2019-09-06 1. Taustatiedot Johdanto Äskettäin Rising Security Research Institute sai talteen kaksi APT-hyökkäystä Kiinaa vastaan, joista toinen kohdistui eri maiden suurlähetystöihin Kiinassa ja toinen teknologiayrityksen edustustoon ulkomailla. Kun käyttäjä avaa tietojenkalasteludokumentin, hyökkääjä ohjaa tietokonetta etänä, mikä johtaa sisäisten luottamuksellisten tietojen, kuten tietokonejärjestelmän tietojen, asentajien ja levytietojen, varastamiseen. Ymmärretään, että APT-hyökkäyksen käynnisti kansainvälisesti tunnettu "Sidewinder"-järjestö, joka on tehnyt lukuisia hyökkäyksiä Pakistaniin ja Kaakkois-Aasian maihin, mutta viimeiset kaksi APT-hyökkäystä ovat usein osoittaneet Kiinaa; toinen on naamioitunut kansallisen puolustusministeriön kansainvälisen sotilaallisen yhteistyön toimiston ulkomaanturvallisuusyhteistyökeskukseksi ja lähettänyt vääriä kutsuja Kiinan suurlähetystöjen sotilasattacheille; Toinen oli hyökkäys teknologiayrityksen ulkomaan edustustoon, johon hyökkääjä lähetti väärennetyn turvallisuus- ja salassapitokäsikirjan.
Kuvassa: Tietojenkalasteludokumentteja, jotka on naamioitu puolustusministeriöksi
Nousevan turvallisuustutkimuslaitoksen analyysin mukaan, vaikka näiden kahden hyökkäyksen kohteet ja sisältö eroavat hyökkääjien käyttämistä teknisistä menetelmistä, todetaan, että sillä on vahva suhde APT-organisaatioon "Sidewinder", jonka päätehtävänä on varastaa luottamuksellista tietoa hallinnon, energian, armeijan, mineraalien ja muiden alojen aloilla. Hyökkäyksessä käytettiin väärennettyjä sähköposteja houkuttimena lähettääkseen tietojenkalasteluviestejä Kiinan suurlähetystöihin ja teknologiayrityksiin ulkomailla, käyttäen Officen etäkoodin suoritushaavoittuvuutta (CVE-2017-11882) lähettämään tietojenkalasteluviestejä Kiinan suurlähetystöihin ja teknologiayrityksiin liittyen, tavoitteena varastaa tärkeitä luottamuksellisia tietoja, yksityisyystietoja sekä tieteellistä ja teknologista tutkimusteknologiaa maassamme. 2. Hyökkäysprosessi
Kuva: Hyökkäysvirta
3. Tietojenkalastelusähköpostien analyysi (1) Syöttidokumentti 1. Asiakirja on naamioitu kutsukirjeeksi, jonka Kansainvälisen sotilaallisen yhteistyön toimiston kansallisen puolustusministeriön Kansainvälisen sotilaallisen yhteistyön toimiston kautta lähetetään eri maiden suurlähetystöjen sotilasasiamiehelle Kiinassa.
Kuva: Syöttidokumentti
(2) Syöttiasiakirjan 2 sisältö liittyy teknologiayrityksen ulkomaisen edustuston turvallisuus- ja salassapitokäsikirjan uudistukseen.
Kuva: Asiakirjan sisältö
(3) Yksityiskohtainen analyysi Molemmat harhautusasiakirjat upottavat lopussa objektin nimeltä "Wrapper Shell Object", ja objektiattribuutti osoittaa %temp%-hakemistossa olevaan 1.a-tiedostoon. Dokumentin avaaminen vapauttaa JaveScript-skriptillä kirjoitetun 1.a-tiedoston %temp%-hakemistossa.
Kuva: Objektin ominaisuudet
Harhautusdokumentti hyödyntää sitten haavoittuvuutta CVE-2017-11882 laukaistakseen shell-koodin suorituksen 1.a.
Kuva: shellcode
Shell-koodiprosessi on seuraava: Puretaan JavaScript-skripti XOR 0x12:n kautta, ja tämän skriptin päätehtävä on suorittaa 1.a-tiedosto %temp%-hakemistossa.
Kuva: JavaScript-skriptin salattu teksti
Kuva: Purettu JavaScript-skripti
ShellCode muuttaa kaavaeditorin komentoriviargumentit JavaScript-skriptiksi ja käyttää RunHTMLApplication-funktiota skriptin suorittamiseen.
Kuva: Vaihda komentorivi
Kuva: JavaScript ajetaan
3. Virusanalyysi (1) 1.a Tiedostoanalyysi 1.a tuotetaan avoimen lähdekoodin DotNetToJScript-työkalulla, ja sen päätehtävä on suorittaa .net DLL -tiedostoja JavaScript-skriptimuistin kautta. Skripti purkaa ensin StInstaller.dll-tiedoston ja heijastaa työfunktion kuormitusta kyseisessä DLL:ssä. Työfunktio purkaa saapuvat parametrit x (parametri 1) ja y (parametri 2), ja purkamisen jälkeen x on PROPSYS.dll ja y on V1nK38w.tmp.
