2019-09-06 1. Achtergrond Inleiding Onlangs heeft het Rising Security Research Institute twee APT-aanvallen op China vastgelegd, één gericht op ambassades van verschillende landen in China en de andere gericht op het vertegenwoordigingskantoor van een technologiebedrijf in het buitenland. Zodra een gebruiker een phishingdocument opent, wordt de computer op afstand bestuurd door de aanvaller, wat leidt tot diefstal van interne vertrouwelijke gegevens zoals systeeminformatie, installaties en schijfinformatie. Het is bekend dat de APT-aanval werd uitgevoerd door de internationaal gerenommeerde organisatie "Sidewinder", die vele aanvallen op Pakistan en Zuidoost-Aziatische landen heeft uitgevoerd, maar de laatste twee APT-aanvallen wezen vaak op China; één daarvan is vermomd als het Overseas Military Security Cooperation Center van het International Military Cooperation Office van het Ministerie van Defensie, en stuurde valse uitnodigingen naar militaire attachés van ambassades in China; De andere was een aanval op het buitenlandse vertegenwoordigingskantoor van een technologiebedrijf, waaraan de aanvaller een vals beveiligings- en geheimhoudingshandboek stuurde.
Op de foto: Phishingdocumenten vermomd als het Ministerie van Defensie
Volgens de analyse van het Rising Security Research Institute, hoewel de doelen en inhoud van deze twee aanvallen verschillen van de technische methoden van de aanvallers, wordt geconcludeerd dat het een sterke relatie heeft met de APT-organisatie "Sidewinder", die als hoofddoel heeft vertrouwelijke informatie te stelen op het gebied van overheid, energie, leger, mineralen en andere gebieden. De aanval gebruikte valse e-mails als lokmiddel om phishing-e-mails te versturen met betrekking tot Chinese ambassades en technologiebedrijven in het buitenland, waarbij de Office remote code execution (CVE-2017-11882) werd gebruikt om phishing-e-mails te versturen met betrekking tot Chinese ambassades en technologiebedrijven, met als doel belangrijke vertrouwelijke gegevens, privacy-informatie en wetenschappelijke en technologische onderzoekstechnologie in ons land te stelen. 2. Aanvalsproces
Figuur: Aanvalsstroom
3. Analyse van phishing-e-mails (1) Lokdocument 1. Een document is vermomd als een uitnodigingsbrief gestuurd door het Overseas Military Security Cooperation Center van het International Military Cooperation Office van het Ministerie van Defensie aan de militaire attaché van de ambassades van verschillende landen in China.
Figuur: Lokaasdocument
(2) De inhoud van het lokdocument 2 heeft betrekking op de herziening van het beveiligings- en vertrouwelijkheidswerkboek van het vertegenwoordigingskantoor van een technologiebedrijf in het buitenland.
Figuur: Documentinhoud
(3) Gedetailleerde analyse Beide lokdocumenten embedden aan het einde een object genaamd "Wrapper Shell Object", en het objectattribuut verwijst naar het 1.a-bestand in de %temp%-map. Dus als je het document opent, wordt het 1.a-bestand dat door het JaveScript-script is geschreven in de %temp%-map vrijgegeven.
Figuur: Objecteigenschappen
Het lokdocument maakt vervolgens gebruik van de kwetsbaarheid CVE-2017-11882 om shellcode-uitvoering 1.a te activeren.
Figuur: shellcode
Het shellcode-proces is als volgt: Decrypt een JavaScript-script via XOR 0x12, en de hoofdfunctie van dit script is het uitvoeren van het 1.a-bestand in de %temp%-map.
Figuur: JavaScript-scriptciphertext
Figuur: Gedecrypteerd JavaScript-script
ShellCode verandert de commandoregelargumenten van de formule-editor in een JavaScript-script en gebruikt de functie RunHTMLApplication om het script uit te voeren.
Figuur: Vervang de opdrachtregel
Figuur: JavaScript draaien
3. Virusanalyse (1) 1.a Bestandsanalyse 1.a wordt gegenereerd via de open-source DotNetToJScript-tool, en de belangrijkste functie is het uitvoeren van .net DLL-bestanden via JavaScript-scriptgeheugen. Het script ontsleutelt eerst het StInstaller.dll-bestand en weerspiegelt de belasting van de werkfunctie in die DLL. De werkfunctie ontsleutelt de binnenkomende parameters x (parameter 1) en y (parameter 2), en na ontsleuteling is x PROPSYS.dll en y V1nK38w.tmp.
