2019-09-06 1. Bakgrunn Innledning Nylig fanget Rising Security Research Institute to APT-angrep mot Kina, ett rettet mot ambassadene til ulike land i Kina og det andre mot representasjonskontoret til et teknologiselskap i utlandet. Når en bruker åpner et phishing-dokument, vil datamaskinen bli fjernstyrt av angriperen, noe som resulterer i tyveri av intern konfidensiell informasjon som systeminformasjon, installasjonsfiler og diskinformasjon. Det forstås at APT-angrepet ble igangsatt av den internasjonalt anerkjente "Sidewinder"-organisasjonen, som har gjennomført mange angrep på Pakistan og land i Sørøst-Asia, men de to siste APT-angrepene har ofte pekt mot Kina, hvorav ett er forkledd som Overseas Military Security Cooperation Center ved International Military Cooperation Office i Forsvarsdepartementet, og sendte falske invitasjoner til militærattachéer ved ambassader i Kina; Den andre var et angrep på det utenlandske representasjonskontoret til et teknologiselskap, hvor angriperen sendte en falsk sikkerhets- og konfidensialitetsmanual.
Avbildet: Phishing-dokumenter forkledde som Forsvarsdepartementet
Ifølge analysen fra Rising Security Research Institute, selv om målene og innholdet i disse to angrepene er forskjellige fra de tekniske metodene angriperne brukte, konkluderes det med at de har et godt forhold til APT-organisasjonen "Sidewinder", som har som hovedformål å stjele konfidensiell informasjon innen myndighet, energi, militær, mineraler og andre områder. Angrepet brukte falske e-poster som agn for å sende phishing-e-poster relatert til kinesiske ambassader og teknologibedrifter i utlandet, ved å bruke Office Remote Code execution-sårbarheten (CVE-2017-11882) for å sende phishing-e-poster relatert til kinesiske ambassader og teknologibedrifter, med mål om å stjele viktige konfidensielle data, personverninformasjon og vitenskapelig og teknologisk forskningsteknologi i landet vårt. 2. Angrepsprosess
Figur: Angrepsflyt
3. Analyse av phishing-e-poster (1) Lokkedokument 1. Et dokument er forkledd som et invitasjonsbrev sendt av Overseas Military Security Cooperation Center ved International Military Cooperation Office i Forsvarsdepartementet til militærattachéen ved ambassadene til ulike land i Kina.
Figur: Agndokument
(2) Innholdet i agndokumentet 2 er relatert til revisjonen av sikkerhets- og konfidensialitetsmanualen til representasjonskontoret til et teknologiselskap i utlandet.
Figur: Dokumentinnhold
(3) Detaljert analyse Begge lokkedokumentene legger inn et objekt kalt "Wrapper Shell Object" på slutten, og objektattributten peker til 1.a-filen i %temp%-katalogen. Så, ved å åpne dokumentet frigjøres 1.a-filen skrevet av JaveScript-skriptet i %temp%-katalogen.
Figur: Objektegenskaper
Avledningsdokumentet utnytter deretter sårbarheten CVE-2017-11882 for å utløse shellcode-kjøring 1.a.
Figur: shellcode
Shellcode-prosessen er som følger: Dekrypter et JavaScript-skript gjennom XOR 0x12, og hovedfunksjonen til dette skriptet er å kjøre 1.a-filen i %temp%-katalogen.
Figur: JavaScript-skriptchiffertekst
Figur: Dekryptert JavaScript-skript
ShellCode vil endre kommandolinjeargumentene i formeleditoren til et JavaScript-skript, og bruke funksjonen RunHTMLApplication for å kjøre skriptet.
Figur: Bytt ut kommandolinjen
Figur: Kjører JavaScript
3. Virusanalyse (1) 1.a Filanalyse 1.a genereres gjennom det åpne kildekodeverktøyet DotNetToJScript, og hovedfunksjonen er å kjøre .net DLL-filer gjennom JavaScript-skriptminne. Skriptet dekrypterer først StInstaller.dll-filen og reflekterer belastningen av arbeidsfunksjonen i den DLL-en. Arbeidsfunksjonen dekrypterer de innkommende parameterne x (parameter 1) og y (parameter 2), og etter dekryptering er x PROPSYS.dll og y V1nK38w.tmp.
