2019-09-06 1. Baggrundsintroduktion For nylig har Rising Security Research Institute opfanget to APT-angreb mod Kina, det ene rettet mod ambassaderne i forskellige lande i Kina og det andet mod repræsentationskontoret for et teknologiselskab i udlandet. Når en bruger åbner et phishing-dokument, vil computeren blive fjernstyret af angriberen, hvilket resulterer i tyveri af interne fortrolige data såsom computersysteminformation, installationsfiler og diskoplysninger. Det forstås, at APT-angrebet blev iværksat af den internationalt anerkendte "Sidewinder"-organisation, som har udført mange angreb på Pakistan og Sydøstasien, men de to seneste APT-angreb har ofte peget mod Kina, hvoraf det ene er forklædt som Overseas Military Security Cooperation Center under International Military Cooperation Office under Forsvarsministeriet, og der blev sendt falske invitationer til militærattachéer ved ambassader i Kina; Den anden var et angreb på det udenlandske repræsentationskontor for et teknologifirma, hvortil angriberen sendte en falsk sikkerheds- og fortrolighedsmanual.
Billedet: Phishing-dokumenter forklædt som Forsvarsministeriet
Ifølge analysen fra Rising Security Research Institute, selvom målene og indholdet af disse to angreb adskiller sig fra de tekniske metoder, angriberne brugte, konkluderes det, at de har et stærkt forhold til APT-organisationen "Sidewinder", som har som hovedformål at stjæle fortrolige oplysninger inden for regering, energi, militær, mineraler og andre områder. Angrebet brugte falske e-mails som lokkemad til at sende phishing-mails relateret til kinesiske ambassader og teknologivirksomheder i udlandet, hvor man brugte Office Remote Code execution-sårbarheden (CVE-2017-11882) til at sende phishing-mails relateret til kinesiske ambassader og teknologivirksomheder med det formål at stjæle vigtige fortrolige data, privatlivsoplysninger samt videnskabelig og teknologisk forskningsteknologi i vores land. 2. Angrebsproces
Figur: Angrebsflow
3. Analyse af phishing-e-mails (1) Lokke-dokument 1. Et dokument er forklædt som et invitationsbrev sendt af Overseas Military Security Cooperation Center under International Military Cooperation Office under Forsvarsministeriet til militærattachéen ved ambassaderne i forskellige lande i Kina.
Figur: Lokkemaddokument
(2) Indholdet af lokkedokumentet 2 vedrører revisionen af sikkerheds- og fortrolighedsmanualen fra repræsentationskontoret for et teknologifirma i udlandet.
Figur: Dokumentindhold
(3) Detaljeret analyse Begge lokkedokumenter indlejrer et objekt kaldet "Wrapper Shell Object" til sidst, og objektattributten peger på 1.a-filen i %temp%-mappen. Så ved at åbne dokumentet frigives 1.a-filen skrevet af JaveScript-scriptet i %temp%-mappen.
Figur: Objektegenskaber
Lokkedokumentet udnytter derefter sårbarheden CVE-2017-11882 til at udløse shellcode-eksekvering 1.a.
Figur: shellcode
Shellcode-processen er som følger: Dekrypter et JavaScript-script via XOR 0x12, og hovedfunktionen af dette script er at køre 1.a-filen i %temp%-mappen.
Figur: JavaScript-scriptchiffertekst
Figur: Dekrypteret JavaScript-script
ShellCode vil ændre kommandolinjeargumenterne i formeleditoren til et JavaScript-script og bruge RunHTMLApplication-funktionen til at udføre scriptet.
Figur: Udskift kommandolinjen
Figur: Kører JavaScript
3. Virusanalyse (1) 1.a Filanalyse 1.a genereres gennem det open source DotNetToJScript-værktøj, og dets hovedfunktion er at køre .net DLL-filer gennem JavaScript-scripthukommelse. Scriptet dekrypterer først StInstaller.dll-filen og afspejler belastningen af arbejdsfunktionen i den DLL. Arbejdsfunktionen dekrypterer de indkommende parametre x (parameter 1) og y (parameter 2), og efter dekryptering er x PROPSYS.dll og y er V1nK38w.tmp.
