2019-09-06 1. Előzmény Bevezetés Nemrégiben a Feltörekvő Biztonsági Kutatóintézet két APT támadást rögzített Kína ellen, az egyik több kínai ország nagykövetségeit, a másik pedig egy technológiai vállalat külföldi képviseletét célozta. Amint a felhasználó megnyit egy adathalász dokumentumot, a támadó távolról irányítja a számítógépet, ami belső bizalmas adatok, például számítógép-rendszerinformációk, telepítők és lemezinformációk ellopásához vezet. Úgy érthető, hogy az APT támadást a nemzetközileg elismert "Sidewinder" szervezet indította, amely számos támadást indított Pakisztán és délkelet-ázsiai országok ellen, de az utóbbi két APT támadás gyakran Kínára irányult, az egyik a Nemzetvédelmi Minisztérium Nemzetközi Katonai Együttműködési Irodájának Külföldi Katonai Biztonsági Együttműködési Központjának álcája volt, és hamis meghívókat küldött kínai nagykövetségek katonai attasékának; A másik támadás egy technológiai cég külföldi képviselete ellen volt, amelyhez a támadó hamis biztonsági és titoktartási kézikönyvet küldött.
A képen: A Védelmi Minisztériumnak álcázva adathalász dokumentumok
A Feltörekvő Biztonsági Kutatóintézet elemzése szerint, bár e két támadás céljai és tartalma eltérnek a támadók által használt technikai módszerektől, arra a következtetésre jutnak, hogy szoros kapcsolatban áll az APT szervezettel, a "Sidewinder"-szel, amelynek fő célja bizalmas információk ellopása a kormányzás, energetika, hadsereg, ásványi anyagok és más területeken. A támadás hamis e-maileket használt csaliként a kínai nagykövetségekhez és technológiai vállalatokhoz kapcsolódó adathalász e-mailek továbbítására, az Office távoli kódvégrehajtási sebezhetőségét (CVE-2017-11882) használva, hogy kínai nagykövetségekhez és technológiai vállalatokhoz kapcsolódó adathalász e-maileket küldjön, azzal a céllal, hogy ellopják a fontos bizalmas adatokat, adatvédelmi információkat, valamint tudományos, technológiai kutatási technológiákat országunkban. 2. Támadási folyamat
Ábra: Támadási folyamat
3. Adathalász e-mailek elemzése (1) Csalidokumentum 1. Egy dokumentumot meghívólevélként álcáznak, amelyet a Nemzetvédelmi Minisztérium Nemzetközi Katonai Együttműködési Irodájának Külföldi Katonai Biztonsági Együttműködési Központja küldött a kínai különböző országok nagykövetségeinek katonai attaséjának.
Ábra: Csalidokumentum
(2) A csalidokumentum 2 tartalma egy technológiai vállalat külföldi képviseletének biztonsági és titoktartási munkakézikönyvének felülvizsgálatához kapcsolódik.
Ábra: Dokumentum tartalma
(3) Részletes elemzés Mindkét csali dokumentum egy "Wrapper Shell Object" nevű objektumot ágyaznak be a végén, és az objektum attribútuma a %temp% könyvtárban található 1.a fájlra mutat. Tehát a dokumentum megnyitása a JaveScript szkripttel írt 1.a fájlt szabadítja ki a %temp% könyvtárban.
Ábra: Objektumtulajdonságok
A csali dokumentum ezután kihasználja a CVE-2017-11882 sebezhetőséget, hogy elindítsa a shellcode végrehajtása 1.a.
Ábra: shellcode
A shellcode folyamat a következő: Fejtse ki egy JavaScript szkriptet, az XOR 0x12-on keresztül, és ennek a szkriptnek a fő funkciója, hogy végrehajtsa az 1.a fájlt a %temp% könyvtárban.
Ábra: JavaScript szkriptszöveg
Ábra: Lefejtett JavaScript szkript
A ShellCode megváltoztatja a képletszerkesztő parancssori argumentumait JavaScript szkriptre, és a RunHTMLApplication funkcióval futtatja a szkriptet.
Ábra: A parancssorra cserélni
Ábra: JavaScript futtatása
3. Víruselemzés (1) 1.a Fájlelemzés 1.a a nyílt forráskódú DotNetToJScript eszközön keresztül generálódik, és fő funkciója a .net DLL fájlok futtatása JavaScript szkriptmemórián keresztül. A szkript először a StInstaller.dll fájlt fejti le, és visszatükrözi a munkafüggvény terhelését abban a DLL-ben. A munkafüggvény dekódolja a bejövő x (1-es paraméter) és y (2-es paraméter) paramétereket, és a felbontás után x PROPSYS.dll, y pedig V1nK38w.tmp.
