2019-09-06 1. Latar Belakang Pendahuluan Baru-baru ini, Rising Security Research Institute menangkap dua serangan APT terhadap China, satu menargetkan kedutaan besar berbagai negara di China dan yang lainnya menargetkan kantor perwakilan perusahaan teknologi di luar negeri. Setelah pengguna membuka dokumen phishing, komputer akan dikendalikan dari jarak jauh oleh penyerang, yang mengakibatkan pencurian data rahasia internal seperti informasi sistem komputer, penginstal, dan informasi disk. Dapat dipahami bahwa serangan APT diluncurkan oleh organisasi "Sidewinder" yang terkenal secara internasional, yang telah melancarkan banyak serangan terhadap Pakistan dan negara-negara Asia Tenggara, tetapi dua serangan APT terakhir sering menunjuk ke China, satu menyamar sebagai Pusat Kerjasama Keamanan Militer Luar Negeri dari Kantor Kerjasama Militer Internasional Kementerian Pertahanan Nasional, dan mengirim undangan palsu ke atase militer kedutaan besar di China; Yang lainnya adalah serangan terhadap kantor perwakilan luar negeri dari sebuah perusahaan teknologi, di mana penyerang mengirim manual keamanan dan kerahasiaan palsu.
Foto: Dokumen phishing yang menyamar sebagai Kementerian Pertahanan
Menurut analisis Rising Security Research Institute, meskipun target dan isi dari kedua serangan ini berbeda, dari metode teknis yang digunakan oleh para penyerang, disimpulkan bahwa ia memiliki hubungan yang baik dengan organisasi APT "Sidewinder", yang memiliki tujuan utama untuk mencuri informasi rahasia di bidang pemerintahan, energi, militer, mineral, dan bidang lainnya. Serangan tersebut menggunakan email palsu sebagai umpan untuk mengirim email phishing yang terkait dengan kedutaan besar Tiongkok dan perusahaan teknologi di luar negeri, menggunakan kerentanan eksekusi kode jarak jauh Office (CVE-2017-11882) untuk mengirim email phishing yang terkait dengan kedutaan besar dan perusahaan teknologi Tiongkok, dengan tujuan mencuri data rahasia penting, informasi privasi, dan teknologi penelitian ilmiah dan teknologi di negara kita. 2. Proses serangan
Gambar: Alur serangan
3. Analisis email phishing (1) Dokumen umpan 1. Sebuah dokumen disamarkan sebagai surat undangan yang dikirim oleh Pusat Kerja Sama Keamanan Militer Luar Negeri dari Kantor Kerjasama Militer Internasional Kementerian Pertahanan Nasional kepada atase militer kedutaan besar berbagai negara di Tiongkok.
Gambar: Dokumen umpan
(2) Isi dokumen umpan 2 terkait dengan revisi manual kerja keamanan dan kerahasiaan kantor perwakilan perusahaan teknologi di luar negeri.
Gambar: Konten dokumen
(3) Analisis terperinci Kedua dokumen umpan menyematkan objek yang disebut "Wrapper Shell Object" di bagian akhir, dan atribut objek menunjuk ke file 1.a di direktori %temp%. Jadi, membuka dokumen akan melepaskan file 1.a yang ditulis oleh skrip JaveScript di direktori %temp%.
Gambar: Properti objek
Dokumen umpan kemudian mengeksploitasi kerentanan CVE-2017-11882 untuk memicu eksekusi shellcode 1.a.
Gambar: kode shell
Proses shellcode adalah sebagai berikut: Dekripsi skrip JavaScript melalui XOR 0x12, dan fungsi utama skrip ini adalah untuk mengeksekusi file 1.a di direktori %temp%.
Gambar: Teks sandi skrip JavaScript
Gambar: Skrip JavaScript yang didekripsi
ShellCode akan mengubah argumen baris perintah editor rumus menjadi skrip JavaScript, dan menggunakan fungsi RunHTMLApplication untuk menjalankan skrip.
Gambar: Ganti baris perintah
Gambar: Menjalankan JavaScript
3. Analisis virus (1) 1.a Analisis file 1.a dihasilkan melalui alat DotNetToJScript sumber terbuka, dan fungsi utamanya adalah untuk mengeksekusi file DLL .net melalui memori skrip JavaScript. Skrip pertama-tama mendekripsi file StInstaller.dll dan mencerminkan beban fungsi kerja dalam DLL tersebut. Fungsi kerja mendekripsi parameter masuk x (parameter 1) dan y (parameter 2), dan setelah dekripsi, x adalah PROPSYS.dll dan y adalah V1nK38w.tmp.
