06-09-2019 1. Introducción de antecedentes Recientemente, el Instituto de Investigación en Seguridad Emergente capturó dos ataques APT contra China, uno dirigido a embajadas de varios países en China y otro contra la oficina de representación de una empresa tecnológica en el extranjero. Una vez que un usuario abre un documento de phishing, el ordenador será controlado remotamente por el atacante, lo que resultará en el robo de datos confidenciales internos como información del sistema informático, instaladores e información de disco. Se entiende que el ataque de la APT fue lanzado por la organización internacionalmente reconocida "Sidewinder", que ha lanzado numerosos ataques contra Pakistán y países del sudeste asiático, pero los dos últimos ataques de la APT han apuntado frecuentemente a China, uno disfrazado de Centro de Cooperación Militar en el Extranjero de la Oficina de Cooperación Militar Internacional del Ministerio de Defensa Nacional, y envió falsas invitaciones a agregados militares de embajadas en China; El otro fue un ataque a la oficina de representación en el extranjero de una empresa tecnológica, al que el atacante envió un manual falso de seguridad y confidencialidad.
En la foto: Documentos de phishing disfrazados de Ministerio de Defensa
Según el análisis del Instituto de Investigación de Seguridad Emergente, aunque los objetivos y el contenido de estos dos ataques son diferentes de los métodos técnicos utilizados por los atacantes, se concluye que mantiene una gran relación con la organización APT "Sidewinder", cuyo principal objetivo es robar información confidencial en los ámbitos del gobierno, energía, militar, minerales y otros ámbitos. El ataque utilizó correos electrónicos falsos como cebo para enviar correos de phishing relacionados con embajadas chinas y empresas tecnológicas en el extranjero, utilizando la vulnerabilidad de ejecución remota de código de Office (CVE-2017-11882) para enviar correos electrónicos de phishing relacionados con embajadas chinas y empresas tecnológicas, con el objetivo de robar datos confidenciales importantes, información de privacidad y tecnología de investigación científica y tecnológica en nuestro país. 2. Proceso de ataque
Figura: Flujo de ataque
3. Análisis de correos electrónicos de phishing (1) Documento de cebo 1. Un documento disfrazado de carta de invitación enviada por el Centro de Cooperación en Seguridad Militar en el Extranjero de la Oficina de Cooperación Militar Internacional del Ministerio de Defensa Nacional al agregado militar de las embajadas de varios países en China.
Figura: Documento de cebo
(2) El contenido del documento de cebo 2 está relacionado con la revisión del manual de trabajo de seguridad y confidencialidad de la oficina representativa de una empresa tecnológica en el extranjero.
Figura: Contenido del documento
(3) Análisis detallado Ambos documentos señuelo incrustan un objeto llamado "Wrapper Shell Object" al final, y el atributo del objeto apunta al archivo 1.a en el directorio %temp%. Así que, abrir el documento liberará el archivo 1.a escrito por el script JaveScript en el directorio %temp%.
Figura: Propiedades del objeto
El documento señuelo explota entonces la vulnerabilidad CVE-2017-11882 para activar la ejecución 1.a del shellcode.
Figura: shellcode
El proceso de shellcode es el siguiente: descifrar un script JavaScript a través de XOR 0x12, y la función principal de este script es ejecutar el archivo 1.a en el directorio %temp%.
Figura: script cifrado JavaScript
Figura: Script JavaScript descifrado
ShellCode cambiará los argumentos de línea de comandos del editor de fórmulas por un script JavaScript y usará la función RunHTMLApplication para ejecutar el script.
Figura: Reemplazar la línea de comandos
Figura: Ejecutando JavaScript
3. Análisis de virus (1) 1.a El análisis de archivos 1.a se genera a través de la herramienta de código abierto DotNetToJScript, y su función principal es ejecutar archivos DLL .net a través de la memoria de scripts JavaScript. El script primero descifra el archivo StInstaller.dll y refleja la carga de la función de trabajo en esa DLL. La función de trabajo descifra los parámetros entrantes x (parámetro 1) y y (parámetro 2), y tras el descifrado, x es PROPSYS.dll y y es V1nK38w.tmp.
