06-09-2019 1. Introduction de contexte Récemment, le Rising Security Research Institute a capturé deux attaques APT contre la Chine, l’une visant les ambassades de divers pays en Chine et l’autre le bureau de représentation d’une entreprise technologique à l’étranger. Dès qu’un utilisateur ouvre un document de phishing, l’ordinateur est contrôlé à distance par l’attaquant, ce qui entraîne le vol de données internes confidentielles telles que les informations du système informatique, les installateurs et les informations sur le disque. Il est entendu que l’attaque APT a été lancée par l’organisation internationalement reconnue « Sidewinder », qui a lancé de nombreuses attaques contre le Pakistan et des pays d’Asie du Sud-Est, mais les deux dernières attaques APT ont fréquemment pointé vers la Chine, l’une étant déguisée en Centre de coopération militaire à l’étranger du Bureau de coopération militaire internationale du ministère de la Défense nationale, et envoyant de fausses invitations aux attachés militaires des ambassades en Chine ; L’autre était une attaque contre le bureau de représentation à l’étranger d’une entreprise technologique, à laquelle l’attaquant a envoyé un faux manuel de sécurité et de confidentialité.
Illustré : Documents de phishing déguisés en Ministère de la Défense
Selon l’analyse de l’Institut de recherche en sécurité Rising Research, bien que les cibles et le contenu de ces deux attaques diffèrent, des méthodes techniques utilisées par les attaquants, il est conclu qu’il entretient une excellente relation avec l’organisation APT « Sidewinder », dont le principal objectif est de voler des informations confidentielles dans les domaines gouvernemental, énergétique, militaire, minier et autres. L’attaque a utilisé de faux e-mails comme appât pour envoyer des e-mails de phishing liés aux ambassades chinoises et aux entreprises technologiques à l’étranger, en utilisant la vulnérabilité d’exécution de code à distance d’Office (CVE-2017-11882) pour envoyer des e-mails de phishing liés aux ambassades et entreprises technologiques chinoises, dans le but de voler des données confidentielles importantes, des informations de confidentialité ainsi que des technologies de recherche scientifique et technologique dans notre pays. 2. Processus d’attaque
Figure : Flux d’attaque
3. Analyse des courriels de phishing (1) Document d’appât 1. Un document déguisé en lettre d’invitation envoyée par le Centre de coopération en sécurité militaire à l’étranger du Bureau de coopération militaire internationale du ministère de la Défense nationale à l’attaché militaire des ambassades de divers pays en Chine.
Figure : document d’appât
(2) Le contenu du document de l’appât 2 concerne la révision du manuel de travail de sécurité et de confidentialité du bureau de représentation d’une entreprise technologique à l’étranger.
Figure : Contenu du document
(3) Analyse détaillée : les deux documents leurres intègrent un objet appelé « Wrapper Shell Object » à la fin, et l’attribut de l’objet pointe vers le fichier 1.a dans le répertoire %temp %. Ainsi, ouvrir le document libérera le fichier 1.a écrit par le script JaveScript dans le répertoire %temp %.
Figure : Propriétés de l’objet
Le document leurre exploite ensuite la vulnérabilité CVE-2017-11882 pour déclencher l’exécution du shellcode 1.a.
Figure : shellcode
Le processus du shellcode est le suivant : déchiffrer un script JavaScript via XOR 0x12, et la fonction principale de ce script est d’exécuter le fichier 1.a dans le répertoire %temp %.
Figure : script JavaScript chiffré
Figure : Script JavaScript déchiffré
ShellCode changera les arguments de ligne de commande de l’éditeur de formules en un script JavaScript, et utilisera la fonction RunHTMLApplication pour exécuter le script.
Figure : Remplacer la ligne de commande
Figure : Exécution de JavaScript
3. Analyse antivirus (1) 1.a L’analyse de fichiers 1.a est générée via l’outil open source DotNetToJScript, et sa fonction principale est d’exécuter des fichiers DLL .net via une mémoire JavaScript. Le script déchiffre d’abord le fichier StInstaller.dll et reflète la charge de la fonction de travail dans cette DLL. La fonction de travail déchiffre les paramètres entrants x (paramètre 1) et y (paramètre 2), et après déchiffrement, x est PROPSYS.dll et y est V1nK38w.tmp.
