2019-09-06 1. Tło Wstępu Niedawno Rising Security Research Institute przerejestrował dwa ataki APT na Chiny, jeden wymierzony w ambasady różnych krajów chińskich, a drugi na przedstawicielstwo zagranicznej firmy technologicznej. Po otwarciu dokumentu phishingowego komputer jest zdalnie sterowany przez atakującego, co skutkuje kradzieżą poufnych danych wewnętrznych, takich jak informacje o systemach komputerowych, instalatory i dane z dysku. Wiadomo, że atak APT został przeprowadzony przez międzynarodowo uznaną organizację "Sidewinder", która przeprowadziła wiele ataków na Pakistan i kraje Azji Południowo-Wschodniej, ale ostatnie dwa ataki APT często wskazywały na Chiny, jeden z nich był ukryty pod przebraniem Centrum Współpracy Wojskowej Międzynarodowej Agencji Współpracy Wojskowej Ministerstwa Obrony Narodowej oraz wysyłał fałszywe zaproszenia do attaché wojskowych ambasad w Chinach; Drugim był atak na zagraniczne biuro przedstawiciela firmy technologicznej, do którego atakujący wysłał fałszywy podręcznik bezpieczeństwa i poufności.
Na zdjęciu: Dokumenty phishingowe ukryte pod maską Ministerstwa Obrony
Według analizy Instytutu Badań nad Rosnącym Bezpieczeństwem, choć cele i treść tych dwóch ataków różnią się od metod technicznych stosowanych przez napastników, stwierdzono, że ma ona silne powiązania z organizacją APT "Sidewinder", której głównym celem jest kradzież poufnych informacji z dziedzin rządowych, energetycznych, wojskowych, minerałów i innych. Atak wykorzystał fałszywe e-maile jako przynętę do wysyłania wiadomości phishingowych dotyczących chińskich ambasad i przedsiębiorstw technologicznych za granicą, wykorzystując podatność w wykonywaniu kodu zdalnego Office (CVE-2017-11882) do wysyłania e-maili phishingowych dotyczących chińskich ambasad i przedsiębiorstw technologicznych, z celem kradzieży ważnych poufnych danych, informacji o prywatności oraz technologii naukowo-technologicznych w naszym kraju. 2. Proces ataku
Rysunek: Przepływ ataku
3. Analiza e-maili phishingowych (1) Dokument przynęty 1. Dokument jest ukryty jako list zaproszeniowy wysłany przez Overseas Military Security Cooperation Center Międzynarodowego Biura Współpracy Wojskowej Ministerstwa Obrony Narodowej do attaché wojskowego ambasad różnych krajów Chin.
Rysunek: dokument przynęty
(2) Treść dokumentu przynęty 2 dotyczy rewizji podręcznika pracy z zakresu bezpieczeństwa i poufności przedstawicielstwa firmy technologicznej za granicą.
Rysunek: Treść dokumentu
(3) Szczegółowa analiza Oba dokumenty wabikowe osadzają na końcu obiekt o nazwie "Wrapper Shell Object", a atrybut obiektu wskazuje na plik 1.a w katalogu %temp%. Otwarcie dokumentu uwalnia plik 1.a napisany przez skrypt JaveScript w katalogu %temp%.
Rysunek: Właściwości obiektu
Następnie dokument wabik wykorzystuje lukę CVE-2017-11882, aby wywołać wykonanie shellcode 1.a.
Rysunek: shellcode
Proces shellcode wygląda następująco: odszyfruj skrypt JavaScript za pomocą XOR 0x12, a główną funkcją tego skryptu jest wykonanie pliku 1.a w katalogu %temp%.
Rysunek: Szyfrogram skryptowy JavaScript
Rysunek: Odszyfrowany skrypt JavaScript
ShellCode zmieni argumenty wiersza poleceń edytora formuł na skrypt JavaScript i użyje funkcji RunHTMLApplication do wykonania skryptu.
Rysunek: Zamień wiersz poleceń
Rysunek: Uruchamianie JavaScript
3. Analiza wirusów (1) 1.a Analiza plików 1.a jest generowana za pomocą otwartoźródłowego narzędzia DotNetToJScript, a jej główną funkcją jest uruchamianie plików .net DLL za pomocą pamięci skryptów JavaScript. Skrypt najpierw odszyfrowuje plik StInstaller.dll i odzwierciedla obciążenie funkcji pracy w tym DLL. Funkcja pracy odszyfrowuje przychodzące parametry x (parametr 1) i y (parametr 2), a po odszyfrowaniu x jest PROPSYS.dll, a y V1nK38w.tmp.