Figura: 1.a Contenido del guion
(2) StInstaller.dll análisis de archivos StInstaller.dll es un programa .NET que crea un directorio de trabajo C:\ProgramData\AuthyFiles, y luego libera 3 archivos en el directorio de trabajo, a saber, PROPSYS.dll, V1nK38w.tmp y write.exe.config, y coloca el programa WordPad en el directorio del sistema (write.exe) Copia en ese directorio. Ejecuta write.exe (archivo blanco) para cargar el PROPSYS.dll (archivo negro) en el mismo directorio y ejecuta el código malicioso por blanco y negro.
Figura: función de trabajo
El siguiente es el proceso detallado: 1. Llamar a la función de descifrado xorIt en la función de trabajo para obtener 3 datos de configuración importantes, a saber, el nombre de directorio de trabajo AuthyFiles y el nombre de dominiohttps://trans-can.nety establecer el nombre clave del registro authy.
Figura: Datos descifrados
Figura: función de descifrado xorIt
2. Crear un directorio de trabajo C:\ProgramData\AuthyFiles, copiar los archivos del sistema write.exe al directorio de trabajo y configurarlo para arranque automático.
Figura: Creando archivos de authy y write.exe
3. Liberar un archivo V1nK38w.tmp de nombre aleatorio en el directorio de trabajo. 4. Libera el PROPSYS.dll en el directorio de trabajo y actualiza el nombre del archivo donde quieres cargar el programa a continuación en el V1nK38w.tmp.
Figura: Creación PROPSYS.dll
5. Enlaza la URL completa empalmada:https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5Escribe en V1nK38w.tmp archivo. El archivo se cifra entonces usando la función EncodeData.
Figura: Crear V1nK38w.tmp archivo
Figura: Función de cifrado EncodeData
6. Crear un archivo de configuración write.exe.config para evitar problemas de compatibilidad con diferentes versiones de .NET.
Figura: Crear write.exe.config
Figura contenido de :write.exe.config
7. Ejecutar C:\ProgramData\AuthyFiles\write.exe para llamar al PROPSYS.dll malicioso.
Figura: write.exe ejecutivo
(3) PROPSYS.dll análisis de archivos utiliza la función DecodeData para descifrar el V1nK38w.tmp y cargar la V1nK38w.tmp de ejecución tras el descifrado.
Figura: Cargando el V1nK38w.tmp de ejecución
Figura: Función de descifrado DecodeData
(4) V1nK38w.tmp análisis de archivos V1Nk38w.tmp principalmente robar una gran cantidad de información y recibir instrucciones para su ejecución.
Figura: Comportamiento principal
1. Cargar la configuración inicial, que se descifra por defecto en el recurso. El contenido de configuración es la URL, el directorio temporal del archivo subido y el robo del sufijo especificado (doc, docx, xls, xlsx, pdf, ppt, pptx).
Figura: Configuración de carga
Figura: Información de recursos por defecto descifrada
2. La configuración se cifra usando la función EncodeData y se almacena en el registro HKCU\Sotfware\Authy.
Figura: Información de configuración cifrada en el registro
3. Visita la dirección especificada para descargar el archivo y selecciona primero la URL en la información de configuración; si no, selecciona la URL predeterminada:https://trans-can.net/ini/thxqfL ... Mvr/-1/1291/f8ad26b。
Figura: Descarga de datos
4. Integrar la información robada en un archivo, el archivo se nombra: cadena aleatoria + sufijo específico, y el contenido de los datos se almacena en el directorio temporal en texto plano.
En la foto: Robando archivos de información
Los archivos con el sufijo .sif almacenan principalmente información del sistema, información del instalador, información del disco, etc.
Figura: Información almacenada mediante el sufijo .sif
La información del sistema obtenida es la siguiente:
El sufijo es .fls.
