2019-09-06 1. Úvod k pozadí Nedávno Rising Security Research Institute zaznamenal dva útoky APT proti Číně, jeden zaměřený na velvyslanectví různých čínských zemí a druhý na reprezentaci technologické společnosti v zahraničí. Jakmile uživatel otevře phishingový dokument, počítač bude útočníkem dálkově ovládán, což vede ke krádeži interních důvěrných dat, jako jsou informace o počítačovém systému, instalátory a informace o disku. Je známo, že útok APT provedla mezinárodně uznávaná organizace "Sidewinder", která podnikla mnoho útoků na Pákistán a země jihovýchodní Asie, ale poslední dva útoky APT často směřovaly na Čínu, jeden je maskován jako Centrum pro zahraniční vojenskou bezpečnostní spolupráci Úřadu pro mezinárodní vojenskou spolupráci Ministerstva obrany a posílal falešné pozvánky vojenským atašé velvyslanectví v Číně; Druhým byl útok na zahraniční zastoupení technologické firmy, kterému útočník poslal falešný bezpečnostní a důvěrnostní manuál.
Na fotografii: Phishingové dokumenty maskované jako Ministerstvo obrany
Podle analýzy Institutu pro výzkum rostoucí bezpečnosti, ačkoliv se cíle a obsah těchto dvou útoků liší od technických metod použitých útočníky, dochází k závěru, že má velký vztah s organizací APT "Sidewinder", jejímž hlavním cílem je krást důvěrné informace v oblastech vlády, energetiky, armády, nerostných surovin a dalších oblastí. Útok použil falešné e-maily jako návnadu k odeslání phishingových e-mailů týkajících se čínských ambasád a technologických podniků v zahraničí, přičemž využil zranitelnost v dálkovém spuštění kódu Office (CVE-2017-11882) k odesílání phishingových e-mailů týkajících se čínských ambasád a technologických podniků, s cílem ukrást důležitá důvěrná data, informace o ochraně soukromí a vědecké a technologické výzkumné technologie v naší zemi. 2. Proces útoku
Obrázek: Tok útoku
3. Analýza phishingových e-mailů (1) Dokument návnady 1. Dokument je maskován jako pozvánka zaslaná Centrem pro spolupráci v oblasti vojenské bezpečnosti v zahraničí Úřadu pro mezinárodní vojenskou spolupráci Ministerstva národní obrany vojenskému atašé velvyslanectví různých zemí v Číně.
Obrázek: Dokument s návnadou
(2) Obsah dokumentu o návnadě 2 souvisí s revizí pracovního manuálu o bezpečnosti a důvěrnosti zastoupení technologické společnosti v zahraničí.
Obrázek: Obsah dokumentu
(3) Detailní analýza Oba falešné dokumenty vkládají na konec objekt nazvaný "Wrapper Shell Object" a atribut objektu ukazuje na soubor 1.a v adresáři %temp%. Takže otevřením dokumentu se uvolní soubor 1.a napsaný skriptem JaveScript v adresáři %temp%.
Obrázek: Vlastnosti objektu
Návnadový dokument pak zneužívá zranitelnost CVE-2017-11882 k spuštění shellcode 1.a.
Obrázek: shellcode
Proces shellcode je následující: Dešifrujte JavaScript skript pomocí XOR 0x12 a hlavní funkcí tohoto skriptu je spustit soubor 1.a v adresáři %temp%.
Obrázek: JavaScriptový skriptový šifrovaný text
Obrázek: Dešifrovaný JavaScriptový skript
ShellCode změní argumenty příkazového řádku editoru formulí na JavaScriptový skript a použije funkci RunHTMLApplication k vykonání skriptu.
Obrázek: Nahraďte příkazový řádek
Obrázek: Spuštění JavaScriptu
3. Analýza virů (1) 1.a Analýza souborů 1.a je generována pomocí open-source nástroje DotNetToJScript a její hlavní funkcí je spouštět .net DLL soubory přes paměť JavaScriptových skriptů. Skript nejprve dešifruje StInstaller.dll soubor a odráží zatížení pracovní funkce v dané DLL. Pracovní funkce dešifruje příchozí parametry x (parametr 1) a y (parametr 2) a po dešifrování je x PROPSYS.dll a y V1nK38w.tmp.