Kuva: 1.a skriptisisältö
(2) StInstaller.dll tiedostoanalyysi StInstaller.dll on .NET-ohjelma, joka luo toimivan hakemiston C:\ProgramData\AuthyFiles, ja julkaisee sitten kolme tiedostoa työhakemistossa, nimittäin PROPSYS.dll, V1nK38w.tmp ja write.exe.config, ja sijoittaa WordPad-ohjelman järjestelmähakemistoon (write.exe) Kopioi tuohon hakemistoon. Suorita write.exe (valkoinen tiedosto) ladataksesi PROPSYS.dll (musta tiedosto) samaan hakemistoon ja suorita haitallinen koodi valkoisella ja mustalla.
Kuva: työfunktio
Seuraava on yksityiskohtainen prosessi: 1. Kutsu xorIt-purkutoiminto työfunktiossa saadaksesi kolme tärkeää konfiguraatiodataa, nimittäin työhakemiston nimen AuthyFiles ja verkkotunnuksenhttps://trans-can.netja aseta rekisteriavaimen nimi authy.
Kuva: Purettu data
Kuva: xorIt-purkutoiminto
2. Luo toimiva hakemisto C:\ProgramData\AuthyFiles, kopioi järjestelmätiedostot write.exe työhakemistoon ja aseta se käynnistymään automaattisesti.
Kuva: AuthyFilesin luominen ja write.exe
3. Vapauta satunnaisesti nimetty tiedosto V1nK38w.tmp työhakemistoon. 4. Vapauta PROPSYS.dll työhakemistosta ja päivitä tiedoston nimi, johon haluat ladata seuraavan ohjelman tiedostossa V1nK38w.tmp.
Kuva: Luominen PROPSYS.dll
5. Linkitä liitetty koko URL:https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5Kirjoita V1nK38w.tmp tiedostoon. Tiedosto salataan sitten EncodeData-toiminnolla.
Kuva: Luo V1nK38w.tmp tiedosto
Kuva: EncodeData-salausfunktio
6. Luo konfiguraatiotiedosto write.exe.config estääksesi yhteensopivuusongelmat eri .NET-versioiden kanssa.
Kuva: Luo write.exe.config
Kuva :write.exe.config -sisältö
7. Suorita C:\ProgramData\AuthyFiles\write.exe kutsuaksesi haitallisen PROPSYS.dll.
Kuva: Johtajan write.exe
(3) PROPSYS.dll tiedostoanalyysi käyttää DecodeData-funktiota V1nK38w.tmp:n purkamiseen ja suorituksen lataamiseen V1nK38w.tmp purkamisen jälkeen.
Kuva: Suorituksen lataaminen V1nK38w.tmp
Kuva: DecodeData-salauksen purkufunktio
(4) V1nK38w.tmp tiedostojen analysointi V1Nk38w.tmp pääasiassa suuren tietomäärän varastamista ja suorituskäskyjen vastaanottamista.
Kuva: Pääasiallinen käyttäytyminen
1. Lataa alkuperäinen konfiguraatio, joka puretaan oletuksena resurssissa. Konfiguraatiosisältö on URL-osoite, ladatun tiedoston väliaikainen hakemisto ja määritellyn tiedostopäätteen varastaminen (doc, docx, xls, xlsx, pdf, ppt, pptx).
Kuva: Latausasetukset
Kuva: Purettu oletusresurssitieto
2. Konfiguraatio salataan EncodeData-toiminnolla ja tallennetaan rekisteriin HKCU\Sotfware\Authy.
Kuva: Konfiguraatiotiedot salattu rekisterissä
3. Vieraile määritetyssä osoitteessa ladataksesi tiedoston ja valitse ensin URL konfiguraatiotiedoista, jos et, valitse oletus-URL:https://trans-can.net/ini/thxqfL ... Mvr/-1/1291/f8ad26b。
Kuva: Latausdata
4. Integroi varastetut tiedot tiedostoon, tiedosto nimetään: satunnaismerkkijono + spesifinen suffiksi, ja tietosisältö tallennetaan väliaikaiseen hakemistoon selväkielisenä.
Kuvassa: Tietotiedostojen varastaminen
.sif-päätteellä varustetut tiedostot tallentavat pääasiassa järjestelmätiedot, asennustiedot, levytiedot jne.
Kuva: .sif-päätteen tallentamat tiedot
Järjestelmätiedot ovat seuraavat:
Pääte on .fls.
Taulukko: Tietorekisteri
Kuva: Tallennustiedot suffiksille .fls
Tiedosto, jossa on pääte .flc, tallentaa kaikkien asemakirjainten tiedot sekä hakemiston ja tiedostotiedot asemakirjaimen alle. Seuraava taulukko näyttää hyökkääjän haluamansa ajokirjaimen tiedot:
Hyökkääjän haluama hakemistotieto on seuraava:
Hyökkääjän haluama tiedostotieto on seuraava:
Havaitsee poikkeuksia ohjelman suorituksessa ja kirjaa poikkeustiedot tiedostoon, jossa on .err-pääte.