Tabla: Registro de información
Figura: Información de almacenamiento para el sufijo .fls
Un archivo con el sufijo .flc registra la información de todas las letras de unidad y la información del directorio y archivo bajo la letra de unidad. La siguiente tabla muestra la información de la letra de unidad que el atacante quiere obtener:
La información del directorio que el atacante quiere obtener es la siguiente:
La información del archivo que el atacante quiere obtener es la siguiente:
Detecta excepciones en la ejecución del programa y registra la información de excepciones en un archivo con el sufijo .err.
Figura: Capturando una excepción
5. Actualizar los datos de configuración almacenados en el registro: Primero, recorrer el sistema para encontrar archivos con el mismo sufijo que un sufijo específico, luego leer y descifrar los datos de configuración del registro HKCU\Sotfware\Authy, añadir el nombre y la ruta de los archivos encontrados a los datos de configuración y, finalmente, cifrar la información de configuración para seguir almacenando el registro.
Figura: Encuentra un archivo de sufijos específico
Figura: Registrar la ruta del documento a subir
Figura: Sube un documento sufijo especificado
6. Actualizar los datos de configuración almacenados en el registro: Actualizar la información del archivo subido a los datos de configuración del registro.
Figura: Información de configuración descifrada en el registro
7. Comprimir y subir todo el contenido de datos del archivo sufijo específico registrado en la información de configuración del registro.
Figura: Subir un archivo sufijo
8. Sube archivos con los sufijos sif, flc, err y fls en el directorio de staging.
Figura: Subir archivos
4. Resumen
Los dos ataques no tuvieron mucho tiempo de diferencia, y los objetivos de los ataques estaban dirigidos a zonas sensibles e instituciones relevantes en China, y el objetivo principal del ataque era robar información privada dentro de la organización para formular un plan de ataque objetivo para el siguiente ataque. La mayoría de los ataques recientemente revelados con Sidewinder tenían como objetivo Pakistán y países del sudeste asiático, pero estos dos ataques tenían como objetivo China, lo que indica que los objetivos del grupo han cambiado y han aumentado sus ataques contra China. Este año coincide con el 70º aniversario de la fundación de nuestro país, y las agencias gubernamentales y empresas nacionales pertinentes deben prestarle gran atención y reforzar las medidas preventivas.
5. Medidas preventivas
1. No abrir correos electrónicos sospechosos ni descargar archivos adjuntos sospechosos. La entrada inicial a estos ataques suele ser los correos electrónicos de phishing, que son muy confusos, por lo que los usuarios deben estar atentos y las empresas deben reforzar la formación en concienciación sobre seguridad de redes de los empleados.
2. Desplegar productos de seguridad de pasarela como sistemas de conciencia situacional y alerta temprana de seguridad en red. Los productos de seguridad de pasarela pueden utilizar inteligencia de amenazas para rastrear la trayectoria del comportamiento de las amenazas, ayudar a los usuarios a analizar el comportamiento, localizar fuentes y propósitos de amenaza, rastrear los medios y trayectorias de los ataques, resolver amenazas de red desde la fuente y descubrir los nodos atacados en la mayor medida posible, ayudando a las empresas a responder y gestionarlas más rápido.
3. Instalar un antivirus eficaz para bloquear y eliminar documentos maliciosos y virus troyanos. Si el usuario descarga accidentalmente un documento malicioso, el antivirus puede bloquearlo y matarlo, impedir que el virus se ejecute y proteger la seguridad del terminal del usuario.
4. Parchear parches del sistema y parches de software importantes con el tiempo.
6. Información del COI
MD5
D83B3586393CAB724519B27B9857A4B237166FA93D776147E545AAD7E30B41608FD10BD711AB374E8DE9841CF8824758D4C3963B11E1732E1419ADF5F404E50C58DE7C0DF5BD677E1A3CDC099019015DA94BE8863E607DC7988F34F9073099168444A5850EEBA282 4D7C9BAD9189FF7E
URL
https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5https://trans-can.net/ini/Wsx8Gb ... 31878/1346/cab43a7f
|
Publicado en 21/9/2019 9:15:59
|
|
|