Figure : 1.Un contenu du script
(2) StInstaller.dll analyse de fichiers StInstaller.dll est un programme .NET qui crée un répertoire de travail C :\ProgramData\AuthyFiles, puis libère 3 fichiers dans le répertoire de travail, à savoir PROPSYS.dll, V1nK38w.tmp et write.exe.config, et place le programme WordPad dans le répertoire système (write.exe) Copie dans ce répertoire. Exécutez write.exe (fichier blanc) pour charger le PROPSYS.dll (fichier noir) dans le même dossier et exécutez le code malveillant par blanc et noir.
Figure : fonction de travail
Voici le processus détaillé : 1. Appeler la fonction de déchiffrement xorIt dans la fonction de travail pour obtenir 3 données de configuration importantes, à savoir le nom de répertoire de travail AuthyFiles et le nom de domainehttps://trans-can.netet définir le nom de clé du registre authy.
Figure : Données déchiffrées
Figure : fonction de déchiffrement xorIt
2. Créer un répertoire fonctionnel C :\ProgramData\AuthyFiles, copier les fichiers système write.exe dans le répertoire de travail, puis le configurer pour démarrer automatiquement.
Figure : Création d’AuthyFiles et write.exe
3. Publier un V1nK38w.tmp de fichier au nom aléatoire dans le répertoire de travail. 4. Libérez la PROPSYS.dll dans le répertoire de travail et mettez à jour le nom du fichier où vous souhaitez charger le programme ensuite dans la V1nK38w.tmp.
Figure : Création PROPSYS.dll
5. Lier l’URL complète épissée :https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5Écrivez dans V1nK38w.tmp fichier. Le fichier est ensuite chiffré à l’aide de la fonction EncodeData.
Figure : Créer V1nK38w.tmp fichier
Figure : Fonction de chiffrement EncodeData
6. Créer un fichier de configuration write.exe.config pour éviter les problèmes de compatibilité avec différentes versions de .NET.
Figure : Créer write.exe.config
Figure :write.exe.config contenu
7. Exécuter C :\ProgramData\AuthyFiles\write.exe pour appeler le PROPSYS.dll malveillant.
Figure : write.exe exécutif
(3) L’analyse PROPSYS.dll fichiers utilise la fonction DecodeData pour déchiffrer le V1nK38w.tmp et charger le V1nK38w.tmp d’exécution après le déchiffrement.
Figure : Chargement de la V1nK38w.tmp d’exécution
Figure : Fonction de déchiffrement DecodeData
(4) L’analyse de fichiers V1nK38w.tmp V1Nk38w.tmp principalement le vol d’une grande quantité d’informations et la réception d’instructions pour l’exécution.
Figure : Comportement principal
1. Charger la configuration initiale, qui est déchiffrée par défaut dans la ressource. Le contenu de configuration est l’URL, le répertoire temporaire du fichier téléchargé et le vol du suffixe spécifié (doc, docx, xls, xlsx, pdf, ppt, pptx).
Figure : Configuration de chargement
Figure : Informations de ressources par défaut déchiffrées
2. La configuration est chiffrée à l’aide de la fonction EncodeData et stockée dans le registre HKCU\Sotfware\Authy.
Figure : Informations de configuration chiffrées dans le registre
3. Visitez l’adresse spécifiée pour télécharger le fichier et sélectionnez d’abord l’URL dans les informations de configuration, sinon, sélectionnez l’URL par défaut :https://trans-can.net/ini/thxqfL ... Mvr/-1/1291/f8ad26b。
Figure : Télécharger les données
4. Intégrer les informations volées dans un fichier, le fichier est nommé : chaîne aléatoire + suffixe spécifique, et le contenu des données est stocké dans le répertoire temporaire en texte clair.
Photo : Vol de fichiers d’information
Les fichiers avec le suffixe .sif stockent principalement des informations système, des informations sur l’installateur, des informations sur le disque, etc.
Figure : Informations stockées par le suffixe .sif
Les informations système obtenues sont les suivantes :
Le suffixe est .fls.
