2019-09-06 1. Въведение за предистория Наскоро Rising Security Research Institute засне две APT атаки срещу Китай – едната насочена към посолствата на различни страни в Китай, а другата срещу представителството на технологична компания в чужбина. След като потребителят отвори фишинг документ, компютърът ще бъде дистанционно управляван от нападателя, което води до кражба на вътрешни поверителни данни като информация от компютърната система, инсталатори и данни от диска. Смята се, че атаката APT е била извършена от международно известната организация "Sidewinder", която е извършила много атаки срещу Пакистан и страни от Югоизточна Азия, но последните две атаки на APT често сочат към Китай, едната е маскирана като Център за военна сигурност в чужбина на Офиса за международно военно сътрудничество към Министерството на националната отбрана и е изпращала фалшиви покани до военни аташета на посолства в Китай; Другият беше атака срещу чуждестранния представителен офис на технологична компания, към която нападателят изпрати фалшив наръчник за сигурност и поверителност.
На снимката: Фишинг документи, маскирани като Министерството на отбраната
Според анализа на Института за изследване на нарастващата сигурност, въпреки че целите и съдържанието на тези две атаки се различават от техническите методи, използвани от нападателите, се заключава, че тя има тесна връзка с организацията APT "Sidewinder", чиято основна цел е да краде поверителна информация в областите на правителството, енергетиката, военните, минералните и други области. Атаката използваше фалшиви имейли като примамка за изпращане на фишинг имейли, свързани с китайски посолства и технологични предприятия в чужбина, използвайки уязвимостта на Office за дистанционно изпълнение на код (CVE-2017-11882) за изпращане на фишинг имейли, свързани с китайски посолства и технологични предприятия, с цел кражба на важни поверителни данни, поверителност и научно-технологични изследователски технологии в нашата страна. 2. Процес на атака
Фигура: Поток на атака
3. Анализ на фишинг имейли (1) Документ за примамка 1. Документът е маскиран като покана, изпратена от Центъра за военна сигурност в чужбина към Офиса за международно военно сътрудничество към Министерството на националната отбрана до военния аташе на посолствата на различни страни в Китай.
Фигура: Документ за примамка
(2) Съдържанието на документа за примамка 2 е свързано с преразглеждането на работното ръководство за сигурност и поверителност на представителството на технологична компания в чужбина.
Фигура: Съдържание на документа
(3) Подробен анализ И двата примамни документа вграждат обект, наречен "Wrapper Shell Object" в края, а атрибутът на обекта сочи към файла 1.a в директорията %temp%. Така че, отварянето на документа ще освободи 1.a файла, написан от скрипта JaveScript в директорията %temp%.
Фигура: Свойства на обекта
Документът за примамка след това използва уязвимостта CVE-2017-11882, за да задейства изпълнение на shellcode 1.a.
Фигура: shellcode
Процесът на shellcode е следният: Декриптиране на JavaScript скрипт чрез XOR 0x12, а основната функция на този скрипт е да изпълнява файла 1.a в директорията %temp%.
Фигура: JavaScript скриптов шифротекст
Фигура: Декриптиран JavaScript скрипт
ShellCode ще промени аргументите в командния ред на редактора на формули в JavaScript скрипт и ще използва функцията RunHTMLApplication за изпълнение на скрипта.
Фигура: Заменете командния ред
Фигура: Стартиране на JavaScript
3. Анализ на вируси (1) 1.a Анализ на файлове 1.a се генерира чрез отворения инструмент DotNetToJScript, а основната му функция е да изпълнява .net DLL файлове чрез JavaScript скриптова памет. Скриптът първо декриптира StInstaller.dll файла и отразява натоварването на работната функция в този DLL. Работната функция декриптира входящите параметри x (параметър 1) и y (параметър 2), и след декриптиране x е PROPSYS.dll, а y е V1nK38w.tmp.
