2019-09-06 1. Ιστορικό Εισαγωγή Πρόσφατα, το Rising Security Research Institute κατέγραψε δύο επιθέσεις APT εναντίον της Κίνας, η μία στόχευε τις πρεσβείες διαφόρων χωρών στην Κίνα και η άλλη στόχευε το γραφείο αντιπροσωπείας μιας εταιρείας τεχνολογίας στο εξωτερικό. Μόλις ένας χρήστης ανοίξει ένα έγγραφο phishing, ο υπολογιστής θα ελέγχεται εξ αποστάσεως από τον εισβολέα, με αποτέλεσμα την κλοπή εσωτερικών εμπιστευτικών δεδομένων, όπως πληροφορίες συστήματος υπολογιστή, προγράμματα εγκατάστασης και πληροφορίες δίσκου. Είναι κατανοητό ότι η επίθεση APT εξαπολύθηκε από τη διεθνούς φήμης οργάνωση «Sidewinder», η οποία έχει εξαπολύσει πολλές επιθέσεις στο Πακιστάν και τις χώρες της Νοτιοανατολικής Ασίας, αλλά οι δύο τελευταίες επιθέσεις APT έδειχναν συχνά την Κίνα, η μία είναι μεταμφιεσμένη ως Κέντρο Συνεργασίας Στρατιωτικής Ασφάλειας στο εξωτερικό του Γραφείου Διεθνούς Στρατιωτικής Συνεργασίας του Υπουργείου Εθνικής Άμυνας και έστειλε ψευδείς προσκλήσεις σε στρατιωτικούς ακολούθους πρεσβειών στην Κίνα. Το άλλο ήταν μια επίθεση στο γραφείο αντιπροσωπείας μιας εταιρείας τεχνολογίας στο εξωτερικό, στην οποία ο εισβολέας έστειλε ένα ψεύτικο εγχειρίδιο ασφάλειας και εμπιστευτικότητας.
Στη φωτογραφία: Έγγραφα phishing μεταμφιεσμένα ως Υπουργείο Άμυνας
Σύμφωνα με την ανάλυση του Rising Security Research Institute, αν και οι στόχοι και το περιεχόμενο αυτών των δύο επιθέσεων είναι διαφορετικά, από τις τεχνικές μεθόδους που χρησιμοποιούν οι επιτιθέμενοι, συμπεραίνεται ότι έχει εξαιρετική σχέση με τον οργανισμό APT "Sidewinder", ο οποίος έχει κύριο σκοπό την κλοπή εμπιστευτικών πληροφοριών στους τομείς της κυβέρνησης, της ενέργειας, του στρατού, των ορυκτών και άλλων τομέων. Η επίθεση χρησιμοποίησε ψεύτικα μηνύματα ηλεκτρονικού ταχυδρομείου ως δόλωμα για την αποστολή μηνυμάτων ηλεκτρονικού ψαρέματος που σχετίζονται με κινεζικές πρεσβείες και επιχειρήσεις τεχνολογίας στο εξωτερικό, χρησιμοποιώντας την ευπάθεια απομακρυσμένης εκτέλεσης κώδικα του Office (CVE-2017-11882) για την αποστολή μηνυμάτων ηλεκτρονικού ψαρέματος που σχετίζονται με κινεζικές πρεσβείες και επιχειρήσεις τεχνολογίας, με στόχο την κλοπή σημαντικών εμπιστευτικών δεδομένων, πληροφοριών απορρήτου και τεχνολογίας επιστημονικής και τεχνολογικής έρευνας στη χώρα μας. 2. Διαδικασία επίθεσης
Εικόνα: Ροή επίθεσης
3. Ανάλυση μηνυμάτων ηλεκτρονικού ψαρέματος (1) Έγγραφο δόλωμα 1. Ένα έγγραφο μεταμφιέζεται ως επιστολή πρόσκλησης που αποστέλλεται από το Κέντρο Συνεργασίας Στρατιωτικής Ασφάλειας στο εξωτερικό του Γραφείου Διεθνούς Στρατιωτικής Συνεργασίας του Υπουργείου Εθνικής Άμυνας στον στρατιωτικό ακόλουθο των πρεσβειών διαφόρων χωρών στην Κίνα.
