2019-09-06 1. Introduzione al contesto Recentemente, il Rising Security Research Institute ha catturato due attacchi APT contro la Cina, uno contro le ambasciate di vari paesi cinesi e l'altro contro l'ufficio di rappresentanza di un'azienda tecnologica all'estero. Una volta che un utente apre un documento di phishing, il computer verrà controllato a distanza dall'attaccante, causando il furto di dati riservati interni come informazioni del sistema informatico, installatori e dati del disco. Si ritiene che l'attacco APT sia stato lanciato dalla rinomata organizzazione internazionale "Sidewinder", che ha lanciato numerosi attacchi contro il Pakistan e i paesi del Sud-est asiatico, ma gli ultimi due attacchi APT hanno spesso fatto riferimento alla Cina, uno è travestito da Centro di Cooperazione per la Sicurezza Militare all'Estero dell'Ufficio di Cooperazione Militare Internazionale del Ministero della Difesa Nazionale, e ha inviato falsi inviti agli addetto militari delle ambasciate in Cina; L'altro è stato un attacco all'ufficio di rappresentanza all'estero di un'azienda tecnologica, al quale l'aggressore ha inviato un falso manuale di sicurezza e riservatezza.
Nella foto: Documenti di phishing travestiti da Ministero della Difesa
Secondo l'analisi del Rising Security Research Institute, sebbene i bersagli e il contenuto di questi due attacchi siano diversi dai metodi tecnici utilizzati dagli attaccanti, si conclude che abbia un ottimo rapporto con l'organizzazione APT "Sidewinder", che ha come scopo principale il rubare informazioni riservate nei settori governativo, energetico, militare, minerario e altri. L'attacco ha utilizzato email false come esca per inviare email di phishing relative a ambasciate cinesi e aziende tecnologiche all'estero, sfruttando la vulnerabilità di esecuzione remota di codice di Office (CVE-2017-11882) per inviare email di phishing relative a ambasciate cinesi e aziende tecnologiche, con l'obiettivo di rubare dati riservati importanti, informazioni sulla privacy e tecnologie di ricerca scientifica e tecnologica nel nostro paese. 2. Processo di attacco
Figura: Flusso dell'attacco
3. Analisi delle email di phishing (1) Documento di esca 1. Un documento è mascherato da lettera di invito inviata dal Centro di Cooperazione per la Sicurezza Militare Internazionale dell'Ufficio di Cooperazione Militare Internazionale del Ministero della Difesa Nazionale all'addetto militare delle ambasciate di vari paesi in Cina.
Figura: documento esca
(2) Il contenuto del documento esca 2 è relativo alla revisione del manuale di lavoro sulla sicurezza e riservatezza dell'ufficio rappresentante di una società tecnologica all'estero.
Figura: Contenuto del documento
(3) Analisi dettagliata Entrambi i documenti esca incorporano un oggetto chiamato "Wrapper Shell Object" alla fine, e l'attributo dell'oggetto punta al file 1.a nella directory %temp%. Quindi, aprendo il documento verrà rilasciato il file 1.a scritto dallo script JaveScript nella directory %temp%.
Figura: Proprietà dell'oggetto
Il documento esca sfrutta quindi la vulnerabilità CVE-2017-11882 per attivare l'esecuzione del shellcode 1.a.
Figura: shellcode
Il processo dello shellcode è il seguente: decifra uno script JavaScript tramite XOR 0x12, e la funzione principale di questo script è eseguire il file 1.a nella directory %temp%.
Figura: JavaScript script cifrato
Figura: script JavaScript decritturato
ShellCode cambierà gli argomenti della riga di comando dell'editor di formule in uno script JavaScript e utilizzerà la funzione RunHTMLApplication per eseguire lo script.
Figura: Sostituire la riga di comando
Figura: Esecuzione di JavaScript
3. Analisi antivirus (1) 1.a L'analisi dei file 1.a viene generata tramite lo strumento open-source DotNetToJScript, e la sua funzione principale è eseguire file DLL .net tramite memoria script JavaScript. Lo script decripta prima il file StInstaller.dll e riflette il carico della funzione di lavoro in quella DLL. La funzione di lavoro decripta i parametri in ingresso x (parametro 1) e y (parametro 2), e dopo la decrittazione, x è PROPSYS.dll e y è V1nK38w.tmp.