Фигура: 1.Съдържание на скрипт
(2) StInstaller.dll StInstaller.dll за анализ на файлове е .NET програма, която създава работна директория C:\ProgramData\AuthyFiles и след това освобождава 3 файла в работната директория, а именно PROPSYS.dll, V1nK38w.tmp и write.exe.config, и поставя програмата WordPad в системната директория (write.exe) Копирай в тази директория. Пуснете write.exe (бял файл), за да заредите PROPSYS.dll (черен файл) в същата директория и да стартирате злонамерения код чрез бяло и черно.
Фигура: работна функция
Следва подробен процес: 1. Извикайте функцията за декриптиране xorIt в работната функция, за да получите 3 важни конфигурационни данни, а именно името на работната директория AuthyFiles и домейн иметоhttps://trans-can.netи задайте името на регистровия ключ Authy.
Фигура: Декриптирани данни
Фигура: функция за декриптиране xorIt
2. Създайте работна директория C:\ProgramData\AuthyFiles, копирайте системните файлове write.exe в работната директория и я настройте да стартира автостартиране.
Фигура: Създаване на AuthyFiles и write.exe
3. Освободи случайно именуван файл V1nK38w.tmp в работната директория. 4. Освободи PROPSYS.dll в работната директория и обнови името на файла, в който искаш да заредиш програмата следващо, във файла V1nK38w.tmp.
Фигура: Създаване PROPSYS.dll
5. Свържете пълния URL към сплитания URL:https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5Запиши в V1nK38w.tmp файл. След това файлът се криптира чрез функцията EncodeData.
Фигура: Създайте V1nK38w.tmp файл
Фигура: Функция за криптиране EncodeData
6. Създайте конфигурационен файл write.exe.config, за да предотвратите проблеми със съвместимостта с различни .NET версии.
Фигура: Създайте write.exe.config
Фигура :write.exe.config content
7. Изпълнете C:\ProgramData\AuthyFiles\write.exe за извикване на злонамерения PROPSYS.dll.
Фигура: Изпълнителен write.exe
(3) PROPSYS.dll файловият анализ използва функцията DecodeData за декриптиране на V1nK38w.tmp и зареждане на изпълнението V1nK38w.tmp след декриптиране.
Фигура: Зареждане на изпълнението V1nK38w.tmp
Фигура: Функция за декриптиране на DecodeData
(4) Анализът на V1nK38w.tmp файлове основно V1Nk38w.tmp кражба на голямо количество информация и получаване на инструкции за изпълнение.
Фигура: Основно поведение
1. Заредете началната конфигурация, която се декриптира по подразбиране в ресурса. Конфигурационното съдържание е URL, временната директория на качения файл и кражбата на зададения суфикс (doc, docx, xls, xlsx, pdf, ppt, pptx).
Фигура: Конфигурация на зареждане
Фигура: Декриптирана информация за ресурси по подразбиране
2. Конфигурацията се криптира чрез функцията EncodeData и се съхранява в регистъра HKCU\Sotfware\Authy.
Фигура: Конфигурационна информация, криптирана в регистъра
3. Посетете посочения адрес, за да изтеглите файла, и изберете първо URL адреса в конфигурационната информация, ако не, изберете стандартния URL:https://trans-can.net/ini/thxqfL ... Mvr/-1/1291/f8ad26b。
Фигура: Данни за изтегляне
4. Интегрирайте откраднатата информация във файл, файлът се нарича: случаен низ + специфичен наставник, а съдържанието на данните се съхранява в временната директория в открит текст.
На снимката: Кражба на информационни файлове
Файловете с суфикса .sif основно съхраняват системна информация, информация за инсталатора, информация за диска и др.
Фигура: Информация, съхранена от суфикса .sif
Получената системна информация е следната:
Наставката е .fls.
Таблица: Информационен запис
Фигура: Информация за съхранение на наставката .fls
Файл със суфикс .flc записва информацията за всички букви на дисковете и информацията за директорията и файла под буквата на диска. Следната таблица показва информацията за буквите на диска, която нападателят иска да получи:
Информацията от директорията, която нападателят иска да получи, е следната:
Информацията във файла, която нападателят иска да получи, е следната:
Улавя изключения в изпълнението на програмата и записва информация за изключенията във файл с наставката .err.
