2019-09-06 1. Hintergrund-Einführung Kürzlich verzeichnete das Rising Security Research Institute zwei APT-Angriffe gegen China, einer richtete sich gegen Botschaften verschiedener chinesischer Länder und der andere gegen das Vertretungsbüro eines Technologieunternehmens im Ausland. Sobald ein Nutzer ein Phishing-Dokument öffnet, wird der Computer vom Angreifer ferngesteuert, was zum Diebstahl interner vertraulicher Daten wie Systeminformationen, Installations- und Festplatteninformationen führt. Es wird angenommen, dass der APT-Angriff von der international renommierten Organisation "Sidewinder" gestartet wurde, die viele Angriffe auf Pakistan und südostasiatische Länder verübt hat, doch die letzten beiden APT-Anschläge bezogen sich häufig auf China; einer davon ist als Overseas Military Security Cooperation Center des International Military Cooperation Office des Verteidigungsministeriums getarnt und schickte falsche Einladungen an Militärattachés von Botschaften in China; Das andere war ein Angriff auf das Auslandsvertretungsbüro eines Technologieunternehmens, an das der Angreifer ein gefälschtes Sicherheits- und Vertraulichkeitshandbuch schickte.
Abgebildet: Phishing-Dokumente, getarnt als das Verteidigungsministerium,
Laut der Analyse des Rising Security Research Institute, obwohl die Ziele und Inhalte dieser beiden Angriffe von den technischen Methoden der Angreifer abweichen, wird geschlossen, dass es eine enge Beziehung zur APT-Organisation "Sidewinder" pflegt, die hauptsächlich darauf abzielt, vertrauliche Informationen in den Bereichen Regierung, Energie, Militär, Mineralien und anderen Bereichen zu stehlen. Der Angriff nutzte gefälschte E-Mails als Köder, um Phishing-E-Mails im Zusammenhang mit chinesischen Botschaften und Technologieunternehmen im Ausland zu senden, wobei die Office Remote Code Execution Schwachstelle (CVE-2017-11882) genutzt wurde, um Phishing-E-Mails an chinesische Botschaften und Technologieunternehmen zu senden, mit dem Ziel, wichtige vertrauliche Daten, Datenschutzinformationen sowie wissenschaftliche und technologische Forschungstechnologien in unserem Land zu stehlen. 2. Angriffsprozess
Abbildung: Angriffsfluss
3. Analyse von Phishing-E-Mails (1) Köderdokument 1. Ein Dokument ist als Einladungsschreiben getarnt, das vom Overseas Military Security Cooperation Center des International Military Cooperation Office des Verteidigungsministeriums an den Militärattaché der Botschaften verschiedener chinesischer Länder gesendet wurde.
Abbildung: Köderdokument
(2) Der Inhalt des Köderdokuments 2 bezieht sich auf die Überarbeitung des Sicherheits- und Vertraulichkeitshandbuchs der Repräsentantenbüros eines Technologieunternehmens im Ausland.
Abbildung: Dokumentinhalt
(3) Detaillierte Analyse Beide Täuschungsdokumente betten am Ende ein Objekt namens "Wrapper Shell Object" ein, und das Objektattribut verweist auf die 1.a-Datei im %temp%-Verzeichnis. Das Öffnen des Dokuments gibt also die 1.a-Datei frei, die vom JaveScript-Skript im %temp%-Verzeichnis geschrieben wurde.
Abbildung: Objekteigenschaften
Das Täuschungsdokument nutzt dann die Schwachstelle CVE-2017-11882 aus, um Shellcode-Ausführung 1.a auszulösen.
Abbildung: Shellcode
Der Shellcode-Prozess ist wie folgt: Entschlüsseln Sie ein JavaScript-Skript über XOR 0x12, und die Hauptfunktion dieses Skripts besteht darin, die Datei 1.a im %temp%-Verzeichnis auszuführen.
Abbildung: JavaScript-Skript-Chiffretext
Abbildung: Entschlüsseltes JavaScript-Skript
ShellCode ändert die Kommandozeilenargumente des Formeleditors in ein JavaScript-Skript und verwendet die Funktion RunHTMLApplication, um das Skript auszuführen.
Abbildung: Ersetzen Sie die Kommandozeile
Abbildung: JavaScript ausführen
3. Virenanalyse (1) 1.a Dateianalyse 1.a wird über das Open-Source-Tool DotNetToJScript generiert, und ihre Hauptfunktion besteht darin, .net-DLL-Dateien über JavaScript-Skriptspeicher auszuführen. Das Skript entschlüsselt zunächst die StInstaller.dll-Datei und spiegelt die Last der Arbeitsfunktion in dieser DLL wider. Die Arbeitsfunktion entschlüsselt die eingehenden Parameter x (Parameter 1) und y (Parameter 2), und nach der Entschlüsselung ist x PROPSYS.dll und y V1nK38w.tmp.