Ábra: 1.a szkripttartalom
(2) StInstaller.dll fájlelemző StInstaller.dll egy .NET program, amely létrehoz egy működő könyvtárat C:\ProgramData\AuthyFiles címmel, majd 3 fájlt szabadít ki a munkakönyvtárban, nevezetesen a PROPSYS.dll, V1nK38w.tmp és write.exe.config, majd a WordPad programot a rendszerkönyvtárba helyezi (write.exe) Másolj abba a könyvtárba. Futtatd a write.exe-t (fehér fájl), hogy betöltsd a PROPSYS.dll-t (fekete fájlt) ugyanabba a könyvtárba, és a rosszindulatú kódot fehér és fekete kóddal futtatd.
Ábra: munkafüggvény
Az alábbiakban a részletes folyamat látható: 1. Hívjuk a xorIt kódoló funkciót a munkafüggvényben, hogy három fontos konfigurációs adatot szerezzünk, nevezetesen a munkakönyvtár nevet AuthyFiles és a domain nevethttps://trans-can.netés állítsd be a regiszterkulcs nevet authy.
Ábra: Lefejtett adatok
Ábra: xorIt dekódolási függvény
2. Hozz létre egy működő könyvtárat C:\ProgramData\AuthyFiles címmel, másold a rendszerfájlokat write.exe a munkakönyvtárba, és állítsd be automatikusan boot rendszerre.
Ábra: AuthyFiles és write.exe létrehozása
3. Szabadíts ki egy véletlenszerűen elnevezett fájlt V1nK38w.tmp a munkakönyvtárban. 4. Szabadítsd ki a PROPSYS.dll a munkakönyvtárban, és frissítsd annak a fájlnévnek a nevét, ahol a következő programot be akarod tölteni a fájlban a fájlban, V1nK38w.tmp.
Ábra: Létrehozás PROPSYS.dll
5. Linkeld a teljes URL-t:https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5Írj V1nK38w.tmp fájlba. A fájlt ezután az EncodeData funkcióval titkosítják.
Ábra: Létrehozz V1nK38w.tmp fájlt
Ábra: EncodeData titkosítási függvény
6. Hozz létre egy konfigurációs fájlt write.exe.config a kompatibilitási problémák elkerülésére a különböző .NET verziókkal.
Ábra: Create write.exe.config
Figure :write.exe.config content
7. Hajtsd végre a C:\ProgramData\AuthyFiles\write.exe-ot, hogy meghívd a rosszindulatú PROPSYS.dll.
Ábra: Vezetői write.exe
(3) PROPSYS.dll fájlelemzés a DecodeData függvényt használja a V1nK38w.tmp dekódolásához, és a végrehajtás V1nK38w.tmp letöltéséhez a visszafejtés után.
Ábra: A végrehajtás betöltése V1nK38w.tmp
Ábra: DecodeData dekódolási függvény
(4) V1nK38w.tmp fájlelemzés V1Nk38w.tmp főként nagy mennyiségű információ ellopása és végrehajtási utasítások megszerzése.
Ábra: Fő viselkedés
1. Töltsd be az eredeti konfigurációt, amelyet alapértelmezés szerint dekódolsz a forrásban. A konfigurációs tartalom az URL, a feltöltött fájl ideiglenes könyvtára és a megadott fájl utótagjának (doc, docx, xls, xlsx, pdf, ppt, pptx) ellopása.
Ábra: Töltési konfiguráció
Ábra: Lefejtett alapértelmezett erőforrás-információk
2. A konfigurációt az EncodeData funkcióval titkosítják, és a HKCU\Sotfware\Authy adatbázisban tárolják.
Ábra: Konfigurációs információk titkosítva a nyilvántartásban
3. Látogasd meg a megadott címet a fájl letöltéséhez, és először válaszd ki az URL-t a konfigurációs információkban, ha nem, válaszd ki az alapértelmezett URL-t:https://trans-can.net/ini/thxqfL ... Mvr/-1/1291/f8ad26b。
Ábra: Letöltési adatok
4. Integráljuk az ellopott információkat egy fájlba, a fájl neve: véletlenszerű string + specifikus toldal, és az adattartalom a ideiglenes könyvtárban tiszta szövegben tárolódik.
A képen: Információs fájlok lopása
A .sif toldalazott fájlok főként rendszerinformációkat, telepítői információkat, lemezinformációkat stb. tárolnak.
Ábra: Az .sif utótag által tárolt információ
A rendszerinformáció a következő:
A toldala .fls.
