 1к трафа или по предложению 8)

jabber [email protected]

Empire EK数据分析

图：2016年10月Empire EK两个EITest线程中一个（其运营商充当流量买方和负载卖方）的统计数据。