2019-09-06 1. Ievads Nesen Rising Security Research Institute notvēra divus APT uzbrukumus Ķīnai, viens bija vērsts pret dažādu valstu vēstniecībām Ķīnā, bet otrs bija vērsts pret tehnoloģiju uzņēmuma pārstāvniecību ārzemēs. Kad lietotājs atver pikšķerēšanas dokumentu, uzbrucējs attālināti kontrolē datoru, kā rezultātā tiek nozagti iekšējie konfidenciālie dati, piemēram, datora sistēmas informācija, instalētāji un diska informācija. Tiek saprasts, ka APT uzbrukumu uzsāka starptautiski pazīstamā organizācija "Sidewinder", kas ir uzsākusi daudzus uzbrukumus Pakistānai un Dienvidaustrumāzijas valstīm, bet pēdējie divi APT uzbrukumi bieži ir norādījuši uz Ķīnu, viens ir maskēts kā Nacionālās aizsardzības ministrijas Starptautiskās militārās sadarbības biroja Aizjūras militārās drošības sadarbības centrs un nosūtīja viltus ielūgumus vēstniecību militārajiem atašejiem Ķīnā; Otrs bija uzbrukums tehnoloģiju uzņēmuma ārvalstu pārstāvniecībai, kurai uzbrucējs nosūtīja viltotu drošības un konfidencialitātes rokasgrāmatu.
Attēlā: pikšķerēšanas dokumenti, kas maskēti kā Aizsardzības ministrija
Saskaņā ar Rising Security Research Institute analīzi, lai gan šo divu uzbrukumu mērķi un saturs atšķiras, no uzbrucēju izmantotajām tehniskajām metodēm tiek secināts, ka tai ir lieliskas attiecības ar APT organizāciju "Sidewinder", kuras galvenais mērķis ir nozagt konfidenciālu informāciju valdības, enerģētikas, militārās, minerālu un citās jomās. Uzbrukums izmantoja viltotus e-pastus kā ēsmu, lai nosūtītu pikšķerēšanas e-pastus, kas saistīti ar Ķīnas vēstniecībām un tehnoloģiju uzņēmumiem ārzemēs, izmantojot Office attālās koda izpildes ievainojamību (CVE-2017-11882), lai nosūtītu pikšķerēšanas e-pastus, kas saistīti ar Ķīnas vēstniecībām un tehnoloģiju uzņēmumiem, ar mērķi nozagt svarīgus konfidenciālus datus, privātuma informāciju un zinātniskās un tehnoloģiskās pētniecības tehnoloģijas mūsu valstī. 2. Uzbrukuma process
Attēls: Uzbrukuma plūsma
3. Pikšķerēšanas e-pastu analīze (1) Ēsmas dokuments 1. Dokuments ir maskēts kā ielūguma vēstule, ko Nacionālās aizsardzības ministrijas Starptautiskās militārās sadarbības biroja Aizjūras militārās drošības sadarbības centrs nosūtījis dažādu Ķīnas valstu vēstniecību militārajam atašejam.
Attēls: Ēsmas dokuments
(2) Ēsmas dokumenta 2 saturs ir saistīts ar tehnoloģiju uzņēmuma pārstāvniecības ārvalstīs drošības un konfidencialitātes darba rokasgrāmatas pārskatīšanu.
Attēls: dokumenta saturs
(3) Detalizēta analīze Abos mānekļu dokumentos beigās ir iestrādāts objekts ar nosaukumu "Wrapper Shell Object", un objekta atribūts norāda uz 1.a failu %temp% direktorijā. Tātad, atverot dokumentu, tiks atbrīvots 1.a fails, ko rakstījis JaveScript skripts direktorijā %temp%.
Attēls: Objekta rekvizīti
Pēc tam mānekļa dokuments izmanto ievainojamību CVE-2017-11882, lai aktivizētu čaulas koda izpildi 1.a.
Attēls: čaulas kods
Čaulas koda process ir šāds: Atšifrējiet JavaScript skriptu, izmantojot XOR 0x12, un šī skripta galvenā funkcija ir izpildīt 1.a failu %temp% direktorijā.
Attēls: JavaScript skripta šifrēts teksts
Attēls: atšifrēts JavaScript skripts
ShellCode mainīs formulu redaktora komandrindas argumentus uz JavaScript skriptu un skripta izpildei izmantos funkciju RunHTMLApplication.
Attēls: Komandrindas nomaiņa
Attēls: JavaScript palaišana
3. Vīrusu analīze (1) 1.a Failu analīze 1.a tiek ģenerēta, izmantojot atvērtā koda rīku DotNetToJScript, un tā galvenā funkcija ir izpildīt .net DLL failus, izmantojot JavaScript skriptu atmiņu. Skripts vispirms atšifrē StInstaller.dll failu un atspoguļo darba funkcijas slodzi šajā DLL. Darba funkcija atšifrē ienākošos parametrus x (1. parametrs) un y (2. parametrs), un pēc atšifrēšanas x ir PROPSYS.dll un y ir V1nK38w.tmp.