Táblázat: Információs nyilvántartás
Ábra: Tárolási információk a .fls toldalaghoz
Egy .flc toldalagú fájl rögzíti az összes meghajtó betű adatait, valamint a könyvtár és fájl adatait a meghajtó betű alatt. Az alábbi táblázat mutatja azokat a meghajtóbetű információkat, amelyeket a támadó meg akar szerezni:
A támadó által megszerezhető könyvtári információk a következők:
A támadó által megszerezhető fájlinformációk a következők:
Megfogja a programfuttatás kivételeit, és naplózza azokat egy .err utótaggal rendelkező fájlba.
Ábra: Kivétel elkapása
5. Frissítse a regisztrációban tárolt konfigurációs adatokat: Először végigjárja a rendszert, hogy megtalálja a fájlokat, amelyek ugyanazt a toldalagot tartalmazzák, mint egy adott toldaladék, majd olvassák és fejtsék vissza a konfigurációs adatokat a HKCU\Sotfware\Authy adatbázisból, adják hozzá a talált fájlok nevét és útvonalát a konfigurációs adatokhoz, végül titkosítsd a konfigurációs információkat, hogy tovább tárold a regisztert.
Ábra: Találj egy konkrét toldaltagfájlt
Ábra: Rögzítse a feltölthető dokumentum útvonalát
Ábra: Feltölt egy meghatározott zártagot
6. Frissítse a regisztrációban tárolt konfigurációs adatokat: Frissítse a feltöltött fájl adatait a regisztrációs konfigurációs adatokra.
Ábra: Titkosított konfigurációs információk a nyilvántartásban
7. Tömörítse és töltse fel az adott toldal fájl összes adattartalmát, amelyet a regisztráció konfigurációs adataiban rögzítenek.
Ábra: Feltöltés egy toldaltagfájl
8. Tölts fel fájlokat sif, flc, err és fls toldalakkal a staging könyvtárba.
Ábra: Fájlok feltöltése
4. Összefoglaló
A két támadás nem volt hosszú időre, és a támadások célpontjai érzékeny területeket és releváns intézményeket céloztak Kínában, a támadás fő célja az volt, hogy magáninformációkat lopjanak el a szervezeten belül, hogy kidolgozzák a célzott következő támadási tervet. A nemrégiben felfedett Sidewinder támadások többsége Pakisztánt és délkelet-ázsiai országokat célozta meg, de ezek a támadások Kínát célozták meg, ami arra utal, hogy a csoport támadási célpontjai megváltoztak, és fokozták a támadásokat Kína ellen. Idén egybeesik az országunk alapításának 70. évfordulójával, és a releváns hazai kormányzati szerveknek és vállalatoknak nagy figyelmet kell fordítaniuk erre, valamint erősíteniük kell a megelőző intézkedéseket.
5. Megelőző intézkedések
1. Ne nyisson gyanús e-maileket, és ne töltsön le gyanús mellékleteket. Az ilyen támadások első bejárata általában az adathalász e-mailek következik, amelyek nagyon zavarosak, ezért a felhasználóknak ébernek kell lenniük, és a vállalatoknak erősíteniük kell a munkavállalói hálózati biztonsági tudatossági képzést.
2. Telepítsd a gateway biztonsági termékeket, például hálózati biztonsági, helyzetfelismerést és korai figyelmeztető rendszereket. A gateway biztonsági termékek a fenyegetésintelligenciát használhatják a fenyegetés viselkedésének nyomon követésére, segítik a felhasználókat a fenyegetés viselkedésének elemzésében, a fenyegetésforrások és célok felkutatásában, a támadások eszközeinek és útvonalainak nyomon követésében, a hálózati fenyegetések forrásból történő megoldásában, valamint a támadott csomópontok leghatékonyabb feltárására, segítve a vállalatokat a gyorsabb reagálásban és kezelésben.
3. Telepíts hatékony vírusirtó szoftvert a rosszindulatú dokumentumok és trójai vírusok blokkolására és elpusztítására. Ha a felhasználó véletlenül letölt egy rosszindulatú dokumentumot, az antivírus szoftver blokkolhatja és megállíthatja azt, megakadályozhatja a vírus futtatását, és megvédi a felhasználó terminálbiztonságát.
4. Időben javítsd be a rendszerfrissítéseket és a fontos szoftverfrissítéseket.
6. IOC információk
MD5
D83B3586393CAB724519B27B9857A4B237166FA93D776147E545AAD7E30B41608FD10BD711AB374E8DE9841CF8824758D4C3963B11E1732E1419ADF5F404E50C58DE7C0DF5BD677E1A3CDC099019015DA94BE8863E607DC7988F34F9073099168444A5850EEBA282 4D7C9BAD9189FF7E
URL
https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5https://trans-can.net/ini/Wsx8Gb ... 31878/1346/cab43a7f
|
Közzétéve 2019. 09. 21. 9:15:59
|
|
|
