06-09-2019 1. Introdução de Contexto Recentemente, o Rising Security Research Institute capturou dois ataques APT contra a China, um contra embaixadas de vários países na China e outro contra o escritório representativo de uma empresa de tecnologia no exterior. Assim que um usuário abre um documento de phishing, o computador será controlado remotamente pelo atacante, resultando no roubo de dados confidenciais internos, como informações do sistema do computador, instaladores e informações de disco. Entende-se que o ataque do APT foi lançado pela internacionalmente renomada organização "Sidewinder", que já lançou muitos ataques ao Paquistão e países do Sudeste Asiático, mas os dois últimos ataques do APT frequentemente apontaram para a China, um deles disfarçado como o Centro de Cooperação Militar Militar no Exterior do Escritório de Cooperação Militar Internacional do Ministério da Defesa Nacional, e enviou falsos convites aos adidos militares das embaixadas na China; A outra foi um ataque ao escritório representativo internacional de uma empresa de tecnologia, para o qual o atacante enviou um manual falso de segurança e confidencialidade.
Na foto: Documentos de phishing disfarçados de Ministério da Defesa
De acordo com a análise do Instituto de Pesquisa em Segurança Emergente, embora os alvos e o conteúdo desses dois ataques sejam diferentes dos métodos técnicos usados pelos atacantes, concluiu-se que ela tem uma grande relação com a organização APT "Sidewinder", cujo principal objetivo é roubar informações confidenciais nos setores de governo, energia, militar, minerais e outros. O ataque utilizou e-mails falsos como isca para enviar e-mails de phishing relacionados a embaixadas chinesas e empresas de tecnologia no exterior, utilizando a vulnerabilidade de execução remota de código do Office (CVE-2017-11882) para enviar e-mails de phishing relacionados a embaixadas e empresas de tecnologia chinesas, com o objetivo de roubar dados confidenciais importantes, informações de privacidade e tecnologia de pesquisa científica e tecnológica em nosso país. 2. Processo de ataque
Figura: Fluxo de ataque
3. Análise de e-mails de phishing (1) Documento de isca 1. Um documento disfarçado de carta de convite enviada pelo Centro de Cooperação em Segurança Militar no Exterior do Escritório de Cooperação Militar Internacional do Ministério da Defesa Nacional ao adido militar das embaixadas de vários países na China.
Figura: Documento de isca
(2) O conteúdo do documento de isca 2 está relacionado à revisão do manual de trabalho de segurança e confidencialidade do escritório representativo de uma empresa de tecnologia no exterior.
Figura: Conteúdo do documento
(3) Análise detalhada Ambos os documentos isca incorporam um objeto chamado "Wrapper Shell Object" no final, e o atributo do objeto aponta para o arquivo 1.a no diretório %temp%. Então, abrir o documento libera o arquivo 1.a escrito pelo script JaveScript no diretório %temp%.
Figura: Propriedades do objeto
O documento isca então explora a vulnerabilidade CVE-2017-11882 para disparar a execução do shellcode 1.a.
Figura: shellcode
O processo do shellcode é o seguinte: descriptografe um script JavaScript através de XOR 0x12, e a principal função desse script é executar o arquivo 1.a no diretório %temp%.
Figura: script JavaScript cifrado
Figura: Script JavaScript descriptografado
O ShellCode alterará os argumentos da linha de comando do editor de fórmulas para um script JavaScript e usará a função RunHTMLApplication para executar o script.
Figura: Substituir a linha de comando
Figura: Rodando JavaScript
3. Análise de vírus (1) 1.a A análise de arquivos 1.a é gerada pela ferramenta open-source DotNetToJScript, e sua principal função é executar arquivos DLL .net via memória de script JavaScript. O script primeiro descriptografa o arquivo StInstaller.dll e reflete a carga da função de trabalho nessa DLL. A função de trabalho descriptografa os parâmetros de entrada x (parâmetro 1) e y (parâmetro 2), e após a descriptografia, x é PROPSYS.dll e y é V1nK38w.tmp.