Abbildung: 1.a Skriptinhalt
(2) StInstaller.dll Dateianalyse StInstaller.dll ist ein .NET-Programm, das ein Arbeitsverzeichnis C:\ProgramData\AuthyFiles erstellt und dann 3 Dateien im Arbeitsverzeichnis freigibt, nämlich PROPSYS.dll, V1nK38w.tmp und write.exe.config, und das WordPad-Programm im Systemverzeichnis (write.exe) einlegt Kopieren Sie in dieses Verzeichnis. Führe write.exe (weiße Datei) aus, um die PROPSYS.dll (schwarze Datei) im selben Verzeichnis zu laden, und führe den bösartigen Code mit weiß und schwarz aus.
Abbildung: Arbeitsfunktion
Im Folgenden ist der detaillierte Prozess: 1. Rufen Sie die xorIt-Entschlüsselungsfunktion in der Arbeitsfunktion auf, um drei wichtige Konfigurationsdaten zu erhalten, nämlich den Arbeitsverzeichnisnamen AuthyFiles und den Domainnamenhttps://trans-can.netund setze den Registrierungsschlüssel Authy.
Abbildung: Entschlüsselte Daten
Abbildung: xorIt-Entschlüsselungsfunktion
2. Erstelle ein Arbeitsverzeichnis C:\ProgramData\AuthyFiles, kopiere die Systemdateien write.exe in das Arbeitsverzeichnis und stelle es auf Autoboot ein.
Abbildung: Erstellung von AuthyFiles und write.exe
3. Eine zufällig benannte Datei V1nK38w.tmp im Arbeitsverzeichnis freigeben. 4. Öffne die PROPSYS.dll im Arbeitsverzeichnis und aktualisiere den Dateinamen der Datei, an der du das Programm als Nächstes in der Datei V1nK38w.tmp laden möchtest.
Abbildung: Creation PROPSYS.dll
5. Verlinken Sie die vollständig zusammengeschnittene URL:https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5Schreibe in V1nK38w.tmp Datei. Die Datei wird dann mit der Funktion EncodeData verschlüsselt.
Abbildung: Erstellen Sie V1nK38w.tmp Datei
Abbildung: EncodeData-Verschlüsselungsfunktion
6. Erstellen Sie eine Konfigurationsdatei write.exe.config, um Kompatibilitätsprobleme mit verschiedenen .NET-Versionen zu vermeiden.
Abbildung: Erstellen Sie write.exe.config
Abbildung :write.exe.config-Inhalt
7. Führe C:\ProgramData\AuthyFiles\write.exe aus, um die bösartige PROPSYS.dll aufzurufen.
Abbildung: Executive write.exe
(3) PROPSYS.dll Dateianalyse verwendet die DecodeData-Funktion zur Entschlüsselung der V1nK38w.tmp und lädt die Ausführung V1nK38w.tmp nach der Entschlüsselung.
Abbildung: Die Ausführung wird geladen V1nK38w.tmp
Abbildung: DecodeData-Entschlüsselungsfunktion
(4) V1nK38w.tmp Dateianalyse V1Nk38w.tmp hauptsächlich darin, eine große Menge an Informationen zu stehlen und Anweisungen zur Ausführung zu erhalten.
Abbildung: Hauptverhalten
1. Lade die Anfangskonfiguration, die standardmäßig in der Ressource entschlüsselt wird. Der Konfigurationsinhalt ist die URL, das temporäre Verzeichnis der hochgeladenen Datei und der Diebstahl des angegebenen Dateisuffixes (doc, docx, xls, xlsx, pdf, ppt, pptx).
Abbildung: Ladekonfiguration
Abbildung: Entschlüsselte Standardressourceninformationen
2. Die Konfiguration wird mit der Funktion EncodeData verschlüsselt und in der Registry HKCU\Sotfware\Authy gespeichert.
Abbildung: Konfigurationsinformationen im Register verschlüsselt
3. Besuchen Sie die angegebene Adresse, um die Datei herunterzuladen, und wählen Sie zuerst die URL in den Konfigurationsinformationen aus, falls nicht, wählen Sie die Standard-URL:https://trans-can.net/ini/thxqfL ... Mvr/-1/1291/f8ad26b。
Abbildung: Daten herunterladen
4. Die gestohlenen Informationen in eine Datei integrieren, die Datei heißt: zufällige Zeichenkette + spezifisches Suffix, und der Dateninhalt wird im temporären Verzeichnis im Klartext gespeichert.
Abgebildet: Informationsdateien stehlen
Dateien mit dem Suffix .sif speichern hauptsächlich Systeminformationen, Installationsdaten, Festplatteninformationen usw.
Abbildung: Informationen, die durch das Suffix .sif gespeichert werden
Die erhaltenen Systeminformationen sind wie folgt:
Das Suffix ist .fls.