Kuva: Poikkeuksen kiinniottaminen
5. Päivitä rekisteriin tallennetut konfiguraatiotiedot: Ensin kierrä järjestelmää löytääksesi tiedostoja, joilla on sama pääte kuin tietyllä päätteellä, lue ja pura konfiguraatiotiedot rekisteristä HKCU\Sotfware\Authy, lisää löydettyjen tiedostojen nimi ja polku konfiguraatiotietoihin ja lopuksi salaa konfiguraatiotiedot, jotta rekisterin tallennus jatkuu.
Kuva: Etsi tietty päätetiedosto
Kuva: Tallenna ladattavan asiakirjan polku
Kuva: Lataa määritelty päätteasiakirja
6. Päivitä rekisteriin tallennetut konfiguraatiotiedot: Päivitä ladatun tiedoston tiedot rekisterin konfiguraatiotietoihin.
Kuva: Puretut konfiguraatiotiedot rekisterissä
7. Pakkaa ja lataa kaikki kyseisen suffiksitiedoston datasisältö, joka on tallennettu rekisterin konfiguraatiotietoihin.
Kuva: Lataa suffiksitiedosto
8. Lataa tiedostoja, joissa on sif-, flc-, err- ja fls-päätteet staging-kansioon.
Kuva: Tiedostojen lataaminen
4. Yhteenveto
Hyökkäykset eivät olleet kauan toisistaan toisistaan, ja hyökkäysten kohteet kohdistuivat sekä arkaluontoisiin alueisiin että asiaankuuluviin instituutioihin Kiinassa, ja hyökkäyksen tarkoituksena oli pääasiassa varastaa organisaation yksityisiä tietoja, jotta voitaisiin laatia kohdennettu seuraava hyökkäyssuunnitelma. Suurin osa äskettäin paljastetuista Sidewinder-hyökkäyksistä kohdistui Pakistaniin ja Kaakkois-Aasian maihin, mutta nämä kaksi hyökkäystä kohdistuivat Kiinaan, mikä viittaa siihen, että ryhmän hyökkäyskohteet ovat muuttuneet ja lisänneet hyökkäyksiä Kiinaa vastaan. Tämä vuosi osuu yhteen maamme perustamisen 70-vuotisjuhlaan, ja asiaankuuluvien kotimaisten viranomaisten ja yritysten on kiinnitettävä siihen suurta huomiota ja vahvistettava ennaltaehkäiseviä toimenpiteitä.
5. Ennaltaehkäisevät toimenpiteet
1. Älä avaa epäilyttäviä sähköposteja tai lataa epäilyttäviä liitteitä. Ensimmäinen pääsy tällaisiin hyökkäyksiin on yleensä tietojenkalastelusähköpostit, jotka ovat hyvin hämmentäviä, joten käyttäjien on oltava valppaita ja yritysten tulisi vahvistaa työntekijöiden verkkoturvallisuustietoisuuskoulutusta.
2. Ota käyttöön porttiturvatuotteita, kuten verkon turvallisuutta, tilannetietoisuutta ja varhaisvaroitusjärjestelmiä. Yhdyskäyntiturvatuotteet voivat hyödyntää uhkatiedon avulla jäljittääkseen uhkakäyttäytymisen kulkua, auttaa käyttäjiä analysoimaan uhkakäyttäytymistä, paikantamaan uhkien lähteet ja tarkoitukset, jäljittää hyökkäysten keinot ja reitit, ratkaista verkkouhkat lähteestä käsin sekä löytää hyökkäyssolmut mahdollisimman laajasti, auttaen yrityksiä reagoimaan ja käsittelemään niitä nopeammin.
3. Asenna tehokas virustorjuntaohjelmisto estääksesi ja tuhoamaan haitalliset asiakirjat ja troijalaisvirukset. Jos käyttäjä vahingossa lataa haitallisen asiakirjan, virustorjuntaohjelma voi estää ja tuhota sen, estää viruksen toiminnan ja suojata käyttäjän terminaaliturvallisuutta.
4. Päivitä järjestelmäpäivitykset ja tärkeät ohjelmistopäivitykset ajan myötä.
6. IOC-tiedot
MD5
D83B3586393CAB724519B27B9857A4B237166FA93D776147E545AAD7E30B41608FD10BD711AB374E8DE9841CF8824758D4C3963B11E1732E1419ADF5F404E50C58DE7C0DF5BD677E1A3CDC099019015DA94BE8863E607DC7988F34F9073099168444A5850EEBA282 4D7C9BAD9189FF7E
url
https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5https://trans-can.net/ini/Wsx8Gb ... 31878/1346/cab43a7f
|
Julkaistu 21.9.2019 9.15.59
|
|
|