Εικόνα: Έγγραφο δολώματος
(2) Το περιεχόμενο του εγγράφου δόλωμα 2 σχετίζεται με την αναθεώρηση του εγχειριδίου εργασίας ασφάλειας και εμπιστευτικότητας του γραφείου αντιπροσωπείας εταιρείας τεχνολογίας στο εξωτερικό.
Εικόνα: Περιεχόμενο εγγράφου
(3) Λεπτομερής ανάλυση Και τα δύο έγγραφα δόλωμα ενσωματώνουν ένα αντικείμενο που ονομάζεται "Wrapper Shell Object" στο τέλος και το χαρακτηριστικό αντικειμένου δείχνει στο αρχείο 1.a στον κατάλογο %temp%. Έτσι, ανοίγοντας το έγγραφο θα απελευθερωθεί το αρχείο 1.a που γράφτηκε από το σενάριο JaveScript στον κατάλογο %temp%.
Εικόνα: Ιδιότητες αντικειμένου
Στη συνέχεια, το έγγραφο δόλωμα εκμεταλλεύεται την ευπάθεια CVE-2017-11882 για να ενεργοποιήσει την εκτέλεση κώδικα κελύφους 1.α.
Σχήμα: shellcode
Η διαδικασία shellcode είναι η εξής: Αποκρυπτογραφήστε ένα σενάριο JavaScript μέσω του XOR 0x12 και η κύρια λειτουργία αυτού του σεναρίου είναι να εκτελέσει το αρχείο 1.a στον κατάλογο %temp%.
Εικόνα: Κρυπτογραφημένο κείμενο σεναρίου JavaScript
Εικόνα: Αποκρυπτογραφημένο σενάριο JavaScript
Το ShellCode θα αλλάξει τα ορίσματα της γραμμής εντολών του επεξεργαστή τύπων σε σενάριο JavaScript και θα χρησιμοποιήσει τη συνάρτηση RunHTMLApplication για την εκτέλεση του σεναρίου.
Εικόνα: Αντικατάσταση της γραμμής εντολών
Εικόνα: Εκτέλεση JavaScript
3. Ανάλυση ιών (1) 1.α Ανάλυση αρχείου Το 1.a δημιουργείται μέσω του εργαλείου ανοιχτού κώδικα DotNetToJScript και η κύρια λειτουργία του είναι να εκτελεί αρχεία .net DLL μέσω της μνήμης σεναρίων JavaScript. Το σενάριο αποκρυπτογραφεί πρώτα το αρχείο StInstaller.dll και αντικατοπτρίζει το φορτίο της συνάρτησης εργασίας σε αυτό το DLL. Η συνάρτηση εργασίας αποκρυπτογραφεί τις εισερχόμενες παραμέτρους x (παράμετρος 1) και y (παράμετρος 2) και μετά την αποκρυπτογράφηση, το x είναι PROPSYS.dll και το y είναι V1nK38w.tmp.
Εικόνα: 1.α περιεχόμενο σεναρίου
(2) StInstaller.dll ανάλυση αρχείων StInstaller.dll είναι ένα πρόγραμμα .NET, το οποίο θα δημιουργήσει έναν κατάλογο εργασίας C:\ProgramData\AuthyFiles και, στη συνέχεια, θα απελευθερώσει 3 αρχεία στον κατάλογο εργασίας, δηλαδή τα PROPSYS.dll, V1nK38w.tmp και write.exe.config, και θα τοποθετήσει το πρόγραμμα WordPad στον κατάλογο συστήματος (write.exe) Αντιγράψτε σε αυτόν τον κατάλογο. Εκτελέστε write.exe (λευκό αρχείο) για να φορτώσετε το PROPSYS.dll (μαύρο αρχείο) στον ίδιο κατάλογο και εκτελέστε τον κακόβουλο κώδικα με λευκό και μαύρο.
