2019-09-06 1. Pagrindiniai faktai Įvadas Neseniai "Rising Security Research Institute" užfiksavo dvi APT atakas prieš Kiniją, viena nukreipta prieš įvairių šalių ambasadas Kinijoje, o kita – į technologijų įmonės atstovybę užsienyje. Kai vartotojas atidaro sukčiavimo dokumentą, užpuolikas nuotoliniu būdu valdys kompiuterį, todėl bus pavogti vidiniai konfidencialūs duomenys, tokie kaip kompiuterio sistemos informacija, diegimo programos ir disko informacija. Suprantama, kad APT ataką pradėjo tarptautiniu mastu žinoma organizacija "Sidewinder", kuri pradėjo daug išpuolių prieš Pakistaną ir Pietryčių Azijos šalis, tačiau pastarosios dvi APT atakos dažnai buvo nukreiptos į Kiniją, viena yra užmaskuota kaip Nacionalinio gynybos ministerijos Tarptautinio karinio bendradarbiavimo biuro Užjūrio karinio saugumo bendradarbiavimo centras ir išsiuntė melagingus kvietimus ambasadų Kinijoje kariniams atašė; Kitas buvo išpuolis prieš technologijų bendrovės atstovybę užsienyje, kuriai užpuolikas nusiuntė suklastotą saugumo ir konfidencialumo vadovą.
Nuotraukoje: sukčiavimo dokumentai, užmaskuoti kaip Gynybos ministerija
Remiantis Kylančio saugumo tyrimų instituto analize, nors šių dviejų atakų taikiniai ir turinys skiriasi, nuo užpuolikų naudojamų techninių metodų daroma išvada, kad ji palaiko puikius santykius su APT organizacija "Sidewinder", kurios pagrindinis tikslas yra pavogti konfidencialią informaciją vyriausybės, energetikos, kariuomenės, mineralų ir kitose srityse. Atakos metu buvo naudojami suklastoti el. laiškai, susiję su Kinijos ambasadomis ir technologijų įmonėmis užsienyje, naudojant "Office" nuotolinio kodo vykdymo pažeidžiamumą (CVE-2017-11882), kad būtų siunčiami sukčiavimo el. laiškai, susiję su Kinijos ambasadomis ir technologijų įmonėmis, siekiant pavogti svarbius konfidencialius duomenis, privatumo informaciją ir mokslinių bei technologinių tyrimų technologijas mūsų šalyje. 2. Atakos procesas
Paveikslėlis: atakos srautas
3. Sukčiavimo el. laiškų analizė (1) Masalo dokumentas 1. Dokumentas užmaskuotas kaip kvietimas, kurį Krašto apsaugos ministerijos Tarptautinio karinio bendradarbiavimo biuro Užjūrio karinio saugumo bendradarbiavimo centras siunčia įvairių šalių ambasadų Kinijos kariniam atašė.
Paveikslėlis: Jauko dokumentas
(2) 2 masalo dokumento turinys susijęs su technologijų bendrovės atstovybės užsienyje saugumo ir konfidencialumo darbo vadovo peržiūra.
Paveikslėlis: dokumento turinys
(3) Išsami analizė Abiejuose jauko dokumentuose pabaigoje įterpiamas objektas, vadinamas "Wrapper Shell Object", o objekto atributas nurodo į 1.a failą %temp% kataloge. Taigi, atidarius dokumentą, bus išleistas 1.a failas, parašytas JaveScript scenarijaus %temp% kataloge.
Paveikslėlis: objekto ypatybės
Tada masalo dokumentas išnaudoja pažeidžiamumą CVE-2017-11882, kad suaktyvintų apvalkalo kodo vykdymą 1.a.
Paveikslėlis: apvalkalo kodas
Apvalkalo kodo procesas yra toks: Iššifruokite JavaScript scenarijų naudodami XOR 0x12, o pagrindinė šio scenarijaus funkcija yra vykdyti 1.a failą %temp% kataloge.
Paveikslėlis: JavaScript scenarijaus šifravimo tekstas
Paveikslėlis: iššifruotas JavaScript scenarijus
"ShellCode" pakeis formulės rengyklės komandinės eilutės argumentus į "JavaScript" scenarijų ir naudos funkciją "RunHTMLApplication", kad vykdytų scenarijų.
Paveikslėlis: pakeiskite komandinę eilutę
Paveikslėlis: JavaScript paleidimas
3. Virusų analizė (1) 1.a Failų analizė 1.a generuojama naudojant atvirojo kodo DotNetToJScript įrankį, o jo pagrindinė funkcija yra vykdyti .net DLL failus per JavaScript scenarijaus atmintį. Scenarijus pirmiausia iššifruoja StInstaller.dll failą ir atspindi darbo funkcijos apkrovą tame DLL. Darbo funkcija iššifruoja gaunamus parametrus x (1 parametras) ir y (2 parametras), o po iššifravimo x yra PROPSYS.dll, o y - V1nK38w.tmp.