Gambar: 1.a konten skrip
(2) StInstaller.dll StInstaller.dll analisis file adalah program .NET, yang akan membuat direktori kerja C:\ProgramData\AuthyFiles, dan kemudian merilis 3 file di direktori kerja, yaitu PROPSYS.dll, V1nK38w.tmp dan write.exe.config, dan menempatkan program WordPad di direktori sistem (write.exe) Salin ke direktori itu. Jalankan write.exe (file putih) untuk memuat PROPSYS.dll (file hitam) di direktori yang sama dan jalankan kode berbahaya dengan putih dan hitam.
Gambar: fungsi kerja
Berikut ini adalah proses detailnya: 1. Panggil fungsi dekripsi xorIt pada fungsi kerja untuk mendapatkan 3 data konfigurasi penting, yaitu nama direktori kerja AuthyFiles dan nama domainhttps://trans-can.netdan atur nama kunci registri authy.
Gambar: Data yang didekripsi
Gambar: xorFungsi dekripsi
2. Buat direktori kerja C: \ ProgramData \ AuthyFiles, salin file sistem write.exe ke direktori kerja, dan atur ke boot autoboot.
Gambar: Membuat AuthyFiles dan write.exe
3. Lepaskan file bernama acak V1nK38w.tmp di direktori kerja. 4. Bebaskan PROPSYS.dll di direktori kerja dan perbarui nama file tempat Anda ingin memuat program berikutnya di file V1nK38w.tmp.
Gambar: Penciptaan PROPSYS.dll
5. Tautkan URL lengkap yang disambungkan:https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5Tulis ke file V1nK38w.tmp. File kemudian dienkripsi menggunakan fungsi EncodeData.
Gambar: Buat file V1nK38w.tmp
Gambar: Fungsi enkripsi EncodeData
6. Buat file konfigurasi write.exe.config untuk mencegah masalah kompatibilitas dengan versi .NET yang berbeda.
Gambar: Buat write.exe.config
Gambar :write.exe.config content
7. Jalankan C:\ProgramData\AuthyFiles\write.exe untuk memanggil PROPSYS.dll berbahaya.
Gambar: write.exe Eksekutif
(3) Analisis file PROPSYS.dll menggunakan fungsi DecodeData untuk mendekripsi V1nK38w.tmp, dan memuat V1nK38w.tmp eksekusi setelah dekripsi.
Gambar: Memuat V1nK38w.tmp eksekusi
Gambar: Fungsi dekripsi DecodeData
(4) V1nK38w.tmp analisis file V1Nk38w.tmp terutama mencuri sejumlah besar informasi dan menerima instruksi untuk eksekusi.
Gambar: Perilaku utama
1. Muat konfigurasi awal, yang didekripsi secara Default di sumber daya. Konten konfigurasi adalah URL, direktori sementara dari file yang diunggah dan pencurian akhiran file yang ditentukan (doc, docx, xls, xlsx, pdf, ppt, pptx).
Gambar: Memuat konfigurasi
Gambar: Informasi sumber daya default yang didekripsi
2. Konfigurasi dienkripsi menggunakan fungsi EncodeData dan disimpan dalam registri HKCU\Sotfware\Authy.
Gambar: Informasi konfigurasi dienkripsi dalam registri
3. Kunjungi alamat yang ditentukan untuk mengunduh file dan pilih URL dalam informasi konfigurasi terlebih dahulu, jika tidak, pilih URL default:https://trans-can.net/ini/thxqfL ... Mvr/-1/1291/f8ad26b。
Gambar: Unduh data
4. Integrasikan informasi yang dicuri ke dalam file, file diberi nama: string acak + akhiran tertentu, dan konten data disimpan di direktori sementara dalam teks biasa.
Foto: Mencuri file informasi
File dengan akhiran .sif terutama menyimpan informasi sistem, informasi penginstal, informasi disk, dll.
Gambar: Informasi yang disimpan oleh akhiran .sif
Informasi sistem yang diperoleh adalah sebagai berikut:
Akhirannya adalah .fls.