Obrázek: 1.obsah skriptu
(2) StInstaller.dll analýza souborů StInstaller.dll je .NET program, který vytvoří pracovní adresář C:\ProgramData\AuthyFiles, poté uvolní 3 soubory v pracovním adresáři, konkrétně PROPSYS.dll, V1nK38w.tmp a write.exe.config, a umístí program WordPad do systémového adresáře (write.exe) Zkopírovat do toho adresáře. Spusť write.exe (bílý soubor), načíst PROPSYS.dll (černý soubor) ve stejném adresáři a spustit škodlivý kód bílým a černým.
Obrázek: pracovní funkce
Následuje podrobný postup: 1. Zavolejte dešifrovací funkci xorIt v pracovní funkci a získejte 3 důležitá konfigurační data, konkrétně pracovní adresář AuthyFiles a doménové jménohttps://trans-can.neta nastavil jsem jméno klíče registru authy.
Obrázek: Dešifrovaná data
Obrázek: dešifrovací funkce xorIt
2. Vytvořit pracovní adresář C:\ProgramData\AuthyFiles, zkopírovat systémové soubory write.exe do pracovního adresáře a nastavit automatické spuštění při startu.
Obrázek: Vytváření AuthyFiles a write.exe
3. Uvolnit náhodně pojmenovaný soubor V1nK38w.tmp v pracovním adresáři. 4. Uvolněte PROPSYS.dll v pracovním adresáři a aktualizujte název souboru, do kterého chcete program načíst v souboru V1nK38w.tmp.
Obrázek: Stvoření PROPSYS.dll
5. Připojte celý URL propojený odkaz:https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5Zapisujte do V1nK38w.tmp souboru. Soubor je poté zašifrován pomocí funkce EncodeData.
Obrázek: Vytvořit V1nK38w.tmp soubor
Obrázek: šifrovací funkce EncodeData
6. Vytvořte konfigurační soubor write.exe.config, abyste předešli problémům s kompatibilitou s různými verzemi .NET.
Obrázek: Vytvořit write.exe.config
Obrázek :write.exe.config obsah
7. Spusťte C:\ProgramData\AuthyFiles\write.exe pro volání škodlivého PROPSYS.dll.
Obrázek: Výkonná write.exe
(3) PROPSYS.dll analýza souborů používá funkci DecodeData k dešifrování V1nK38w.tmp a načtení V1nK38w.tmp vykonání po dešifrování.
Obrázek: Načítání vykonávacího V1nK38w.tmp
Obrázek: Dešifrovací funkce DecodeData
(4) V1nK38w.tmp analýza souborů V1Nk38w.tmp především krádež velkého množství informací a přijímání instrukcí k vykonání.
Obrázek: Hlavní chování
1. Načíst počáteční konfiguraci, která je ve výchozím nastavení dešifrována do zdroje. Konfigurační obsah tvoří URL, dočasný adresář nahraného souboru a krádež zadaného souboru (doc, docx, xls, xlsx, pdf, ppt, pptx).
Obrázek: Konfigurace zatížení
Obrázek: Dešifrované výchozí informace o zdrojích
2. Konfigurace je zašifrována pomocí funkce EncodeData a uložena v registru HKCU\Sotfware\Authy.
Obrázek: Konfigurační informace zašifrované v registru
3. Navštivte určenou adresu pro stažení souboru a nejprve vyberte URL v konfiguračních informacích, pokud ne, vyberte výchozí URL:https://trans-can.net/ini/thxqfL ... Mvr/-1/1291/f8ad26b。
Obrázek: Stahování dat
4. Integrujte ukradené informace do souboru, soubor se jmenuje: náhodný řetězec + specifická přípona a obsah dat je uložen v dočasném adresáři v čistém textu.
Na fotografii: Krádež informačních souborů
Soubory s příponou .sif uchovávají hlavně informace o systému, instalátorské informace, informace o disku atd.
Obrázek: Informace uložené příponou .sif
Získané informace o systému jsou následující:
Přípona je .fls.
