2019-09-06 1. Taust Sissejuhatus Hiljuti tabas Rising Security Research Institute kaks APT rünnakut Hiina vastu, millest üks oli suunatud erinevate Hiina riikide saatkondadele ja teine tehnoloogiaettevõtte esindusele välismaal. Kui kasutaja avab andmepüügidokumendi, juhib ründaja arvutit kaugjuhtimisega, mis viib sisemiste konfidentsiaalsete andmete, nagu arvutisüsteemi info, paigaldajate ja kettainfo varguseni. Arvatakse, et APT rünnaku algatas rahvusvaheliselt tuntud organisatsioon "Sidewinder", mis on korraldanud palju rünnakuid Pakistani ja Kagu-Aasia riikide vastu, kuid viimased kaks APT rünnakut on sageli osutanud Hiinale, üks on maskeeritud Rahvusvahelise Sõjalise Koostöö Keskuseks Rahvusliku Kaitseministeeriumi Rahvusvahelise Sõjalise Koostöö Büroo ning saatnud Hiina sõjaväeliste atašeedele valekutseid; Teine oli rünnak tehnoloogiaettevõtte välismaisele esindusele, kuhu ründaja saatis võltsitud turva- ja konfidentsiaalsuskäsiraamatu.
Pildil: Õngitsusdokumendid, mis on maskeeritud Kaitseministeeriumiks
Tõusva Julgeoleku Uurimisinstituudi analüüsi kohaselt, kuigi nende kahe rünnaku sihtmärgid ja sisu erinevad ründajate kasutatud tehnilistest meetoditest, järeldatakse, et neil on suur suhe APT organisatsiooniga "Sidewinder", mille peamine eesmärk on varastada konfidentsiaalset teavet valitsuse, energia, sõjaväe, mineraalide ja muude valdkondade valdkonnas. Rünnak kasutas võltskirju meelitusena, et saata õngitsuskirju, mis on seotud Hiina saatkondade ja tehnoloogiaettevõtetega välismaal, kasutades Office'i kaugkoodi täitmise haavatavust (CVE-2017-11882), et saata õngitsuskirju, mis on seotud Hiina saatkondade ja tehnoloogiaettevõtetega, eesmärgiga varastada olulisi konfidentsiaalseid andmeid, privaatsusteavet ning teadus- ja tehnoloogilist uurimistehnoloogiat meie riigis. 2. Ründeprotsess
Joonis: Rünnakuvoog
3. Õngitsuskirjade analüüs (1) Meelitusdokument 1. Dokument on maskeeritud kutsekirjaks, mille saatis Rahvusvahelise Sõjalise Koostöö Büroo Välisriikide Sõjalise Julgeoleku Koostöökeskus Hiina erinevate riikide saatkondade sõjalisele atašeele.
Joonis: Söödadokument
(2) Meelitamisdokumendi 2 sisu on seotud tehnoloogiaettevõtte välismaal asuva esinduse turvalisuse ja konfidentsiaalsuse töökäsiraamatu ülevaatamisega.
Joonis: Dokumendi sisu
(3) Detailne analüüs Mõlemad petudokumendid manustavad lõppu objekti nimega "Wrapper Shell Object" ning objekti atribuut osutab %temp% kataloogis olevale 1.a failile. Dokumendi avamine vabastab JaveScripti skriptiga kirjutatud 1.a faili %temp% kataloogis.
Joonis: Objekti omadused
Petudokument kasutab seejärel ära haavatavust CVE-2017-11882, et käivitada shellcode'i käivitamine 1.a.
Joonis: shellcode
Shellcode'i protsess on järgmine: JavaScripti skripti dekrüpteerimine XOR 0x12 kaudu ning selle skripti peamine funktsioon on käivitada 1.a fail %temp% kataloogis.
Joonis: JavaScripti skript šifritekst
Joonis: Dekrüpteeritud JavaScripti skript
ShellCode muudab valemiredaktori käsurea argumendid JavaScripti skriptiks ning kasutab skripti käivitamiseks RunHTMLApplication funktsiooni.
Joonis: Asenda käsurea
Joonis: JavaScripti käivitamine
3. Viiruseanalüüs (1) 1.a Failianalüüs 1.a genereeritakse avatud lähtekoodiga DotNetToJScript tööriistaga ning selle peamine ülesanne on käivitada .net DLL-faile JavaScripti skriptimälus. Skript dekrüpteerib esmalt StInstaller.dll faili ja peegeldab tööfunktsiooni koormust selles DLL-is. Tööfunktsioon dekrüpteerib sissetulevad parameetrid x (parameeter 1) ja y (parameeter 2) ning pärast dekrüpteerimist on x PROPSYS.dll ja y on V1nK38w.tmp.