Figur: 1.a scriptindhold
(2) StInstaller.dll filanalyse StInstaller.dll er et .NET-program, som opretter en arbejdsmappe C:\ProgramData\AuthyFiles, og derefter frigiver 3 filer i arbejdsmappen, nemlig PROPSYS.dll, V1nK38w.tmp og write.exe.config, og lægger WordPad-programmet i systemmappen (write.exe) Kopier til den mappe. Kør write.exe (hvid fil) for at indlæse PROPSYS.dll (sort fil) i samme mappe og kør den skadelige kode med hvid og sort.
Figur: arbejdsfunktion
Følgende er den detaljerede proces: 1. Kald xorIt-dekrypteringsfunktionen i arbejdsfunktionen for at opnå 3 vigtige konfigurationsdata, nemlig arbejdsmappenavnet AuthyFiles og domænenavnethttps://trans-can.netog sæt registreringsnøglenavnet Authy.
Figur: Dekrypterede data
Figur: xorIt-dekrypteringsfunktion
2. Opret en arbejdsmappe C:\ProgramData\AuthyFiles, kopier systemfilerne write.exe til arbejdsmappen og sæt den til at boote autoboot.
Figur: Oprettelse af AuthyFiles og write.exe
3. Frigiv en tilfældigt navngivet fil V1nK38w.tmp i arbejdsmappen. 4. Frigør PROPSYS.dll i arbejdsmappen og opdater filnavnet på filen, hvor du vil indlæse programmet næste gang i filen V1nK38w.tmp.
Figur: Skabelsen PROPSYS.dll
5. Link til den sammensatte fulde URL:https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5Skriv til V1nK38w.tmp fil. Filen krypteres derefter ved hjælp af EncodeData-funktionen.
Figur: Opret V1nK38w.tmp fil
Figur: EncodeData-krypteringsfunktion
6. Opret en konfigurationsfil write.exe.config for at forhindre kompatibilitetsproblemer med forskellige .NET-versioner.
Figur: Opret write.exe.config
Figur :write.exe.config-indhold
7. Kør C:\ProgramData\AuthyFiles write.exe\ for at kalde den ondsindede PROPSYS.dll.
Figur: Udøvende write.exe
(3) PROPSYS.dll filanalyse bruger DecodeData-funktionen til at dekryptere V1nK38w.tmp og indlæse eksekveringen V1nK38w.tmp efter dekryptering.
Figur: Indlæsning af udførelsen V1nK38w.tmp
Figur: DecodeData-dekrypteringsfunktion
(4) V1nK38w.tmp filanalyse V1Nk38w.tmp hovedsageligt at stjæle store mængder information og modtage instruktioner til eksekvering.
Figur: Hovedadfærd
1. Indlæs den indledende konfiguration, som som standard er dekrypteret i ressourcen. Konfigurationsindholdet er URL'en, den midlertidige mappe for den uploadede fil og stjælingen af det angivne filendelse (doc, docx, xls, xlsx, pdf, ppt, pptx).
Figur: Indlæsningskonfiguration
Figur: Dekrypteret standardressourceinformation
2. Konfigurationen krypteres ved hjælp af EncodeData-funktionen og gemmes i registret HKCU\Sotfware\Authy.
Figur: Konfigurationsinformation krypteret i registret
3. Besøg den angivne adresse for at downloade filen og vælg URL'en i konfigurationsinformationen først, hvis ikke, vælg standard-URL'en:https://trans-can.net/ini/thxqfL ... Mvr/-1/1291/f8ad26b。
Figur: Download data
4. Integrer den stjålne information i en fil, filen hedder: tilfældig streng + specifikt suffiks, og dataindholdet gemmes i den midlertidige mappe i klartekst.
Billedet: Tyveri af informationsfiler
Filer med suffikset .sif gemmer primært systeminformation, installationsinformation, diskinformation osv.
Figur: Information gemt af suffikset .sif
Systeminformationen, der opnås, er som følger:
Suffikset er .fls.