Rysunek: 1.treść skryptu
(2) StInstaller.dll StInstaller.dll analizy plików to program .NET, który tworzy katalog roboczy C:\ProgramData\AuthyFiles, a następnie udostępnia 3 pliki w katalogu roboczym, mianowicie PROPSYS.dll, V1nK38w.tmp i write.exe.config, a program WordPad umieszcza w katalogu systemowym (write.exe) Skopiuj do tego katalogu. Uruchom write.exe (biały plik), aby załadować PROPSYS.dll (plik) w tym samym katalogu i uruchomić złośliwy kod przez biały i.
Rysunek: funkcja pracy
Oto szczegółowy proces: 1. Wywołaj funkcję deszyfrowania xorIt w funkcji roboczej, aby uzyskać 3 ważne dane konfiguracyjne, mianowicie nazwę katalogu roboczego AuthyFiles oraz nazwę domenyhttps://trans-can.neti ustaw nazwę klucza rejestru authy.
Rysunek: Odszyfrowane dane
Rysunek: funkcja deszyfrująca xorIt
2. Utworzyć katalog roboczy C:\ProgramData\AuthyFiles, skopiować pliki systemowe write.exe do katalogu roboczego i ustawić automatyczny rozruch.
Rysunek: Tworzenie AuthyFiles i write.exe
3. Zwolnić losowo nazwany plik V1nK38w.tmp w katalogu roboczym. 4. Uwolnić PROPSYS.dll w katalogu roboczym i zaktualizować nazwę pliku w której chcesz załadować program w V1nK38w.tmp pliku.
Rysunek: Tworzenie PROPSYS.dll
5. Podłącz pełny link do połączonego adresu URL:https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5Zapisz do V1nK38w.tmp pliku. Plik jest następnie szyfrowany za pomocą funkcji EncodeData.
Rysunek: Utwórz plik V1nK38w.tmp
Rysunek: Funkcja szyfrowania EncodeData
6. Utworzenie pliku konfiguracyjnego write.exe.config, aby zapobiec problemom z kompatybilnością z różnymi wersjami .NET.
Rysunek: Utwórz write.exe.config
Zawartość rysunku :write.exe.config
7. Wykonaj C:\ProgramData\AuthyFiles\write.exe aby wywołać złośliwy PROPSYS.dll.
Rysunek: write.exe wykonawczy
(3) Analiza PROPSYS.dll plików wykorzystuje funkcję DecodeData do odszyfrowania V1nK38w.tmp i załadowania V1nK38w.tmp wykonania po odszyfrowaniu.
Rysunek: Ładowanie V1nK38w.tmp wykonania
Rysunek: Funkcja deszyfrowania DecodeData
(4) V1nK38w.tmp analiza plików V1Nk38w.tmp głównie kradzież dużej ilości informacji i otrzymywanie instrukcji do wykonania.
Rysunek: Główne zachowanie
1. Załaduj początkową konfigurację, która jest domyślnie odszyfrowana w zasobie. Treść konfiguracji to adres URL, tymczasowy katalog przesłanego pliku oraz kradzież określonego sufiksu pliku (doc, docx, xls, xlsx, pdf, ppt, pptx).
Rysunek: Konfiguracja ładowania
Rysunek: Odszyfrowane Domyślne informacje o zasobach
2. Konfiguracja jest szyfrowana za pomocą funkcji EncodeData i przechowywana w rejestrze HKCU\Sotfware\Authy.
Rysunek: Informacje konfiguracyjne zaszyfrowane w rejestrze
3. Odwiedź podany adres, aby pobrać plik i wybierz adres URL w informacjach konfiguracyjnych, jeśli nie, wybierz domyślny URL:https://trans-can.net/ini/thxqfL ... Mvr/-1/1291/f8ad26b。
Rysunek: Dane do pobrania
4. Integruj skradzione informacje z plikiem, plik nazywa się: losowy ciąg + specyficzny sufiks, a zawartość danych jest przechowywana w tymczasowym katalogu w tekście jawnym.
Na zdjęciu: Kradzież plików informacyjnych
Pliki z sufiksem .sif głównie przechowują informacje o systemie, instalatorze, dysku itd.
Rysunek: Informacje przechowywane przez sufiks .sif
Uzyskane informacje o systemie są następujące:
Przyrostek to .fls.