Paveikslėlis: 1.a scenarijaus turinys
(2) StInstaller.dll failų analizės StInstaller.dll yra .NET programa, kuri sukurs darbinį katalogą C: \ ProgramData \ AuthyFiles, o tada išleis 3 failus darbiniame kataloge, būtent PROPSYS.dll, V1nK38w.tmp ir write.exe.config, ir įdės WordPad programą į sistemos katalogą (write.exe) Kopijuoti į tą katalogą. Paleiskite write.exe (baltas failas), kad įkeltumėte PROPSYS.dll (juodą failą) tame pačiame kataloge ir paleiskite kenkėjišką kodą balta ir juoda.
Paveikslėlis: darbo funkcija
Toliau pateikiamas išsamus procesas: 1. Iškvieskite "xorIt" iššifravimo funkciją darbo funkcijoje, kad gautumėte 3 svarbius konfigūracijos duomenis, būtent darbinio katalogo pavadinimą "AuthyFiles" ir domeno pavadinimąhttps://trans-can.netir nustatykite registro rakto pavadinimą Authy.
Paveikslėlis: iššifruoti duomenys
Paveikslėlis: xorIt iššifravimo funkcija
2. Sukurkite darbinį katalogą C:\ProgramData\AuthyFiles, nukopijuokite sistemos failus write.exe į darbinį katalogą ir nustatykite automatinį įkrovimą.
Paveikslėlis: "AuthyFiles" ir "write.exe" kūrimas
3. Išleiskite atsitiktinai pavadintą failo V1nK38w.tmp darbiniame kataloge. 4. Atlaisvinkite PROPSYS.dll darbiniame kataloge ir atnaujinkite failo, kuriame norite įkelti programą, failo pavadinimą V1nK38w.tmp.
Paveikslėlis: Sukūrimo PROPSYS.dll
5. Susiekite sujungtą visą URL:https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5Rašykite į V1nK38w.tmp failą. Tada failas užšifruojamas naudojant funkciją EncodeData.
Paveikslėlis: V1nK38w.tmp failo kūrimas
Paveikslėlis: "EncodeData" šifravimo funkcija
6. Sukurkite konfigūracijos failą write.exe.config, kad išvengtumėte suderinamumo problemų su skirtingomis .NET versijomis.
Paveikslėlis: Sukurkite write.exe.config
:write.exe pav.config turinys
7. Vykdykite C:\ProgramData\AuthyFiles\write.exe, kad iškviestumėte kenkėjišką PROPSYS.dll.
Paveikslėlis: Vykdomoji write.exe
(3) PROPSYS.dll failų analizė naudoja funkciją "DecodeData", kad iššifruotų V1nK38w.tmp ir įkeltų vykdymo V1nK38w.tmp po iššifravimo.
Paveikslėlis: Vykdymo V1nK38w.tmp įkėlimas
Paveikslėlis: DecodeData iššifravimo funkcija
(4) V1nK38w.tmp bylų analizė daugiausia V1Nk38w.tmp pavogti didelį kiekį informacijos ir gauti vykdymo instrukcijas.
Paveikslėlis: Pagrindinis elgesys
1. Įkelkite pradinę konfigūraciją, kuri pagal numatytuosius nustatymus iššifruojama ištekliuose. Konfigūracijos turinys yra URL, laikinas įkelto failo katalogas ir nurodytos failo priesagos vagystė (doc, docx, xls, xlsx, pdf, ppt, pptx).
Paveikslėlis: Įkeliama konfigūracija
Paveikslėlis: Iššifruota numatytųjų išteklių informacija
2. Konfigūracija užšifruojama naudojant funkciją EncodeData ir saugoma registre HKCU\Sotfware\Authy.
Paveikslėlis: Konfigūracijos informacija užšifruota registre
3. Apsilankykite nurodytu adresu, kad atsisiųstumėte failą, ir pirmiausia pasirinkite URL konfigūracijos informacijoje, jei ne, pasirinkite numatytąjį URL:https://trans-can.net/ini/thxqfL ... Mvr/-1/1291/f8ad26b。
Paveikslėlis: Atsisiųsti duomenis
4. Integruokite pavogtą informaciją į failą, failas pavadintas: atsitiktinė eilutė + konkreti priesaga, o duomenų turinys saugomas laikinajame kataloge paprastu tekstu.
Nuotraukoje: informacijos failų vagystė
Failuose su priesaga .sif daugiausia saugoma sistemos informacija, diegimo programos informacija, disko informacija ir kt.
Paveikslėlis: Informacija, saugoma priesaga .sif
Gauta sistemos informacija yra tokia:
Priesaga yra .fls.