Joonis: 1.a stsenaariumi sisu
(2) StInstaller.dll failianalüüsi StInstaller.dll on .NET programm, mis loob töökataloogi C:\ProgramData\AuthyFiles ning vabastab töökataloogis kolm faili, nimelt PROPSYS.dll, V1nK38w.tmp ja write.exe.config, ning paneb WordPadi programmi süsteemi kataloosse (write.exe) Kopeeri sinna kataloogi. Käivita write.exe (valge fail), et laadida PROPSYS.dll (must fail) samasse kausta ja käivitada pahatahtlik kood valge ja musta failiga.
Joonis: tööfunktsioon
Järgmine on üksikasjalik protsess: 1. Kutsu xorIt dekrüpteerimisfunktsioon tööfunktsioonis, et saada kolm olulist konfiguratsiooniandmet, nimelt töökataloogi nimi AuthyFiles ja domeeninimihttps://trans-can.netja määra registrivõtme nime autentisus.
Joonis: Dekrüpteeritud andmed
Joonis: xorIt dekrüpteerimisfunktsioon
2. Loo töökaust C:\ProgramData\AuthyFiles, kopeeri süsteemifailid write.exe töökausta ja seadista see automaatseks käivitamiseks.
Joonis: AuthyFiles ja write.exe loomine
3. Vabasta juhuslikult nimetatud fail V1nK38w.tmp töökataloogis. 4. Vabasta PROPSYS.dll töökataloogist ja uuenda faili nime, kuhu soovid programmi järgmisena laadida V1nK38w.tmp.
Joonis: Loomine PROPSYS.dll
5. Ühenda ühendatud täis-URL:https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5Kirjuta V1nK38w.tmp faili. Fail krüpteeritakse seejärel funktsiooni EncodeData abil.
Joonis: Loo V1nK38w.tmp fail
Joonis: EncodeData krüpteerimisfunktsioon
6. Loo konfiguratsioonifail write.exe.config, et vältida ühilduvusprobleeme erinevate .NET versioonidega.
Joonis: Loo write.exe.config
Joonis :write.exe.config sisu
7. Käivita C:\ProgramData\AuthyFiles\write.exe, et kutsuda pahatahtlik PROPSYS.dll.
Joonis: Juhtkonna write.exe
(3) PROPSYS.dll failianalüüs kasutab DecodeData funktsiooni V1nK38w.tmp dekrüpteerimiseks ja käivitamise laadimiseks V1nK38w.tmp pärast dekrüpteerimist.
Joonis: Täitmise laadimine V1nK38w.tmp
Joonis: DecodeData dekrüpteerimisfunktsioon
(4) V1nK38w.tmp failianalüüs V1Nk38w.tmp peamiselt suure hulga info varastamist ja täitmisjuhiste saamist.
Joonis: Peamine käitumine
1. Lae algne konfiguratsioon, mis dekrüpteeritakse vaikimisi ressursis. Konfiguratsiooni sisu on URL, üleslaaditud faili ajutine kataloog ja määratud failisufiksi varastamine (doc, docx, xls, xlsx, pdf, ppt, pptx).
Joonis: Laadimiskonfiguratsioon
Joonis: Dekrüpteeritud vaikimisi ressursiinfo
2. Konfiguratsioon krüpteeritakse EncodeData funktsiooni abil ja salvestatakse registrisse HKCU\Sotfware\Authy.
Joonis: Konfiguratsiooniinfo krüpteeritud registris
3. Külasta määratud aadressi, et fail alla laadida, ja vali esmalt konfiguratsiooniinfost URL, kui mitte, vali vaikimisi URL:https://trans-can.net/ini/thxqfL ... Mvr/-1/1291/f8ad26b。
Joonis: Allalaadimisandmed
4. Integreeri varastatud info faili, faili nimi on: juhuslik string + spetsiifiline järelliite ning andmesisu salvestatakse ajutisse kaustasse selgesõnalises tekstis.
Pildil: Infofailide varastamine
Failid, millel on sufiks .sif, salvestavad peamiselt süsteemiinfot, installeri infot, ketta infot jne.
Joonis: Informatsioon, mida salvestab sufiks .sif
Süsteemi info on järgmine:
Järelliide on .fls.