Σχήμα: λειτουργία εργασίας
Ακολουθεί η λεπτομερής διαδικασία: 1. Καλέστε τη συνάρτηση αποκρυπτογράφησης xorIt στη συνάρτηση εργασίας για να λάβετε 3 σημαντικά δεδομένα διαμόρφωσης, δηλαδή το όνομα καταλόγου εργασίας AuthyFiles και το όνομα τομέαhttps://trans-can.netκαι ορίστε το όνομα κλειδιού μητρώου authy.
Εικόνα: Αποκρυπτογραφημένα δεδομένα
Εικόνα: Λειτουργία αποκρυπτογράφησης xorIt
2. Δημιουργήστε έναν κατάλογο εργασίας C:\ProgramData\AuthyFiles, αντιγράψτε τα αρχεία συστήματος write.exe στον κατάλογο εργασίας και ρυθμίστε τον να εκκινεί την αυτόματη εκκίνηση.
Εικόνα: Δημιουργία AuthyFiles και write.exe
3. Απελευθερώστε ένα αρχείο με τυχαία ονομασία V1nK38w.tmp στον κατάλογο εργασίας. 4. Απελευθερώστε το PROPSYS.dll στον κατάλογο εργασίας και ενημερώστε το όνομα αρχείου του αρχείου όπου θέλετε να φορτώσετε το πρόγραμμα στη συνέχεια στο V1nK38w.tmp αρχείων.
Εικόνα: Δημιουργία PROPSYS.dll
5. Συνδέστε την πλήρη διεύθυνση URL που έχει συνδεθεί:https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5Γράψτε σε V1nK38w.tmp αρχείο. Στη συνέχεια, το αρχείο κρυπτογραφείται χρησιμοποιώντας τη συνάρτηση EncodeData.
Εικόνα: Δημιουργία αρχείου V1nK38w.tmp
Εικόνα: Κωδικοποίηση Λειτουργία κρυπτογράφησης δεδομένων
6. Δημιουργήστε ένα αρχείο διαμόρφωσης write.exe.config για να αποτρέψετε προβλήματα συμβατότητας με διαφορετικές εκδόσεις .NET.
Εικόνα: Δημιουργία write.exe.config
Εικόνα :write.exe.config περιεχόμενο
7. Εκτελέστε το C:\ProgramData\AuthyFiles\write.exe για να καλέσετε την κακόβουλη PROPSYS.dll.
Σχήμα: Εκτελεστικό write.exe
(3) PROPSYS.dll ανάλυση αρχείων χρησιμοποιεί τη συνάρτηση DecodeData για την αποκρυπτογράφηση του V1nK38w.tmp και τη φόρτωση του V1nK38w.tmp εκτέλεσης μετά την αποκρυπτογράφηση.
Εικόνα: Φόρτωση του V1nK38w.tmp εκτέλεσης
Εικόνα: Λειτουργία αποκρυπτογράφησης DecodeData
(4) V1nK38w.tmp ανάλυση αρχείων V1Nk38w.tmp κυρίως την κλοπή μεγάλου όγκου πληροφοριών και τη λήψη οδηγιών για εκτέλεση.
Εικόνα: Κύρια συμπεριφορά
1. Φορτώστε την αρχική διαμόρφωση, η οποία αποκρυπτογραφείται από προεπιλογή στον πόρο. Το περιεχόμενο διαμόρφωσης είναι η διεύθυνση URL, ο προσωρινός κατάλογος του μεταφορτωμένου αρχείου και η κλοπή του καθορισμένου επιθέματος αρχείου (doc, docx, xls, xlsx, pdf, ppt, pptx).
Εικόνα: Φόρτωση διαμόρφωσης
Εικόνα: Αποκρυπτογραφημένες προεπιλεγμένες πληροφορίες πόρων
2. Η διαμόρφωση κρυπτογραφείται χρησιμοποιώντας τη συνάρτηση EncodeData και αποθηκεύεται στο μητρώο HKCU\Sotfware\Authy.