Lentelė: Informacijos įrašas
Paveikslėlis: priesagos .fls saugojimo informacija
Failas su priesaga .flc įrašo visų disko raidžių informaciją ir katalogo bei failo informaciją po disko raide. Šioje lentelėje pateikiama disko raidės informacija, kurią užpuolikas nori gauti:
Katalogo informacija, kurią užpuolikas nori gauti, yra tokia:
Failo informacija, kurią užpuolikas nori gauti, yra tokia:
Fiksuoja programos vykdymo išimtis ir registruoja išimčių informaciją faile su .err priesaga.
Paveikslėlis: Išimtis
5. Atnaujinkite registre saugomus konfigūracijos duomenis: Pirmiausia pereikite sistemą, kad rastumėte failus su ta pačia priesaga kaip ir konkreti priesaga, tada perskaitykite ir iššifruokite konfigūracijos duomenis iš registro HKCU\Sotfware\Authy, pridėkite rastų failų pavadinimą ir kelią į konfigūracijos duomenis ir galiausiai užšifruokite konfigūracijos informaciją, kad galėtumėte toliau saugoti registrą.
Paveikslėlis: konkretaus priesagos failo radimas
Paveikslėlis: įrašykite nusiųsto dokumento kelią
Paveikslėlis: nurodyto priesagos dokumento nusiuntimas
6. Atnaujinkite registre saugomus konfigūracijos duomenis: atnaujinkite įkelto failo informaciją į registro konfigūracijos duomenis.
Paveikslėlis: Iššifruota konfigūracijos informacija registre
7. Suspauskite ir įkelkite visą konkretaus priesagos failo duomenų turinį, įrašytą į registro konfigūracijos informaciją.
Paveikslėlis: priesagos failo nusiuntimas
8. Įkelkite failus su sif, flc, err ir fls priesagomis į pastatymo katalogą.
Paveikslėlis: failų įkėlimas
4. Santrauka
Abi atakos neilgai skyrėsi, o atakų taikiniai buvo nukreipti į jautrias vietoves ir atitinkamas institucijas Kinijoje, o atakos tikslas daugiausia buvo pavogti privačią informaciją organizacijos viduje, kad būtų suformuluotas tikslinis kitos atakos planas. Dauguma neseniai atskleistų "Sidewinder" atakų buvo nukreiptos į Pakistaną ir Pietryčių Azijos šalis, tačiau šios dvi atakos buvo nukreiptos į Kiniją, o tai rodo, kad grupuotės atakų taikiniai pasikeitė ir padidino atakas prieš Kiniją. Šie metai sutampa su 70-osiomis mūsų šalies įkūrimo metinėmis, o atitinkamos šalies vyriausybinės agentūros ir įmonės turi tam skirti didelį dėmesį ir sustiprinti prevencines priemones.
5. Prevencinės priemonės
1. Neatidarykite įtartinų el. laiškų ir neatsisiųskite įtartinų priedų. Pradinis tokių atakų įėjimas paprastai yra sukčiavimo el. laiškai, kurie yra labai painūs, todėl vartotojai turi būti budrūs, o įmonės turėtų sustiprinti darbuotojų tinklo saugumo mokymus.
2. Diegti tinklų saugos produktus, tokius kaip tinklo saugumas, informuotumas apie padėtį ir ankstyvojo perspėjimo sistemos. "Gateway" saugos produktai gali naudoti grėsmių žvalgybą, kad atsektų grėsmės elgsenos trajektoriją, padėtų vartotojams analizuoti grėsmės elgseną, rasti grėsmių šaltinius ir tikslus, atsekti atakų priemones ir kelius, išspręsti tinklo grėsmes nuo šaltinio ir kuo labiau aptikti užpultus mazgus, padedant įmonėms greičiau reaguoti ir su jomis susidoroti.
3. Įdiekite veiksmingą antivirusinę programinę įrangą, kad blokuotumėte ir naikintumėte kenkėjiškus dokumentus ir Trojos arklio virusus. Jei vartotojas netyčia atsisiunčia kenkėjišką dokumentą, antivirusinė programinė įranga gali jį užblokuoti ir nužudyti, neleisti virusui veikti ir apsaugoti vartotojo terminalo saugumą.
4. Laiku pataisykite sistemos pataisas ir svarbius programinės įrangos pataisymus.
6. TOK informacija
MD5
D83B3586393CAB724519B27B9857A4B237166FA93D776147E545AAD7E30B41608FD10BD711AB374E8DE9841CF8824758D4C3963B11E1732E1419ADF5F404E50C58DE7C0DF5BD677E1A3CDC099019015DA94BE8863E607DC7988F34F9073099168444A5850EEBA282 4D7C9BAD9189FF7E
URL
https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5https://trans-can.net/ini/Wsx8Gb ... 31878/1346/cab43a7f
|
Paskelbta 2019-09-21 09:15:59
|
|
|