Figura: 1.un contenuto del copione
(2) StInstaller.dll analisi file StInstaller.dll è un programma .NET che crea una directory funzionante C:\ProgramData\AuthyFiles, per poi rilasciare 3 file nella directory di lavoro, ovvero PROPSYS.dll, V1nK38w.tmp e write.exe.config, e inserire il programma WordPad nella directory di sistema (write.exe) Copia in quella directory. Esegui write.exe (file bianco) per caricare il PROPSYS.dll (file nero) nella stessa cartella ed esegui il codice malevolo con bianco e nero.
Figura: funzione lavorativa
Segue il processo dettagliato: 1. Chiamare la funzione di decrittazione xorIt nella funzione di lavoro per ottenere 3 dati di configurazione importanti, ovvero il nome della directory di lavoro AuthyFiles e il nome di dominiohttps://trans-can.nete imposta il nome chiave del registro authy.
Figura: Dati decriptati
Figura: funzione di decrittazione xorIt
2. Creare una directory operativa C:\ProgramData\AuthyFiles, copiare i file di sistema write.exe nella cartella di lavoro e impostarla per avviare l'autoboot.
Figura: Creazione di AuthyFiles e write.exe
3. Rilascia un file con nome casuale V1nK38w.tmp nella directory di lavoro. 4. Libera il PROPSYS.dll nella cartella di lavoro e aggiorna il nome file del file dove vuoi caricare il programma nel file V1nK38w.tmp.
Figura: Creazione PROPSYS.dll
5. Collegare l'URL completo splicato:https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5Scrivi nel V1nK38w.tmp file. Il file viene quindi criptato usando la funzione EncodeData.
Figura: Crea V1nK38w.tmp file
Figura: Funzione di crittografia EncodeData
6. Creare un file di configurazione write.exe.config per evitare problemi di compatibilità con diverse versioni di .NET.
Figura: Create write.exe.config
Figura :write.exe.config contenuto
7. Esegui C:\ProgramData\AuthyFiles\write.exe per chiamare il PROPSYS.dll malevolo.
Figura: Esecutivo write.exe
(3) L'analisi PROPSYS.dll file utilizza la funzione DecodeData per decifrare il V1nK38w.tmp e caricare il V1nK38w.tmp di esecuzione dopo la decrittazione.
Figura: Caricamento dell'esecuzione V1nK38w.tmp
Figura: Funzione di decrittazione DecodeData
(4) L'analisi V1nK38w.tmp file V1Nk38w.tmp principalmente rubare una grande quantità di informazioni e ricevere istruzioni per l'esecuzione.
Figura: Comportamento principale
1. Caricare la configurazione iniziale, che viene decrittata di default nella risorsa. Il contenuto di configurazione è l'URL, la directory temporanea del file caricato e il furto del suffisso specificato (doc, docx, xls, xlsx, pdf, ppt, pptx).
Figura: Configurazione di caricamento
Figura: Informazioni predefinite sulle risorse decrittografiate
2. La configurazione viene crittografata utilizzando la funzione EncodeData e memorizzata nel registro HKCU\Sotfware\Authy.
Figura: Informazioni di configurazione criptate nel registro
3. Visitare l'indirizzo specificato per scaricare il file e selezionare prima l'URL nelle informazioni di configurazione; altrimenti, selezionare l'URL predefinito:https://trans-can.net/ini/thxqfL ... Mvr/-1/1291/f8ad26b。
Figura: Scarica i dati
4. Integrare le informazioni rubate in un file, il file è denominato: stringa casuale + suffisso specifico, e il contenuto dei dati viene memorizzato nella directory temporanea in testo chiaro.
Nella foto: Rubare file di informazioni
I file con il suffisso .sif memorizzano principalmente informazioni di sistema, informazioni sull'installatore, informazioni sul disco, ecc.
Figura: Informazioni memorizzate dal suffisso .sif
Le informazioni di sistema ottenute sono le seguenti:
Il suffisso è .fls.