Attēls: 1.a skripta saturs
(2) StInstaller.dll failu analīzes StInstaller.dll ir .NET programma, kas izveidos darba direktoriju C: \ ProgramData \ AuthyFiles un pēc tam izlaidīs 3 failus darba direktorijā, proti, PROPSYS.dll, V1nK38w.tmp un write.exe.config, un ievietos WordPad programmu sistēmas direktorijā (write.exe) Kopēt uz šo direktoriju. Palaidiet write.exe (balts fails), lai ielādētu PROPSYS.dll (melnais fails) tajā pašā direktorijā un palaist ļaunprātīgo kodu baltā un melnā krāsā.
Attēls: darba funkcija
Detalizēts process ir šāds: 1. Izsauciet xorIt atšifrēšanas funkciju darba funkcijā, lai iegūtu 3 svarīgus konfigurācijas datus, proti, darba direktorija nosaukumu AuthyFiles un domēna nosaukumuhttps://trans-can.netun iestatiet reģistra atslēgas nosaukumu Authy.
Attēls: Atšifrēti dati
Attēls: xorIt atšifrēšanas funkcija
2. Izveidojiet darba direktoriju C: \ ProgramData \ AuthyFiles, kopējiet sistēmas failus write.exe uz darba direktoriju un iestatiet to uz boot autoboot.
Attēls: AuthyFiles un write.exe izveide
3. Atbrīvojiet nejauši nosauktu failu V1nK38w.tmp darba direktorijā. 4. Atbrīvojiet PROPSYS.dll darba direktorijā un atjauniniet faila nosaukumu, kurā vēlaties ielādēt programmu nākamajā faila V1nK38w.tmp.
Attēls: Radīšana PROPSYS.dll
5. Saistiet savienoto pilnu URL:https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5Rakstiet V1nK38w.tmp failā. Pēc tam fails tiek šifrēts, izmantojot funkciju EncodeData.
Attēls: V1nK38w.tmp faila izveide
Attēls: EncodeData šifrēšanas funkcija
6. Izveidojiet konfigurācijas failu write.exe.config, lai novērstu saderības problēmas ar dažādām .NET versijām.
Attēls: Izveidot write.exe.config
Attēls :write.exe.config saturs
7. Izpildiet C:\ProgramData\AuthyFiles\write.exe, lai izsauktu ļaunprātīgo PROPSYS.dll.
Attēls: Izpildvaras write.exe
(3) PROPSYS.dll failu analīze izmanto funkciju DecodeData, lai atšifrētu V1nK38w.tmp un ielādētu izpildes V1nK38w.tmp pēc atšifrēšanas.
Attēls: Izpildes V1nK38w.tmp ielāde
Attēls: DecodeData atšifrēšanas funkcija
(4) V1nK38w.tmp failu analīze galvenokārt V1Nk38w.tmp liela apjoma informācijas nozagšana un izpildes instrukciju saņemšana.
Attēls: Galvenā uzvedība
1. Ielādējiet sākotnējo konfigurāciju, kas pēc noklusējuma ir atšifrēta resursā. Konfigurācijas saturs ir URL, augšupielādētā faila pagaidu direktorijs un norādītā faila sufiksa (doc, docx, xls, xlsx, pdf, ppt, pptx) nozagšana.
Attēls: Ielādes konfigurācija
Attēls: Atšifrēta noklusējuma resursa informācija
2. Konfigurācija tiek šifrēta, izmantojot funkciju EncodeData, un saglabāta reģistrā HKCU\Sotfware\Authy.
Attēls: reģistrā šifrēta konfigurācijas informācija
3. Apmeklējiet norādīto adresi, lai lejupielādētu failu, un vispirms konfigurācijas informācijā atlasiet URL, ja nē, atlasiet noklusējuma URL:https://trans-can.net/ini/thxqfL ... Mvr/-1/1291/f8ad26b。
Attēls: Lejupielādēt datus
4. Integrējiet nozagto informāciju failā, fails tiek nosaukts: nejauša virkne + īpašs sufikss, un datu saturs tiek glabāts pagaidu direktorijā vienkāršā tekstā.
Attēlā: informācijas failu zagšana
Faili ar sufiksu .sif galvenokārt glabā sistēmas informāciju, instalētāja informāciju, diska informāciju utt.
Attēls: Informācija, kas tiek glabāta ar sufiksu .sif
Iegūtā sistēmas informācija ir šāda:
Piedēklis ir .fls.