Tabela: Rekord informacji
Rysunek: Informacje o pamięci dla sufiksu .fls
Plik z przyrostkiem .flc zapisuje informacje o wszystkich literach napędów oraz informacje o katalogu i pliku pod literą dysku. Poniższa tabela przedstawia informacje o literach dysków, które atakujący chce uzyskać:
Informacje o katalogu, które atakujący chce uzyskać, są następujące:
Informacje o pliku, które atakujący chce uzyskać, są następujące:
Wykrywa wyjątki podczas wykonywania programu i rejestruje informacje o wyjątkach do pliku z przyrostkiem .err.
Rysunek: Łapanie wyjątku
5. Aktualizacja danych konfiguracyjnych przechowywanych w rejestrze: Najpierw przejdź przez system, aby znaleźć pliki z tym samym sufiksem co konkretny sufiks, następnie odczyt i odszyfrowanie danych konfiguracyjnych z rejestru HKCU\Sotfware\Authy, dodaj nazwę i ścieżkę znalezionych plików do danych konfiguracyjnych, a na końcu zaszyfruj informacje konfiguracyjne, aby kontynuować przechowywanie rejestru.
Rysunek: Znajdź konkretny plik sufiksów
Rysunek: Zapisz ścieżkę dokumentu do przesłania
Rysunek: Przesyłaj określony dokument z sufiksem
6. Zaktualizuj dane konfiguracyjne przechowywane w rejestrze: Zaktualizuj informacje o przesłanym pliku do danych konfiguracyjnych rejestru.
Rysunek: Odszyfrowane informacje konfiguracyjne w rejestrze
7. Skompresuj i przesłaj całą zawartość danych konkretnego pliku sufiksowego zapisanego w konfiguracyjnych informacjach rejestru.
Rysunek: Przesyłaj plik sufiksu
8. Przesyłaj pliki z sufiksami sif, flc, err i fls do katalogu staging (etapowania).
Rysunek: Przesyłanie plików
4. Podsumowanie
Oba ataki nie były długo od siebie, a cele ataków były skierowane na wrażliwe obszary i odpowiednie instytucje w Chinach, a celem ataku było głównie zdobycie prywatnych informacji w ramach organizacji, aby opracować plan kolejnego ataku. Większość niedawno ujawnionych ataków Sidewinder była wymierzona w Pakistan i kraje Azji Południowo-Wschodniej, ale te dwa ataki były wymierzone w Chiny, co wskazuje, że cele ataków grupy się zmieniły i nasiliły ataki na Chiny. Ten rok zbiega się z 70. rocznicą powstania naszego kraju, a odpowiednie krajowe agencje rządowe i przedsiębiorstwa muszą poświęcić temu szczególną uwagę i wzmocnić środki zapobiegawcze.
5. Środki zapobiegawcze
1. Nie otwieraj podejrzanych e-maili ani nie pobieraj podejrzanych załączników. Początkowym wejściem do takich ataków są zazwyczaj e-maile phishingowe, które są bardzo mylące, dlatego użytkownicy muszą być czujni, a przedsiębiorstwa powinny wzmacniać szkolenia pracowników z zakresu świadomości bezpieczeństwa sieci.
2. Wdrożenie produktów zabezpieczających bramy, takich jak systemy bezpieczeństwa sieciowego, świadomości sytuacyjnej i wczesnego ostrzegania. Produkty zabezpieczające bramki mogą wykorzystywać inteligencję zagrożeń do śledzenia trajektorii zachowań zagrożeń, pomagać użytkownikom analizować zachowania zagrożeń, lokalizować źródła i cele zagrożeń, śledzić środki i ścieżki ataków, rozwiązywać zagrożenia sieciowe ze źródła oraz wykrywać atakowane węzły w największym stopniu, pomagając przedsiębiorstwom szybciej reagować i radzić sobie z nimi.
3. Zainstalować skuteczne oprogramowanie antywirusowe do blokowania i eliminowania złośliwych dokumentów oraz wirusów trojańskich. Jeśli użytkownik przypadkowo pobierze złośliwy dokument, oprogramowanie antywirusowe może go zablokować i zabić, uniemożliwić działanie wirusa oraz chronić bezpieczeństwo terminala użytkownika.
4. Poprawki systemu i ważne poprawki oprogramowania w czasie.
6. Informacje o MKOl
MD5
D83B3586393CAB724519B27B9857A4B237166FA93D776147E545AAD7E30B41608FD10BD711AB374E8DE9841CF8824758D4C3963B11E1732E1419ADF5F404E50C58DE7C0DF5BD677E1A3CDC099019015DA94BE8863E607DC7988F34F9073099168444A5850EEBA282 4D7C9BAD9189FF7E
URL
https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5https://trans-can.net/ini/Wsx8Gb ... 31878/1346/cab43a7f
|
Opublikowano 21.09.2019 09:15:59
|
|
|