Tabel: Catatan informasi
Gambar: Informasi penyimpanan untuk akhiran .fls
File dengan akhiran .flc mencatat informasi semua huruf drive dan informasi direktori dan file di bawah huruf drive. Tabel berikut menunjukkan informasi huruf drive yang ingin diperoleh penyerang:
Informasi direktori yang ingin diperoleh penyerang adalah sebagai berikut:
Informasi file yang ingin diperoleh penyerang adalah sebagai berikut:
Menangkap pengecualian dalam eksekusi program dan mencatat informasi pengecualian ke file dengan akhiran .err.
Gambar: Menangkap pengecualian
5. Perbarui data konfigurasi yang disimpan dalam registri: Pertama, lintasi sistem untuk menemukan file dengan akhiran yang sama dengan akhiran tertentu, lalu baca dan dekripsi data konfigurasi dari registri HKCU\Sotfware\Authy, tambahkan nama dan jalur file yang ditemukan ke data konfigurasi, dan terakhir enkripsi informasi konfigurasi untuk terus menyimpan registri.
Gambar: Menemukan file akhiran tertentu
Gambar: Catat jalur dokumen yang akan diunggah
Gambar: Mengunggah dokumen akhiran tertentu
6. Perbarui data konfigurasi yang disimpan di registri: Perbarui informasi file yang diunggah ke data konfigurasi registri.
Gambar: Informasi konfigurasi yang didekripsi dalam registri
7. Kompres dan unggah semua konten data dari file akhiran tertentu yang tercatat dalam informasi konfigurasi registri.
Gambar: Mengunggah file akhiran
8. Unggah file dengan akhiran sif, flc, err, dan fls di direktori pementasan.
Gambar: Unggah file
4. Ringkasan
Kedua serangan itu tidak berjarak lama, dan target serangan keduanya ditargetkan pada daerah sensitif dan lembaga terkait di China, dan tujuan serangan tersebut terutama untuk mencuri informasi pribadi di dalam organisasi, untuk merumuskan rencana serangan berikutnya yang ditargetkan. Sebagian besar serangan Sidewinder yang baru-baru ini terungkap menargetkan Pakistan dan negara-negara Asia Tenggara, tetapi kedua serangan ini menargetkan China, menunjukkan bahwa target serangan kelompok tersebut telah berubah dan meningkatkan serangannya terhadap China. Tahun ini bertepatan dengan peringatan 70 tahun berdirinya negara kita, dan lembaga pemerintah dan perusahaan domestik yang relevan harus sangat memperhatikannya dan memperkuat langkah-langkah pencegahan.
5. Tindakan pencegahan
1. Jangan membuka email yang mencurigakan atau mengunduh lampiran yang mencurigakan. Pintu masuk awal untuk serangan semacam itu biasanya adalah email phishing, yang sangat membingungkan, sehingga pengguna perlu waspada, dan perusahaan harus memperkuat pelatihan kesadaran keamanan jaringan karyawan.
2. Terapkan produk keamanan gateway seperti keamanan jaringan, kesadaran situasional dan sistem peringatan dini. Produk keamanan gateway dapat menggunakan intelijen ancaman untuk melacak lintasan perilaku ancaman, membantu pengguna menganalisis perilaku ancaman, menemukan sumber dan tujuan ancaman, melacak sarana dan jalur serangan, memecahkan ancaman jaringan dari sumber, dan menemukan node yang diserang semaksimal mungkin, membantu perusahaan merespons dan menghadapinya lebih cepat.
3. Instal perangkat lunak antivirus yang efektif untuk memblokir dan membunuh dokumen berbahaya dan virus Trojan. Jika pengguna secara tidak sengaja mengunduh dokumen berbahaya, perangkat lunak antivirus dapat memblokir dan membunuhnya, mencegah virus berjalan, dan melindungi keamanan terminal pengguna.
4. Tambal tambalan sistem dan tambalan perangkat lunak penting tepat waktu.
6. Informasi IOC
MD5
D83B3586393CAB724519B27B9857A4B237166FA93D776147E545AAD7E30B41608FD10BD711AB374E8DE9841CF8824758D4C3963B11E1732E1419ADF5F404E50C58DE7C0DF5BD677E1A3CDC099019015DA94BE8863E607DC7988F34F9073099168444A5850EEBA282 4D7C9BAD9189FF7E
URL
https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5https://trans-can.net/ini/Wsx8Gb ... 31878/1346/cab43a7f
|
Diposting pada 21/09/2019 09.15.59
|
|
|