Εικόνα: Πληροφορίες διαμόρφωσης κρυπτογραφημένες στο μητρώο
3. Επισκεφτείτε την καθορισμένη διεύθυνση για λήψη του αρχείου και επιλέξτε πρώτα τη διεύθυνση URL στις πληροφορίες διαμόρφωσης, εάν όχι, επιλέξτε την προεπιλεγμένη διεύθυνση URL:https://trans-can.net/ini/thxqfL ... Mvr/-1/1291/f8ad26b。
Εικόνα: Λήψη δεδομένων
4. Ενσωματώστε τις κλεμμένες πληροφορίες σε ένα αρχείο, το αρχείο ονομάζεται: τυχαία συμβολοσειρά + συγκεκριμένο επίθημα και το περιεχόμενο δεδομένων αποθηκεύεται στον προσωρινό κατάλογο σε απλό κείμενο.
Στη φωτογραφία: Κλοπή αρχείων πληροφοριών
Τα αρχεία με το επίθημα .sif αποθηκεύουν κυρίως πληροφορίες συστήματος, πληροφορίες εγκατάστασης, πληροφορίες δίσκου κ.λπ.
Εικόνα: Πληροφορίες που αποθηκεύονται από το επίθημα .sif
Οι πληροφορίες συστήματος που λαμβάνονται είναι οι εξής:
Το επίθημα είναι .fls.
Πίνακας: Αρχείο πληροφοριών
Εικόνα: Πληροφορίες αποθήκευσης για το επίθημα .fls
Ένα αρχείο με το επίθημα .flc καταγράφει τις πληροφορίες όλων των γραμμάτων της μονάδας δίσκου και τις πληροφορίες καταλόγου και αρχείου κάτω από το γράμμα της μονάδας δίσκου. Ο παρακάτω πίνακας εμφανίζει τις πληροφορίες του γράμματος μονάδας δίσκου που θέλει να αποκτήσει ο εισβολέας:
Οι πληροφορίες καταλόγου που θέλει να αποκτήσει ο εισβολέας είναι οι εξής:
Οι πληροφορίες αρχείου που θέλει να αποκτήσει ο εισβολέας είναι οι εξής:
Εντοπίζει εξαιρέσεις στην εκτέλεση του προγράμματος και καταγράφει πληροφορίες εξαίρεσης σε ένα αρχείο με το επίθημα .err.
Εικόνα: Πιάνοντας μια εξαίρεση
5. Ενημερώστε τα δεδομένα διαμόρφωσης που είναι αποθηκευμένα στο μητρώο: Αρχικά, διασχίστε το σύστημα για να βρείτε αρχεία με το ίδιο επίθημα με ένα συγκεκριμένο επίθημα και, στη συνέχεια, διαβάστε και αποκρυπτογραφήστε τα δεδομένα διαμόρφωσης από το μητρώο HKCU\Sotfware\Authy, προσθέστε το όνομα και τη διαδρομή των αρχείων που βρέθηκαν στα δεδομένα διαμόρφωσης και, τέλος, κρυπτογραφήστε τις πληροφορίες διαμόρφωσης για να συνεχίσετε την αποθήκευση του μητρώου.
Εικόνα: Βρείτε ένα συγκεκριμένο αρχείο επιθήματος
Εικόνα: Καταγράψτε τη διαδρομή του εγγράφου που πρόκειται να μεταφορτωθεί
Εικόνα: Ανεβάστε ένα καθορισμένο έγγραφο επιθήματος
6. Ενημερώστε τα δεδομένα διαμόρφωσης που είναι αποθηκευμένα στο μητρώο: Ενημερώστε τις πληροφορίες του μεταφορτωμένου αρχείου στα δεδομένα διαμόρφωσης μητρώου.
Εικόνα: Αποκρυπτογραφημένες πληροφορίες διαμόρφωσης στο μητρώο
7. Συμπιέστε και μεταφορτώστε όλο το περιεχόμενο δεδομένων του συγκεκριμένου αρχείου επιθήματος που έχει καταγραφεί στις πληροφορίες διαμόρφωσης μητρώου.
Εικόνα: Ανεβάστε ένα αρχείο επιθήματος
8. Μεταφορτώστε αρχεία με επιθήματα sif, flc, err και fls στον κατάλογο σταδιοποίησης.