Figur: 1.a skriptinnhold
(2) StInstaller.dll filanalyse StInstaller.dll er et .NET-program, som oppretter en arbeidsmappe C:\ProgramData\AuthyFiles, og deretter frigir 3 filer i arbeidskatalogen, nemlig PROPSYS.dll, V1nK38w.tmp og write.exe.config, og legger WordPad-programmet i systemmappen (write.exe) Kopier til den katalogen. Kjør write.exe (hvit fil) for å laste PROPSYS.dll (svart fil) i samme katalog og kjør den ondsinnede koden med hvit og svart.
Figur: arbeidsfunksjon
Følgende er den detaljerte prosessen: 1. Kall xorIt-dekrypteringsfunksjonen i arbeidsfunksjonen for å hente 3 viktige konfigurasjonsdata, nemlig arbeidskatalognavnet AuthyFiles og domenenavnethttps://trans-can.netog sett registreringsnøkkelnavnet Authy.
Figur: Dekrypterte data
Figur: xorIt-dekrypteringsfunksjon
2. Opprett en arbeidsmappe C:\ProgramData\AuthyFiles, kopier systemfilene write.exe til arbeidsmappen, og sett den til å starte autoboot.
Figur: Opprette AuthyFiles og write.exe
3. Frigi en tilfeldig navngitt fil V1nK38w.tmp i arbeidskatalogen. 4. Frigjør PROPSYS.dll i arbeidsmappen og oppdater filnavnet på filen der du vil laste programmet neste i filen V1nK38w.tmp.
Figur: Skapelsen PROPSYS.dll
5. Lenke til den sammenkoblede fullstendige URL-en:https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5Skriv til filen V1nK38w.tmp. Filen krypteres deretter ved hjelp av EncodeData-funksjonen.
Figur: Opprett V1nK38w.tmp fil
Figur: EncodeData-krypteringsfunksjon
6. Opprett en konfigurasjonsfil write.exe.config for å forhindre kompatibilitetsproblemer med ulike .NET-versjoner.
Figur: Opprett write.exe.config
Figur :write.exe.config-innhold
7. Kjør C:\ProgramData\AuthyFiles\write.exe for å kalle den ondsinnede PROPSYS.dll.
Figur: Utøvende write.exe
(3) PROPSYS.dll filanalyse bruker DecodeData-funksjonen for å dekryptere V1nK38w.tmp, og laste inn kjøringen V1nK38w.tmp etter dekryptering.
Figur: Laster inn kjøringen V1nK38w.tmp
Figur: DecodeData-dekrypteringsfunksjon
(4) V1nK38w.tmp filanalyse V1Nk38w.tmp hovedsakelig å stjele store mengder informasjon og motta instruksjoner for utførelse.
Figur: Hovedatferd
1. Last inn den opprinnelige konfigurasjonen, som dekrypteres som standard i ressursen. Konfigurasjonsinnholdet er URL-en, den midlertidige katalogen til den opplastede filen og stjelingen av det spesifiserte filsuffikset (doc, docx, xls, xlsx, pdf, ppt, pptx).
Figur: Lastekonfigurasjon
Figur: Dekryptert standardressursinformasjon
2. Konfigurasjonen krypteres ved hjelp av EncodeData-funksjonen og lagres i registeret HKCU\Sotfware\Authy.
Figur: Konfigurasjonsinformasjon kryptert i registeret
3. Besøk den angitte adressen for å laste ned filen og velg URL-en i konfigurasjonsinformasjonen først, hvis ikke, velg standard URL:https://trans-can.net/ini/thxqfL ... Mvr/-1/1291/f8ad26b。
Figur: Last ned data
4. Integrer den stjålne informasjonen i en fil, filen heter: tilfeldig streng + spesifikt suffiks, og datainnholdet lagres i den midlertidige katalogen i klartekst.
Avbildet: Stjele informasjonsfiler
Filer med suffikset .sif lagrer hovedsakelig systeminformasjon, installasjonsinformasjon, diskinformasjon osv.
Figur: Informasjon lagret av suffikset .sif
Systeminformasjonen som oppnås er som følger:
Suffikset er .fls.