Tabelle: Informationsdatensatz
Abbildung: Speicherinformationen für das Suffix .fls
Eine Datei mit dem Suffix .flc speichert die Informationen aller Laufwerksbuchstaben sowie Verzeichnis- und Dateiinformationen unter dem Laufwerksbuchstaben. Die folgende Tabelle zeigt die Laufwerksbuchstabeninformationen, die der Angreifer erhalten möchte:
Die Verzeichnisinformationen, die der Angreifer erhalten möchte, sind wie folgt:
Die Dateiinformationen, die der Angreifer erhalten möchte, sind wie folgt:
Fängt Ausnahmen während der Programmausführung ab und protokolliert Ausnahmeinformationen in eine Datei mit dem Suffix .err.
Abbildung: Eine Ausnahme fangen
5. Aktualisieren Sie die im Register gespeicherten Konfigurationsdaten: Zuerst durchqueren Sie das System, um Dateien mit demselben Suffix wie ein bestimmtes Suffix zu finden, dann lesen und entschlüsseln Sie die Konfigurationsdaten aus der Registry HKCU\Sotfware\Authy, fügen Sie den Namen und Pfad der gefundenen Dateien zu den Konfigurationsdaten hinzu und verschlüsseln schließlich die Konfigurationsinformationen, um die Registry weiter zu speichern.
Abbildung: Finde eine bestimmte Suffixdatei
Abbildung: Zeichnen Sie den Pfad des zu hochladenden Dokuments auf
Abbildung: Laden Sie ein bestimmtes Suffixdokument hoch
6. Aktualisieren Sie die im Register gespeicherten Konfigurationsdaten: Aktualisieren Sie die Informationen der hochgeladenen Datei in die Registrierungskonfigurationsdaten.
Abbildung: Entschlüsselte Konfigurationsinformationen im Register
7. Komprimieren und laden Sie alle Dateninhalte der spezifischen Suffixdatei, die in den Registry-Konfigurationsinformationen eingezeichnet ist, hoch.
Abbildung: Laden Sie eine Suffixdatei hoch
8. Dateien mit den Suffixen sif, flc, err und fls im Staging-Verzeichnis hochladen.
Abbildung: Dateien hochladen
4. Zusammenfassung
Die beiden Angriffe lagen nicht lange auseinander, und die Ziele der Angriffe richteten sich sowohl auf sensible Bereiche als auch auf relevante Institutionen in China; der Zweck des Angriffs bestand hauptsächlich darin, private Informationen innerhalb der Organisation zu stehlen, um einen gezielten nächsten Angriffsplan zu formulieren. Die meisten der kürzlich enthüllten Sidewinder-Anschläge richteten sich gegen Pakistan und südostasiatische Länder, doch diese beiden Angriffe richteten sich gegen China, was darauf hindeutet, dass sich die Angriffsziele der Gruppe verändert und ihre Angriffe auf China verstärkt haben. Dieses Jahr fällt mit dem 70. Jubiläum der Gründung unseres Landes zusammen, und die zuständigen nationalen Behörden und Unternehmen müssen dem große Aufmerksamkeit schenken und präventive Maßnahmen stärken.
5. Vorbeugende Maßnahmen
1. Öffne keine verdächtigen E-Mails und lade keine verdächtigen Anhänge herunter. Der erste Einstieg in solche Angriffe sind meist Phishing-E-Mails, die sehr verwirrend sind, weshalb Nutzer wachsam sein müssen und Unternehmen die Schulungen zur Netzwerksicherheit der Mitarbeiter stärken sollten.
2. Gateway-Sicherheitsprodukte wie Netzwerksicherheit, Situationsbewusstsein und Frühwarnsysteme einzusetzen. Gateway-Sicherheitsprodukte können Bedrohungsinformationen nutzen, um den Verlauf des Bedrohungsverhaltens nachzuverfolgen, Nutzern bei der Analyse von Bedrohungsverhalten zu helfen, Bedrohungsquellen und -zwecke zu lokalisieren, die Mittel und Wege von Angriffen zu verfolgen, Netzwerkbedrohungen von der Quelle aus zu lösen und die angegriffenen Knoten bestmöglich zu entdecken, sodass Unternehmen schneller reagieren und mit ihnen umgehen können.
3. Effektive Antivirensoftware installieren, um bösartige Dokumente und Trojanerviren zu blockieren und zu beseitigen. Wenn der Nutzer versehentlich ein bösartiges Dokument herunterlädt, kann die Antivirensoftware es blockieren und töten, verhindern, dass der Virus läuft und die Terminalsicherheit des Nutzers schützen.
4. Patchsystem-Patches und wichtige Software-Patches im Laufe der Zeit.
6. Informationen des IOC
MD5
D83B3586393CAB724519B27B9857A4B237166FA93D776147E545AAD7E30B41608FD10BD711AB374E8DE9841CF8824758D4C3963B11E1732E1419ADF5F404E50C58DE7C0DF5BD677E1A3CDC099019015DA94BE8863E607DC7988F34F9073099168444A5850EEBA282 4D7C9BAD9189FF7E
URL
https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5https://trans-can.net/ini/Wsx8Gb ... 31878/1346/cab43a7f
|
Veröffentlicht am 21.09.2019 09:15:59
|
|
|