Εικόνα: Μεταφόρτωση αρχείων
4. Σύνοψη
Οι δύο επιθέσεις δεν απείχαν πολύ μεταξύ τους και οι στόχοι των επιθέσεων στόχευαν και οι δύο ευαίσθητες περιοχές και σχετικούς θεσμούς στην Κίνα και ο σκοπός της επίθεσης ήταν κυρίως η κλοπή προσωπικών πληροφοριών εντός του οργανισμού, ώστε να διαμορφωθεί ένα στοχευμένο επόμενο σχέδιο επίθεσης. Οι περισσότερες από τις επιθέσεις Sidewinder που αποκαλύφθηκαν πρόσφατα στόχευαν το Πακιστάν και τις χώρες της Νοτιοανατολικής Ασίας, αλλά αυτές οι δύο επιθέσεις στόχευαν την Κίνα, υποδεικνύοντας ότι οι στόχοι επίθεσης της ομάδας έχουν αλλάξει και έχουν αυξήσει τις επιθέσεις της στην Κίνα. Φέτος συμπίπτει με την 70ή επέτειο από την ίδρυση της χώρας μας και οι αρμόδιοι εγχώριοι κρατικοί φορείς και επιχειρήσεις πρέπει να δώσουν μεγάλη προσοχή σε αυτό και να ενισχύσουν τα προληπτικά μέτρα.
5. Προληπτικά μέτρα
1. Μην ανοίγετε ύποπτα email και μην κάνετε λήψη ύποπτων συνημμένων. Η αρχική είσοδος σε τέτοιες επιθέσεις είναι συνήθως μηνύματα ηλεκτρονικού ψαρέματος, τα οποία προκαλούν μεγάλη σύγχυση, επομένως οι χρήστες πρέπει να είναι προσεκτικοί και οι επιχειρήσεις θα πρέπει να ενισχύσουν την εκπαίδευση ευαισθητοποίησης για την ασφάλεια του δικτύου των εργαζομένων.
2. Αναπτύξτε προϊόντα ασφάλειας πύλης, όπως συστήματα επίγνωσης της κατάστασης ασφάλειας δικτύου και έγκαιρης προειδοποίησης. Τα προϊόντα ασφαλείας πύλης μπορούν να χρησιμοποιήσουν ευφυΐα απειλών για να εντοπίσουν την τροχιά της συμπεριφοράς απειλών, να βοηθήσουν τους χρήστες να αναλύσουν τη συμπεριφορά απειλών, να εντοπίσουν πηγές και σκοπούς απειλών, να εντοπίσουν τα μέσα και τις διαδρομές των επιθέσεων, να επιλύσουν απειλές δικτύου από την πηγή και να ανακαλύψουν τους κόμβους που δέχονται επίθεση στο μέγιστο βαθμό, βοηθώντας τις επιχειρήσεις να ανταποκριθούν και να τις αντιμετωπίσουν πιο γρήγορα.
3. Εγκαταστήστε αποτελεσματικό λογισμικό προστασίας από ιούς για να αποκλείσετε και να σκοτώσετε κακόβουλα έγγραφα και ιούς Trojan. Εάν ο χρήστης κατεβάσει κατά λάθος ένα κακόβουλο έγγραφο, το λογισμικό προστασίας από ιούς μπορεί να το αποκλείσει και να το σκοτώσει, να αποτρέψει την εκτέλεση του ιού και να προστατεύσει την ασφάλεια του τερματικού του χρήστη.
4. Επιδιορθώστε έγκαιρα τις ενημερώσεις κώδικα συστήματος και τις σημαντικές ενημερώσεις κώδικα λογισμικού.
6. Πληροφορίες ΔΟΕ
ΜΔ5
D83B3586393CAB724519B27B9857A4B237166FA93D776147E545AAD7E30B41608FD10BD711AB374E8DE9841CF8824758D4C3963B11E1732E1419ADF5F404E50C58DE7C0DF5BD677E1A3CDC099019015DA94BE8863E607DC7988F34F9073099168444A5850EEBA282 4D7C9BAD9189FF7E
Διεύθυνση URL
https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5https://trans-can.net/ini/Wsx8Gb ... 31878/1346/cab43a7f
|
Δημοσιεύτηκε στις 21/9/2019 9:15:59 π.μ.
|
|
|