Tabella: Registro informativo
Figura: Informazioni di archiviazione per il suffisso .fls
Un file con il suffisso .flc registra le informazioni di tutte le lettere del disco e le informazioni di directory e file sotto la lettera del disco. La tabella seguente mostra le informazioni sulle lettere di unità che l'attaccante desidera ottenere:
Le informazioni della directory che l'attaccante vuole ottenere sono le seguenti:
Le informazioni sul file che l'attaccante vuole ottenere sono le seguenti:
Cattura le eccezioni nell'esecuzione del programma e registra le informazioni delle eccezioni in un file con il suffisso .err.
Figura: Individuare un'eccezione
5. Aggiornare i dati di configurazione memorizzati nel registro: Innanzitutto, attraversare il sistema per trovare file con lo stesso suffisso di uno specifico suffisso, poi leggere e decriptare i dati di configurazione dal registro HKCU\Sotfware\Authy, aggiungere il nome e il percorso dei file trovati ai dati di configurazione e infine criptare le informazioni di configurazione per continuare a memorizzare il registro.
Figura: Trova un file di suffissi specifico
Figura: Registra il percorso del documento da caricare
Figura: Carica un documento con suffisso specificato
6. Aggiornare i dati di configurazione memorizzati nel registro: aggiornare le informazioni del file caricato ai dati di configurazione del registro.
Figura: Informazioni di configurazione decriptate nel registro
7. Comprimere e caricare tutto il contenuto dati del file suffisso specifico registrato nelle informazioni di configurazione del registro.
Figura: Carica un file suffisso
8. Carica file con i suffissi sif, flc, err e fls nella directory staging.
Figura: Carica file
4. Sommario
I due attacchi non erano molto distanti, e gli obiettivi erano entrambi rivolti ad aree sensibili e istituzioni rilevanti in Cina, con lo scopo principale dell'attacco che era rubare informazioni private all'interno dell'organizzazione, al fine di formulare un piano mirato per il prossimo attacco. La maggior parte degli attacchi recentemente rivelati di Sidewinder ha preso di mira il Pakistan e i paesi del Sud-est asiatico, ma questi due attacchi hanno preso di mira la Cina, indicando che gli obiettivi del gruppo sono cambiati e aumentati i suoi attacchi contro la Cina. Quest'anno coincide con il 70° anniversario della fondazione del nostro paese, e le agenzie governative e le imprese nazionali competenti devono prestarvi grande attenzione e rafforzare le misure preventive.
5. Misure preventive
1. Non aprire email sospette né scaricare allegati sospetti. L'ingresso iniziale a tali attacchi è solitamente quello delle email di phishing, che risultano molto confuse, quindi gli utenti devono essere vigili e le aziende dovrebbero rafforzare la formazione sulla sicurezza della rete per i dipendenti.
2. Implementare prodotti di sicurezza gateway come la sicurezza della rete, la consapevolezza situazionale e i sistemi di allerta precoce. I prodotti di sicurezza Gateway possono utilizzare l'intelligence sulle minacce per tracciare la traiettoria del comportamento delle minacce, aiutare gli utenti ad analizzare il comportamento, localizzare fonti e scopi di minaccia, tracciare i mezzi e i percorsi degli attacchi, risolvere le minacce di rete dalla fonte e scoprire i nodi attaccati nella misura più ampia, aiutando le aziende a rispondere e affrontarli più rapidamente.
3. Installare un antivirus efficace per bloccare e eliminare documenti dannosi e virus Trojan. Se l'utente scarica accidentalmente un documento dannoso, il software antivirus può bloccarlo e ucciderlo, impedire l'esecuzione del virus e proteggere la sicurezza del terminale dell'utente.
4. Patchare le patch di sistema e le patch software importanti in tempo.
6. Informazioni IOC
MD5
D83B3586393CAB724519B27B9857A4B237166FA93D776147E545AAD7E30B41608FD10BD711AB374E8DE9841CF8824758D4C3963B11E1732E1419ADF5F404E50C58DE7C0DF5BD677E1A3CDC099019015DA94BE8863E607DC7988F34F9073099168444A5850EEBA282 4D7C9BAD9189FF7E
URL
https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5https://trans-can.net/ini/Wsx8Gb ... 31878/1346/cab43a7f
|
Pubblicato su 21/09/2019 09:15:59
|
|
|