Figuur: 1.a scriptinhoud
(2) StInstaller.dll bestandsanalyse StInstaller.dll is een .NET-programma, dat een werkmap C:\ProgramData\AuthyFiles aanmaakt, vervolgens 3 bestanden in de werkmap vrijgeeft, namelijk PROPSYS.dll, V1nK38w.tmp en write.exe.config, en het WordPad-programma in de systeemmap (write.exe) plaatst. Kopieer naar die map. Voer write.exe (wit bestand) uit om de PROPSYS.dll (zwart bestand) in dezelfde map te laden en voer de kwaadaardige code uit met wit en zwart.
Figuur: werkfunctie
Het volgende is het gedetailleerde proces: 1. Roep de xorIt-decryptiefunctie aan in de werkfunctie om 3 belangrijke configuratiegegevens te verkrijgen, namelijk de werkmapnaam AuthyFiles en de domeinnaamhttps://trans-can.neten stel de naam van de registratiesleutel Authy in.
Figuur: Gedecrypteerde data
Figuur: xorIt-decryptiefunctie
2. Maak een werkmap C:\ProgramData\AuthyFiles aan, kopieer de systeembestanden write.exe naar de werkmap en stel deze in om automatisch op te starten.
Figuur: het aanmaken van AuthyFiles en write.exe
3. Geef een willekeurig benoemd bestand V1nK38w.tmp in de werkmap. 4. Maak de PROPSYS.dll vrij in de werkmap en werk de bestandsnaam bij van het bestand waar je het programma vervolgens wilt laden in het bestand V1nK38w.tmp.
Figuur: Creatie PROPSYS.dll
5. Link naar de volledige gesplitste URL:https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5Schrijf naar V1nK38w.tmp bestand. Het bestand wordt vervolgens versleuteld met de functie EncodeData.
Figuur: Maak V1nK38w.tmp bestand aan
Figuur: EncodeData-encryptiefunctie
6. Maak een configuratiebestand write.exe.config aan om compatibiliteitsproblemen met verschillende .NET-versies te voorkomen.
Figuur: Maak write.exe.config
Figuur :write.exe.config-inhoud
7. Voer C:\ProgramData\Authywrite.exeFiles\ uit om de kwaadaardige PROPSYS.dll aan te roepen.
Figuur: Uitvoerend write.exe
(3) PROPSYS.dll bestandsanalyse gebruikt de DecodeData-functie om de V1nK38w.tmp te ontsleutelen en de uitvoering na de ontsleuteling te laden V1nK38w.tmp.
Figuur: De uitvoering wordt geladen V1nK38w.tmp
Figuur: DecodeData decryptiefunctie
(4) V1nK38w.tmp bestandsanalyse V1Nk38w.tmp voornamelijk het stelen van een grote hoeveelheid informatie en het ontvangen van instructies voor uitvoering.
Figuur: Hoofdgedrag
1. Laad de initiële configuratie, die standaard in de resource wordt ontsleuteld. De configuratie-inhoud bestaat uit de URL, de tijdelijke map van het geüploade bestand en het stelen van het opgegeven bestandsachtervoegsel (doc, docx, xls, xlsx, pdf, ppt, pptx).
Figuur: Laadconfiguratie
Figuur: Gedecrypteerde standaardbroninformatie
2. De configuratie wordt versleuteld met de EncodeData-functie en opgeslagen in het register HKCU\Sotfware\Authy.
Figuur: Configuratie-informatie versleuteld in het register
3. Bezoek het opgegeven adres om het bestand te downloaden en selecteer eerst de URL in de configuratie-informatie, zo niet, selecteer dan de standaard-URL:https://trans-can.net/ini/thxqfL ... Mvr/-1/1291/f8ad26b。
Figuur: Download data
4. Integreer de gestolen informatie in een bestand, het bestand wordt genoemd: willekeurige string + specifiek achtervoegsel, en de gegevensinhoud wordt opgeslagen in de tijdelijke map in platte tekst.
Afgebeeld: Informatiebestanden stelen
Bestanden met het achtervoegsel .sif bevatten voornamelijk systeeminformatie, installer-informatie, schijfinformatie, enzovoort.
Figuur: Informatie opgeslagen door het achtervoegsel .sif
De verkregen systeeminformatie is als volgt:
Het achtervoegsel is .fls.