Tabulka: Informační záznam
Obrázek: Informace o úložišti přípony .fls
Soubor s příponou .flc zaznamenává informace o všech písmenech disků a adresář a soubor pod písmenem disku. Následující tabulka ukazuje informace o písmenech disku, které chce útočník získat:
Informace o adresáři, které chce útočník získat, jsou následující:
Informace o souboru, které chce útočník získat, jsou následující:
Zachytí výjimky při provádění programu a zaznamenává informace o výjimkách do souboru s příponou .err.
Obrázek: Chytání výjimky
5. Aktualizovat konfigurační data uložená v registru: Nejprve projít systém, abyste našli soubory se stejnou příponou jako konkrétní přípona, poté přečíst a dešifrovat konfigurační data z registru HKCU\Sotfware\Authy, přidat název a cestu nalezených souborů do konfiguračních dat a nakonec zašifrovat konfigurační informace pro pokračování ukládání registru.
Obrázek: Najděte konkrétní soubor s příponou
Obrázek: Zaznamenejte cestu dokumentu, který má být nahrán
Obrázek: Nahrajte dokument s určenou příponou
6. Aktualizovat konfigurační data uložená v registru: Aktualizovat informace o nahraném souboru na konfigurační data registru.
Obrázek: Dešifrované konfigurační informace v registru
7. Komprimovat a nahrát veškerý datový obsah konkrétního souboru s příponou zaznamenaného v konfiguračních informacích registru.
Obrázek: Nahrajte soubor se sufixem
8. Nahrávejte soubory se příponami sif, flc, err a fls do adresáře pro staging (staging directory).
Obrázek: Nahrávat soubory
4. Shrnutí
Oba útoky nebyly dlouho od sebe a cíle útoků byly zaměřeny na citlivé oblasti a příslušné instituce v Číně, přičemž hlavním cílem útoku bylo ukrást soukromé informace uvnitř organizace, aby bylo možné vytvořit plánovaný další cílený útok. Většina nedávno odhalených útoků Sidewinder byla zaměřena na Pákistán a země jihovýchodní Asie, ale tyto dva útoky byly zaměřeny na Čínu, což naznačuje, že cíle útoků skupiny se změnily a útoky na Čínu zesílily. Tento rok se shoduje se 70. výročím založení naší země a příslušné domácí vládní agentury a podniky by tomu měly věnovat velkou pozornost a posílit preventivní opatření.
5. Preventivní opatření
1. Neotevírejte podezřelé e-maily ani nestahujte podezřelé přílohy. Prvním vstupem k takovým útokům jsou obvykle phishingové e-maily, které jsou velmi matoucí, proto musí být uživatelé ostražití a podniky by měly posílit školení zaměstnanců v oblasti bezpečnosti sítí.
2. Nasadit bezpečnostní produkty bran, jako jsou systémy síťové bezpečnosti, situačního povědomí a včasného varování. Bezpečnostní produkty Gateway mohou využívat threat intelligence ke sledování trajektorie chování hrozeb, pomoci uživatelům analyzovat chování hrozeb, lokalizovat zdroje a účely hrozeb, sledovat způsoby a cesty útoků, řešit síťové hrozby ze zdroje a co nejvíce odhalovat napadené uzly, což pomáhá podnikům rychleji reagovat a řešit je.
3. Nainstalovat účinný antivirový software k blokování a likvidaci škodlivých dokumentů a trojských virů. Pokud uživatel omylem stáhne škodlivý dokument, antivirový software jej může zablokovat a zničit, zabránit spuštění viru a ochránit bezpečnost uživatele v terminálu.
4. Opravy systémových záplat a důležité softwarové záplaty v čase.
6. Informace o MOV
MD5
D83B3586393CAB724519B27B9857A4B237166FA93D776147E545AAD7E30B41608FD10BD711AB374E8DE9841CF8824758D4C3963B11E1732E1419ADF5F404E50C58DE7C0DF5BD677E1A3CDC099019015DA94BE8863E607DC7988F34F9073099168444A5850EEBA282 4D7C9BAD9189FF7E
URL
https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5https://trans-can.net/ini/Wsx8Gb ... 31878/1346/cab43a7f
|
Zveřejněno 21.09.2019 9:15:59
|
|
|