Tabel: Informatsioonikirje
Joonis: Salvestusteave sufiksi .fls jaoks
Fail, millel on sufiks .flc, salvestab kõigi kettatähtede info ning kataloogi ja failiinfo kettatähe all. Järgmine tabel näitab ründaja soovitud draivi tähe infot:
Kataloogiinfo, mida ründaja soovib saada, on järgmine:
Failiinfo, mida ründaja soovib saada, on järgmine:
Püüab erandeid programmi täitmisel ja logib erindiinfo faili, millel on .err järelliite.
Joonis: Erandi püüdmine
5. Uuenda registrisse salvestatud konfiguratsiooniandmeid: Esmalt liigu süsteemis, et leida faile, millel on sama sufiks nagu konkreetsel sufiksel, seejärel loe ja dekrüpteeri konfiguratsiooniandmed registrist HKCU\Sotfware\Authy, lisa leitud failide nimi ja tee konfiguratsiooniandmetele ning lõpuks krüpteeri konfiguratsiooniinfo, et registrit jätkata.
Joonis: Leia konkreetne järelliite fail
Joonis: Salvesta üleslaaditava dokumendi tee
Joonis: Laadi üles määratud sufiksi dokument
6. Uuenda registrisse salvestatud konfiguratsiooniandmeid: Uuenda üleslaaditud faili andmed registri konfiguratsiooniandmeteks.
Joonis: dekrüpteeritud konfiguratsiooniteave registris
7. Tihenda ja laadida üles kogu konkreetse sufiksi faili andmesisu, mis on salvestatud registri konfiguratsioonis.
Joonis: Laadi sufiksi fail üles
8. Laadi üles failid sif, flc, err ja fls järelliitetega staging katata.
Joonis: Failide üleslaadimine
4. Kokkuvõte
Need kaks rünnakut ei olnud kaua vahega ning rünnakute sihtmärgid olid suunatud tundlikele piirkondadele ja asjakohastele institutsioonidele Hiinas, mille eesmärk oli peamiselt organisatsiooni privaatse info varastamine, et koostada sihitud järgmine rünnakuplaan. Enamik hiljuti avalikustatud Sidewinderi rünnakuid sihtis Pakistani ja Kagu-Aasia riike, kuid need kaks rünnakut olid suunatud Hiinas, mis viitab sellele, et grupi rünnakute sihtmärgid on muutunud ja suurendanud rünnakuid Hiina vastu. See aasta tähistab meie riigi asutamise 70. aastapäeva ning asjakohased siseriiklikud valitsusasutused ja ettevõtted peavad sellele suurt tähelepanu pöörama ja ennetusmeetmeid tugevdama.
5. Ennetavad meetmed
1. Ära ava kahtlasi e-kirju ega laadi alla kahtlasi manuseid. Selliste rünnakute esimene sissepääs on tavaliselt õngitsuskirjad, mis on väga segased, seega peavad kasutajad olema valvsad ning ettevõtted peaksid tugevdama töötajate võrguturvalisuse teadlikkuse koolitust.
2. Juuruta värava turvatooteid, nagu võrgu turvalisuse situatsiooniteadlikkus ja varajase hoiatuse süsteemid. Gateway turvatooted saavad kasutada ohuintelligentsust, et jälgida ohukäitumise trajektoori, aidata kasutajatel analüüsida ohukäitumist, leida ohuallikaid ja eesmärke, jälgida rünnakute vahendeid ja radu, lahendada võrguohte allikast ning avastada rünnatud sõlmed maksimaalsel määral, aidates ettevõtetel kiiremini reageerida ja nendega toime tulla.
3. Paigalda tõhus viirusetõrjetarkvara, et blokeerida ja hävitada pahatahtlikud dokumendid ja Trooja viirused. Kui kasutaja kogemata laadib alla pahatahtliku dokumendi, saab viirusetõrjetarkvara selle blokeerida ja hävitada, takistada viiruse levikut ning kaitsta kasutaja terminaliturvalisust.
4. Paigalda süsteemi ja olulised tarkvaraparandused õigeaegselt.
6. IOC info
MD5
D83B3586393CAB724519B27B9857A4B237166FA93D776147E545AAD7E30B41608FD10BD711AB374E8DE9841CF8824758D4C3963B11E1732E1419ADF5F404E50C58DE7C0DF5BD677E1A3CDC099019015DA94BE8863E607DC7988F34F9073099168444A5850EEBA282 4D7C9BAD9189FF7E
URL
https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5https://trans-can.net/ini/Wsx8Gb ... 31878/1346/cab43a7f
|
Postitatud 21.09.2019 09:15:59
|
|
|