Tabel: Informationspost
Figur: Lagerinformation for suffikset .fls
En fil med suffikset .flc registrerer oplysningerne om alle drevbogstaver samt mappe- og filoplysningerne under drevbogstavet. Følgende tabel viser de drevbogstavoplysninger, som angriberen ønsker at opnå:
Den mappeinformation, angriberen ønsker at opnå, er som følger:
De filoplysninger, angriberen ønsker at få fat i, er som følger:
Fanger undtagelser under programudførelse og logger undtagelsesinformation til en fil med .err-endelsen.
Figur: At fange en undtagelse
5. Opdater konfigurationsdataene, der er gemt i registret: Gennemgår først systemet for at finde filer med samme suffiks som et specifikt suffiks, derefter læs og dekrypter konfigurationsdataene fra registret HKCU\Sotfware\Authy, tilføj navn og sti for de fundne filer til konfigurationsdataene, og endelig krypter konfigurationsoplysningerne for at fortsætte med at gemme registret.
Figur: Find en specifik suffiksfil
Figur: Registrer stien for det dokument, der skal uploades.
Figur: Upload et angivet suffiksdokument
6. Opdater konfigurationsdataene, der er gemt i registret: Opdater informationen fra den uploadede fil til registreringsdatabasens konfigurationsdata.
Figur: Dekrypterede konfigurationsoplysninger i registreringsdatabasen
7. Komprimer og upload alt dataindhold i den specifikke suffiksfil, der er registreret i registreringskonfigurationsinformationen.
Figur: Upload en suffiksfil
8. Upload filer med sif, flc, err og fls suffikser i staging-mappen.
Figur: Upload filer
4. Resumé
De to angreb var ikke langt fra hinanden, og målene for angrebene var både rettet mod følsomme områder og relevante institutioner i Kina, og formålet med angrebet var primært at stjæle privat information inden for organisationen for at udforme en målrettet næste angrebsplan. De fleste af de nyligt afslørede Sidewinder-angreb var rettet mod Pakistan og sydøstasiatiske lande, men disse to angreb var rettet mod Kina, hvilket indikerer, at gruppens angrebsmål har ændret sig og øget angrebene på Kina. Dette år falder sammen med 70-året for grundlæggelsen af vores land, og relevante indenlandske myndigheder og virksomheder skal være meget opmærksomme på dette og styrke forebyggende foranstaltninger.
5. Forebyggende tiltag
1. Åbn ikke mistænkelige e-mails eller download mistænkelige vedhæftede filer. Den første indgang til sådanne angreb er som regel phishing-mails, som er meget forvirrende, så brugerne skal være årvågne, og virksomheder bør styrke træningen i medarbejdernes netværkssikkerhed.
2. Udrul gateway-sikkerhedsprodukter såsom netværkssikkerhedssystemer, situationsbevidsthed og tidlig varsling. Gateway-sikkerhedsprodukter kan bruge trusselsintelligens til at spore trusselsadfærdens forløb, hjælpe brugere med at analysere trusselsadfærd, lokalisere trusselskilder og formål, spore angrebsveje og midler, løse netværkstrusler fra kilden og opdage de angrebne noder i størst muligt omfang, hvilket hjælper virksomheder med at reagere og håndtere dem hurtigere.
3. Installere effektiv antivirussoftware til at blokere og dræbe ondsindede dokumenter og trojanske vira. Hvis brugeren ved et uheld downloader et ondsindet dokument, kan antivirusprogrammet blokere og dræbe det, forhindre virussen i at køre og beskytte brugerens terminalsikkerhed.
4. Patchsystem-patches og vigtige softwarepatches i tide.
6. IOC-information
MD5
D83B3586393CAB724519B27B9857A4B237166FA93D776147E545AAD7E30B41608FD10BD711AB374E8DE9841CF8824758D4C3963B11E1732E1419ADF5F404E50C58DE7C0DF5BD677E1A3CDC099019015DA94BE8863E607DC7988F34F9073099168444A5850EEBA282 4D7C9BAD9189FF7E
URL
https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5https://trans-can.net/ini/Wsx8Gb ... 31878/1346/cab43a7f
|
Opslået på 21/09/2019 09.15.59
|
|
|
