.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
CL0P是2023年最活躍的勒索軟件組織之一,僅次於LockBit,在最近10個事件響應樣本中,研究人員均觀察到了CL0P。 CL0P勒索軟件組織在成功竊取了數千家公司的數據後,開始使用torrent來傳播受害者數據。
CL0P的torrentseed基礎設施為研究人員提供了一個獨特的機會,讓研究人員深入了解了臭名昭著的勒索軟件組織的直接運行方式,並深入了解他們的交易技巧。通過分析託管被盜數據的現有torrentseed基礎設施,研究人員可以更好地了解這一變化的含義。
為了保護這次攻擊的受害者,研究人員將組織的名稱換成了Pokémon的名稱
CL0P和MOVEit傳輸漏洞的歷史2023年5月底,Progress開發的一款名為MOVEit的軟件產品成為CL0P勒索軟件組織利用的零日漏洞的目標。
CL0P聲稱利用了MOVEit傳輸漏洞,據美國網絡安全和基礎設施局(CISA)估算,該組織對3000多家美國組織和8000多家全球組織實施了攻擊。
CL0P於2019年初出現,並因對受害者使用勒索策略來增加支付贖金的壓力而迅速臭名昭著,他們竊取數據並發布其中的片段。所以,受害者寧願付費,也不願冒險讓他們的數據在全球曝光,這可能比任何傳統的勒索軟件活動都更具破壞性。
然後,這些數據被發佈在一個“洩漏網站”上,如下圖所示,該網站通過洋蔥路由器(Tor)網絡提供服務,這樣做CL0P就可以發起匿名攻擊。
CL0P洩漏
如果你以前用過Tor瀏覽器,就會發現為了匿名,運行速度會非常慢。雖然近年來這方面有了很大的改善,但由於傳輸速度的原因,試圖從洩漏網站下載數據仍然是一個挑戰。
但是,當你從成千上萬的公司竊取數據時,下載速度會慢的讓人發狂。 Torrenting 使世界各地的用戶能夠連接和分享內容,而不必依賴單一的下載源,儘管這種方法很合適,但它仍然有一些缺點。下載過程會影響你設備的速度和功能,而且大文件會佔用大量的存儲空間,這看似對受害者有利,因為通過洋蔥網絡獲取一些洩漏信息是不切實際的。既然攻擊者無法下載被盜數據,為什麼還要支付贖金呢?CL0P改變了他們的策略來解決這個新的數據訪問問題。他們在洩露網站上發帖稱,從2023年8月15日起,他們將開始通過包括torrent在內的多種新方法發布被盜數據,這種方法利用節點文件交換,大大加快了下載過程。
數據發布變更公告
為此,攻擊者兌現了他們的聲明,並創建了一個新的洩漏網站,該網站具有磁力鏈接,即包含文件哈希的超鏈接。大多數torrent客戶端都可以使用這些鏈接來下載數據。
所以,當受害者拒絕支付勒索金額時,攻擊者都會通過這種方法穩定地發布一組新的受害者數據。
具有磁力鏈接的CL0P洩漏網站
人們現在可以以更合理的速度下載128 GB的ZIP文件,而不是試圖通過洋蔥網絡下載一個可能需要幾天甚至幾週才能獲得的文件。然而,torrent有一個問題,那就是數據必須先被播種,這樣你就可以為其他人引導下載速度。這為研究人員提供了一個獨特的機會,通過識別和分析這些torrent的初始seed來深入了解CL0P操作,這個識別過程將是本文的講解重點。
Torrent在深入分析之前,有必要回顧一下torrent的一些概念及其功能。
有兩種類型的“Torrent”,torrent文件本身大多數人都很熟悉,還有磁力鏈接。 torrent文件將包含一條關於跟踪器的信息。
然後,該跟踪器將與客戶端共享節點信息,以便客戶端可以定期接收有關其他對等點的更新,這些對等點可能擁有它們試圖下載的數據片段,這允許對等點快速連接到多個其他對等點,並開始以更高的速率交換數據。
跟踪器對於正常的交換非常有用,但對於操作安全性來說可能不是最好的,因為它們提供了對等點的列表。
磁力鏈接類似於torrent文件,但它們通常沒有任何與跟踪器相關的信息。相反,當客戶端加載磁力鏈接時,它將包含一個從文件的多個方面計算出來的哈希值,該哈希值用於唯一標識torrent所代表的數據。
這種無跟踪器torrent的工作原理是連接到一個分佈式哈希表(DHT)節點,並尋找對等點,這樣就可以交換信息了。
torrenting過程,將追踪器的使用與磁力鏈接進行比較
然後,這些對等點可以交換他們所知道的其他對等點的信息,並且他們可以開始構建連接網絡,最終加快下載過程。
這種去中心化的方法是CL0P為其數據傳播所選擇的。
計劃當然,這種可跟踪性對於任何以前使用過BitTorrent的人來說都不是什麼新聞。多年來,政府、律師事務所和其他機構一直使用這一機制來跟踪與盜版相關活動的同行。
20世紀90年代末,美國唱片業協會(RIAA)對Napster採取了法律行動,接下來的幾年裡,這些因參與這些節點交換的用戶而被起訴,因為這些組織可以識別連接的對等點的IP地址。
那這有什麼不同呢?這裡的主要區別在於,研究人員處理的不是一部被盜電影的torrent,而是數百個單獨的torrent。每個torrent都需要一個初始seed,以便對等點連接、開始下載和交換數據,這就為攻擊創造了機會,其中只有一個對等點擁有100%的文件,而其他對等點正在下載其他部分。
識別遊戲的名稱是速度,其中有兩個因素。首先,你加入這個去中心化群的速度;第二,你與初始100%播種器節點的速度。
當只處理一個torrent時,這兩個因素都非常不可靠。然而,當你從更宏觀的角度看所有的torrent數據時,它描繪了一個非常不同的畫面。
由於研究人員是在後期才加入了torrent,結果100%的對等點不像最初的播種者(seeder)那樣可靠。為了抵消這種影響,研究人員查看了攻擊者釋放它們時的所有節點流,並與較舊的torrent流進行了交叉引用。這讓研究人員可以看到哪些人可能是“真正的”播種者。
在繼續之前,研究人員需要做個簡短的警告,許多人出於各種原因下載這些洩露數據。有時是出於惡意的原因,如獲取憑證、竊取知識產權或進一步利用受害者。
然而,還有許多其他實體出於善意下載了這些數據,他們用這些數據來進一步幫助受害者或其他組織,或進行研究。雖然研究人員無法推斷意圖,但至少可以比較兩組實體的行為。