Tabel: Informatierecord
Figuur: Opslaginformatie voor het achtervoegsel .fls
Een bestand met het achtervoegsel .flc registreert de informatie van alle schijfletters en de map- en bestandsinformatie onder de schijfletter. De volgende tabel toont de informatie van de schijfletters die de aanvaller wil verkrijgen:
De directory-informatie die de aanvaller wil verkrijgen is als volgt:
De bestandsinformatie die de aanvaller wil verkrijgen is als volgt:
Vangt uitzonderingen tijdens de uitvoering van het programma en logt uitzonderingsinformatie in een bestand met het achtervoegsel .err.
Figuur: Een uitzondering vangen
5. Werk de configuratiegegevens bij die in het register zijn opgeslagen: Eerst doorloop je het systeem om bestanden te vinden met hetzelfde achtervoegsel als een specifiek achtervoegsel, lees en ontsleutel dan de configuratiegegevens uit het register HKCU\Sotfware\Authy, voeg de naam en het pad van de gevonden bestanden toe aan de configuratiegegevens, en versleutel tenslotte de configuratie-informatie om het register verder op te slaan.
Figuur: Zoek een specifiek achtervoegselbestand
Figuur: Noteer het pad van het te uploaden document
Figuur: Upload een gespecificeerd achtervoegseldocument
6. Werk de configuratiegegevens bij die in het register zijn opgeslagen: Werk de informatie van het geüploade bestand bij naar de registerconfiguratiegegevens.
Figuur: Gedecrypteerde configuratie-informatie in het register
7. Comprimeren en uploaden alle gegevensinhoud van het specifieke achtervoegselbestand dat in de registerconfiguratie-informatie is opgenomen.
Figuur: Upload een achtervoegselbestand
8. Upload bestanden met sif, flc, err en fls achtervoegsels in de staging-map.
Figuur: Upload bestanden
4. Samenvatting
De twee aanvallen lagen niet ver uit elkaar, en de doelen van de aanvallen waren zowel gericht op gevoelige gebieden als op relevante instellingen in China, en het doel van de aanval was vooral om privé-informatie binnen de organisatie te stelen om zo een gerichte volgende aanvalsplan te formuleren. De meeste recent onthulde Sidewinder-aanvallen waren gericht op Pakistan en Zuidoost-Aziatische landen, maar deze twee aanvallen waren gericht op China, wat erop wijst dat de aanvalsdoelen van de groep zijn veranderd en de aanvallen op China hebben versterkt. Dit jaar valt samen met het 70-jarig jubileum van de oprichting van ons land, en relevante binnenlandse overheidsinstanties en bedrijven moeten hier grote aandacht aan besteden en preventieve maatregelen versterken.
5. Preventieve maatregelen
1. Open geen verdachte e-mails en download geen verdachte bijlagen. De eerste ingang van dergelijke aanvallen is meestal phishing-e-mails, die erg verwarrend zijn, dus gebruikers moeten waakzaam zijn en ondernemingen moeten de training in netwerkbeveiliging van medewerkers versterken.
2. Gateway-beveiligingsproducten implementeren, zoals netwerkbeveiliging, situationeel bewustzijn en vroegtijdige waarschuwingssystemen. Gateway-beveiligingsproducten kunnen dreigingsintelligentie gebruiken om het traject van dreigingsgedrag te volgen, gebruikers te helpen dreigingsgedrag te analyseren, dreigingsbronnen en doeleinden te lokaliseren, de middelen en paden van aanvallen te traceren, netwerkbedreigingen vanaf de bron op te lossen en de aangevallen knooppunten zo goed mogelijk te ontdekken, waardoor ondernemingen sneller kunnen reageren en ermee omgaan.
3. Effectieve antivirussoftware installeren om kwaadaardige documenten en Trojaanse virussen te blokkeren en te vernietigen. Als de gebruiker per ongeluk een kwaadaardig document downloadt, kan antivirussoftware het blokkeren en doden, voorkomen dat het virus draait en de terminalbeveiliging van de gebruiker beschermen.
4. Patchsysteempatches en belangrijke softwarepatches in tijd.
6. IOC-informatie
MD5
D83B3586393CAB724519B27B9857A4B237166FA93D776147E545AAD7E30B41608FD10BD711AB374E8DE9841CF8824758D4C3963B11E1732E1419ADF5F404E50C58DE7C0DF5BD677E1A3CDC099019015DA94BE8863E607DC7988F34F9073099168444A5850EEBA282 4D7C9BAD9189FF7E
URL
https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5https://trans-can.net/ini/Wsx8Gb ... 31878/1346/cab43a7f
|
Geplaatst op 21-09-2019 09:15:59
|
|
|