Tabula: Informācijas ieraksts
Attēls: Sufiksa .fls glabāšanas informācija
Fails ar sufiksu .flc ieraksta informāciju par visiem diska burtiem un direktoriju un faila informāciju zem diska burta. Tālāk esošajā tabulā ir parādīta informācija par diska burtu, ko uzbrucējs vēlas iegūt:
Direktorija informācija, ko uzbrucējs vēlas iegūt, ir šāda:
Faila informācija, ko uzbrucējs vēlas iegūt, ir šāda:
Uztver izņēmumus programmas izpildē un reģistrē izņēmuma informāciju failā ar .err sufiksu.
Attēls: Izņēmuma noķeršana
5. Atjauniniet reģistrā saglabātos konfigurācijas datus: vispirms šķērsojiet sistēmu, lai atrastu failus ar tādu pašu sufiksu kā konkrētu sufiksu, pēc tam izlasiet un atšifrējiet konfigurācijas datus no reģistra HKCU \ Sotfware \ Authy, pievienojiet konfigurācijas datiem atrasto failu nosaukumu un ceļu un visbeidzot šifrējiet konfigurācijas informāciju, lai turpinātu reģistra glabāšanu.
Attēls: Konkrēta sufiksa faila atrašana
Attēls: ierakstiet augšupielādējamā dokumenta ceļu
Attēls: Augšupielādējiet norādīto sufiksu dokumentu
6. Atjauniniet reģistrā saglabātos konfigurācijas datus: atjauniniet augšupielādētā faila informāciju reģistra konfigurācijas datos.
Attēls: Atšifrēta konfigurācijas informācija reģistrā
7. Saspiediet un augšupielādējiet visu reģistra konfigurācijas informācijā ierakstītā konkrētā sufiksa faila datu saturu.
Attēls: Sufiksa faila augšupielāde
8. Augšupielādējiet failus ar sif, flc, err un fls sufiksiem pastaigāšanās direktorijā.
Attēls: Augšupielādēt failus
4. Kopsavilkums
Abi uzbrukumi nebija ilgi viens no otra, un uzbrukumu mērķi bija vērsti uz sensitīvām zonām un attiecīgajām iestādēm Ķīnā, un uzbrukuma mērķis galvenokārt bija nozagt privātu informāciju organizācijā, lai formulētu mērķtiecīgu nākamā uzbrukuma plānu. Lielākā daļa nesen atklāto Sidewinder uzbrukumu bija vērsti pret Pakistānu un Dienvidaustrumāzijas valstīm, bet šie divi uzbrukumi bija vērsti pret Ķīnu, norādot, ka grupas uzbrukuma mērķi ir mainījušies un palielinājuši uzbrukumus Ķīnai. Šis gads sakrīt ar mūsu valsts dibināšanas 70. gadadienu, un attiecīgajām vietējām valdības aģentūrām un uzņēmumiem tam ir jāpievērš liela uzmanība un jāstiprina preventīvie pasākumi.
5. Preventīvie pasākumi
1. Neatveriet aizdomīgus e-pastus un nelejupielādējiet aizdomīgus pielikumus. Sākotnējā ieeja šādos uzbrukumos parasti ir pikšķerēšanas e-pasti, kas ir ļoti mulsinoši, tāpēc lietotājiem jābūt modriem, un uzņēmumiem jāstiprina darbinieku tīkla drošības izpratnes apmācība.
2. Ieviest vārtejas drošības produktus, piemēram, tīkla drošības situācijas apzināšanās un agrīnās brīdināšanas sistēmas. Vārtejas drošības produkti var izmantot draudu informāciju, lai izsekotu draudu uzvedības trajektoriju, palīdzētu lietotājiem analizēt draudu uzvedību, atrast draudu avotus un mērķus, izsekot uzbrukumu līdzekļus un ceļus, atrisināt tīkla draudus no avota un atklāt uzbrukuma mezglus, palīdzot uzņēmumiem ātrāk reaģēt un tikt galā ar tiem.
3. Instalējiet efektīvu pretvīrusu programmatūru, lai bloķētu un iznīcinātu ļaunprātīgus dokumentus un Trojas vīrusus. Ja lietotājs nejauši lejupielādē ļaunprātīgu dokumentu, pretvīrusu programmatūra var to bloķēt un nogalināt, novērst vīrusa darbību un aizsargāt lietotāja termināļa drošību.
4. Savlaicīgi ielāpējiet sistēmas ielāpus un svarīgus programmatūras ielāpus.
6. SOK informācija
MD5
D83B3586393CAB724519B27B9857A4B237166FA93D776147E545AAD7E30B41608FD10BD711AB374E8DE9841CF8824758D4C3963B11E1732E1419ADF5F404E50C58DE7C0DF5BD677E1A3CDC099019015DA94BE8863E607DC7988F34F9073099168444A5850EEBA282 4D7C9BAD9189FF7E
URL
https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5https://trans-can.net/ini/Wsx8Gb ... 31878/1346/cab43a7f
|
Publicēts 21.09.2019 09:15:59
|
|
|