Фигура: Хващане на изключение
5. Актуализирайте конфигурационните данни, съхранявани в регистъра: Първо преминете през системата, за да намерите файлове със същия суфикс като конкретен суфикс, след това прочетете и декриптирайте конфигурационните данни от регистъра HKCU\Sotfware\Authy, добавете името и пътя на намерените файлове към конфигурационните данни и накрая криптирайте конфигурационната информация, за да продължите съхранението на регистъра.
Фигура: Намерете конкретен файл със суфикси
Фигура: Запишете пътя на документа, който ще бъде качен
Фигура: Качете определен суфиксен документ
6. Актуализирайте конфигурационните данни, съхранявани в регистъра: Актуализирайте информацията от качения файл към конфигурационните данни на регистъра.
Фигура: Декриптирана конфигурационна информация в регистъра
7. Компресирайте и качете цялото съдържание на данни от конкретния суфиксен файл, записан в конфигурационната информация на регистъра.
Фигура: Качване на файл със суфикс
8. Качвайте файлове със суфикси sif, flc, err и fls в директорията за staging.
Фигура: Качване на файлове
4. Резюме
Двете атаки не бяха далеч една от друга, а целите им бяха насочени към чувствителни райони и релевантни институции в Китай, като целта на атаката беше основно да се открадне лична информация в организацията, за да се формулира целенасочен план за следващата атака. Повечето от наскоро разкритите атаки на Sidewinder бяха насочени към Пакистан и страни от Югоизточна Азия, но тези две атаки бяха насочени срещу Китай, което показва, че целите на групата са се променили и са увеличили атаките срещу Китай. Тази година съвпада с 70-ата годишнина от основаването на нашата страна и съответните местни държавни агенции и предприятия трябва да обърнат голямо внимание на нея и да засилят превантивните мерки.
5. Превантивни мерки
1. Не отваряйте подозрителни имейли и не изтегляйте подозрителни прикачени файлове. Първоначалният вход към такива атаки обикновено са фишинг имейли, които са много объркващи, затова потребителите трябва да бъдат бдителни, а предприятията трябва да засилят обучението за осведоменост за мрежовата сигурност на служителите.
2. Внедряване на шлюзови продукти за сигурност като мрежова сигурност, ситуационна осведоменост и системи за ранно предупреждение. Продуктите за сигурност на шлюзовете могат да използват интелигентност за заплахи за проследяване на траекторията на поведението на заплаха, да помагат на потребителите да анализират поведението на заплаха, да локализират източници и цели на заплаха, да проследяват средствата и пътищата на атаките, да решават мрежови заплахи от източника и да откриват атакуваните възли в най-голяма степен, което помага на предприятията да реагират и да се справят с тях по-бързо.
3. Инсталирайте ефективен антивирусен софтуер за блокиране и унищожаване на злонамерени документи и троянски вируси. Ако потребителят случайно изтегли злонамерен документ, антивирусният софтуер може да го блокира и унищожи, да предотврати разпространението на вируса и да защити сигурността на терминала на потребителя.
4. Актуализирайте системните пачове и важни софтуерни пачове навреме.
6. Информация за МОК
MD5
D83B3586393CAB724519B27B9857A4B237166FA93D776147E545AAD7E30B41608FD10BD711AB374E8DE9841CF8824758D4C3963B11E1732E1419ADF5F404E50C58DE7C0DF5BD677E1A3CDC099019015DA94BE8863E607DC7988F34F9073099168444A5850EEBA282 4D7C9BAD9189FF7E
URL
https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5https://trans-can.net/ini/Wsx8Gb ... 31878/1346/cab43a7f
|
Публикувано в 21.09.2019 г. 9:15:59 ч.
|
|
|