Tableau : Enregistrement d’information
Figure : Informations de stockage pour le suffixe .fls
Un fichier avec le suffixe .flc enregistre les informations de toutes les lettres de lecteur ainsi que les informations du répertoire et du fichier sous la lettre de lecteur. Le tableau suivant montre les informations sur les lettres de lecteur que l’attaquant souhaite obtenir :
Les informations de répertoire que l’attaquant souhaite obtenir sont les suivantes :
Les informations de fichier que l’attaquant souhaite obtenir sont les suivantes :
Détecte les exceptions lors de l’exécution du programme et enregistre les informations d’exception dans un fichier avec le suffixe .err.
Figure : Attraper une exception
5. Mettre à jour les données de configuration stockées dans le registre : D’abord, parcourez le système pour trouver des fichiers ayant le même suffixe qu’un suffixe spécifique, puis lisez et déchiffrez les données de configuration du registre HKCU\Sotfware\Authy, ajoutez le nom et le chemin des fichiers trouvés aux données de configuration, et enfin chiffrez les informations de configuration pour continuer à stocker le registre.
Figure : Trouvez un fichier de suffixes spécifique
Figure : Enregistrer le chemin du document à télécharger
Figure : Téléchargez un document suffixe spécifié
6. Mettre à jour les données de configuration stockées dans le registre : mettre à jour les informations du fichier téléchargé vers les données de configuration du registre.
Figure : Informations de configuration déchiffrées dans le registre
7. Compresser et téléverser tout le contenu des données du fichier suffixe spécifique enregistré dans les informations de configuration du registre.
Figure : Téléchargez un fichier suffixe
8. Téléverser les fichiers avec les suffixes sif, flc, err et fls dans le répertoire de staging.
Figure : Télécharger des fichiers
4. Résumé
Les deux attaques n’ont pas eu lieu l’une de l’autre, et les cibles ciblaient toutes deux des zones sensibles et des institutions pertinentes en Chine, et le but principal de l’attaque était de voler des informations privées au sein de l’organisation, afin de formuler un plan ciblé pour la prochaine attaque. La plupart des attaques récemment révélées de Sidewinder visaient le Pakistan et des pays d’Asie du Sud-Est, mais ces deux attaques visaient la Chine, indiquant que les cibles du groupe ont changé et ont augmenté ses attaques contre la Chine. Cette année coïncide avec le 70e anniversaire de la fondation de notre pays, et les agences gouvernementales nationales concernées ainsi que les entreprises doivent y accorder une grande attention et renforcer les mesures préventives.
5. Mesures préventives
1. N’ouvrez pas d’e-mails suspects ni ne téléchargez de pièces jointes suspectes. L’entrée initiale de ces attaques est généralement liée aux emails de phishing, qui sont très confus, donc les utilisateurs doivent rester vigilants, et les entreprises doivent renforcer la formation à la sensibilisation à la sécurité réseau des employés.
2. Déployer des produits de sécurité passerelle tels que la sécurité de la sécurité réseau et les systèmes d’alerte précoce. Les produits de sécurité Gateway peuvent utiliser l’intelligence sur les menaces pour suivre la trajectoire du comportement des menaces, aider les utilisateurs à analyser le comportement des menaces, localiser les sources et les objectifs des menaces, tracer les moyens et les trajectoires des attaques, résoudre les menaces réseau à partir de la source, et découvrir les nœuds attaqués dans une grande mesure, aidant ainsi les entreprises à y répondre et à les traiter plus rapidement.
3. Installer un logiciel antivirus efficace pour bloquer et éliminer les documents malveillants et les virus de Troie. Si l’utilisateur télécharge accidentellement un document malveillant, l’antivirus peut le bloquer et le désactiver, empêcher le virus de fonctionner et protéger la sécurité du terminal de l’utilisateur.
4. Corriger les correctifs système et les correctifs logiciels importants à temps.
6. Informations du CIO
MD5
D83B3586393CAB724519B27B9857A4B237166FA93D776147E545AAD7E30B41608FD10BD711AB374E8DE9841CF8824758D4C3963B11E1732E1419ADF5F404E50C58DE7C0DF5BD677E1A3CDC099019015DA94BE8863E607DC7988F34F9073099168444A5850EEBA282 4D7C9BAD9189FF7E
URL
https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5https://trans-can.net/ini/Wsx8Gb ... 31878/1346/cab43a7f
|
Publié sur 21/09/2019 09:15:59
|
|
|