Tabell: Informasjonspost
Figur: Lagringsinformasjon for suffikset .fls
En fil med suffikset .flc registrerer informasjonen om alle diskbokstaver samt katalog- og filinformasjonen under diskbokstaven. Tabellen nedenfor viser informasjonen om stasjonsbokstavene angriperen ønsker å få tak i:
Kataloginformasjonen angriperen ønsker å få tak i er som følger:
Filinformasjonen angriperen ønsker å få tak i er som følger:
Fanger unntak i programkjøring og logger unntaksinformasjon til en fil med .err-suffikset.
Figur: Å fange et unntak
5. Oppdater konfigurasjonsdataene lagret i registeret: Først går du gjennom systemet for å finne filer med samme suffiks som et spesifikt suffiks, deretter leser og dekrypterer du konfigurasjonsdataene fra registeret HKCU\Sotfware\Authy, legger til navn og sti for de funnede filene i konfigurasjonsdataene, og krypterer til slutt konfigurasjonsinformasjonen for å fortsette å lagre registeret.
Figur: Finn en spesifikk suffiksfil
Figur: Registrer banen til dokumentet som skal lastes opp
Figur: Last opp et spesifisert suffiksdokument
6. Oppdater konfigurasjonsdataene lagret i registeret: Oppdater informasjonen fra den opplastede filen til registerkonfigurasjonsdataene.
Figur: Dekryptert konfigurasjonsinformasjon i registeret
7. Komprimere og laste opp alt datainnhold i den spesifikke suffiksfilen som er registrert i registerets konfigurasjonsinformasjon.
Figur: Last opp en suffiksfil
8. Last opp filer med sif, flc, err og fls-suffikser i staging-katalogen.
Figur: Last opp filer
4. Sammendrag
De to angrepene var ikke langt fra hverandre, og målene for angrepene var både rettet mot sensitive områder og relevante institusjoner i Kina, og formålet med angrepet var hovedsakelig å stjele privat informasjon innenfor organisasjonen for å utforme en målrettet neste angrepsplan. De fleste av de nylig avslørte Sidewinder-angrepene rettet seg mot Pakistan og land i Sørøst-Asia, men disse to angrepene var rettet mot Kina, noe som indikerer at gruppens angrepsmål har endret seg og økt angrepene på Kina. Dette året sammenfaller med 70-årsjubileet for landets grunnleggelse, og relevante innenlandske myndigheter og bedrifter må vie dette stor oppmerksomhet og styrke forebyggende tiltak.
5. Forebyggende tiltak
1. Ikke åpne mistenkelige e-poster eller last ned mistenkelige vedlegg. Den første inngangen til slike angrep er vanligvis phishing-e-poster, som er svært forvirrende, så brukere må være årvåkne, og bedrifter bør styrke opplæringen i nettverkssikkerhet blant ansatte.
2. Implementere gateway-sikkerhetsprodukter som nettverkssikkerhet, situasjonsforståelse og tidlige varslingssystemer. Gateway-sikkerhetsprodukter kan bruke trusselintelligens for å spore trusseladferd, hjelpe brukere med å analysere trusseladferd, lokalisere trusselkilder og formål, spore angrepsmetoder og -ruter, løse nettverkstruper fra kilden, og oppdage de angrepne nodene i størst mulig grad, noe som hjelper virksomheter å svare og håndtere dem raskere.
3. Installere effektiv antivirusprogramvare for å blokkere og drepe ondsinnede dokumenter og trojanske virus. Hvis brukeren ved et uhell laster ned et ondsinnet dokument, kan antivirusprogrammet blokkere og drepe det, forhindre at viruset kjører, og beskytte brukerens terminalsikkerhet.
4. Oppdateringssystemoppdateringer og viktige programvareoppdateringer i tide.
6. IOC-informasjon
MD5
D83B3586393CAB724519B27B9857A4B237166FA93D776147E545AAD7E30B41608FD10BD711AB374E8DE9841CF8824758D4C3963B11E1732E1419ADF5F404E50C58DE7C0DF5BD677E1A3CDC099019015DA94BE8863E607DC7988F34F9073099168444A5850EEBA282 4D7C9BAD9189FF7E
URL
https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5https://trans-can.net/ini/Wsx8Gb ... 31878/1346/cab43a7f
|
Publisert på 21.09.2019 09:15:59
|
|
|