Figura: 1.Conteúdo do roteiro
(2) StInstaller.dll análise de arquivos StInstaller.dll é um programa .NET que cria um diretório funcional C:\ProgramData\AuthyFiles, e então libera 3 arquivos no diretório de trabalho, a saber: PROPSYS.dll, V1nK38w.tmp e write.exe.config, e coloca o programa WordPad no diretório do sistema (write.exe) Copie para esse diretório. Execute write.exe (arquivo branco) para carregar o PROPSYS.dll (arquivo preto) no mesmo diretório e execute o código malicioso pelo branco e pelo preto.
Figura: função de trabalho
A seguir está o processo detalhado: 1. Chame a função de descriptografia xorIt na função de trabalho para obter 3 dados de configuração importantes, a saber, o nome do diretório de trabalho AuthyFiles e o nome de domíniohttps://trans-can.nete defina o nome da chave do registro authy.
Figura: Dados descriptografados
Figura: função de descriptografia xorIt
2. Criar um diretório funcional C:\ProgramData\AuthyFiles, copiar os arquivos do sistema write.exe para o diretório de trabalho e configurá-lo para inicializar automaticamente.
Figura: Criando AuthyFiles e write.exe
3. Libere um arquivo nomeado aleatoriamente V1nK38w.tmp no diretório de trabalho. 4. Libere o PROPSYS.dll no diretório de trabalho e atualize o nome do arquivo onde deseja carregar o programa em seguida no V1nK38w.tmp.
Figura: Criação PROPSYS.dll
5. Vincule a URL completa emendada:https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5Escreva em V1nK38w.tmp arquivo. O arquivo é então criptografado usando a função EncodeData.
Figura: Criar V1nK38w.tmp arquivo
Figura: Função de criptografia EncodeData
6. Criar um arquivo de configuração write.exe.config para evitar problemas de compatibilidade com diferentes versões do .NET.
Figura: Criar write.exe.config
Conteúdo do :write.exe.config
7. Execute C:\ProgramData\AuthyFiles\write.exe para chamar o PROPSYS.dll malicioso.
Figura: Executivo write.exe
(3) PROPSYS.dll análise de arquivos usa a função DecodeData para descriptografar o V1nK38w.tmp e carregar a V1nK38w.tmp de execução após a descriptografia.
Figura: Carregando a V1nK38w.tmp de execução
Figura: Função de descriptografia DecodeData
(4) V1nK38w.tmp análise de arquivos V1Nk38w.tmp principalmente roubar uma grande quantidade de informações e receber instruções para execução.
Figura: Comportamento principal
1. Carregar a configuração inicial, que é descriptografada por padrão no recurso. O conteúdo de configuração é a URL, o diretório temporário do arquivo enviado e o roubo do sufixo especificado (doc, docx, xls, xlsx, pdf, ppt, pptx).
Figura: Configuração de carregamento
Figura: Informações padrão de recursos descriptografadas
2. A configuração é criptografada usando a função EncodeData e armazenada no registro HKCU\Sotfware\Authy.
Figura: Informações de configuração criptografadas no registro
3. Visite o endereço especificado para baixar o arquivo e selecione a URL na informação de configuração primeiro; caso contrário, selecione a URL padrão:https://trans-can.net/ini/thxqfL ... Mvr/-1/1291/f8ad26b。
Figura: Baixar dados
4. Integre as informações roubadas em um arquivo, o arquivo recebe o nome: string aleatória + sufixo específico, e o conteúdo dos dados é armazenado no diretório temporário em texto simples.
Na foto: Roubo de arquivos de informações
Arquivos com o sufixo .sif armazenam principalmente informações do sistema, informações do instalador, informações do disco, etc.
Figura: Informações armazenadas pelo sufixo .sif
As informações do sistema obtidas são as seguintes:
O sufixo é .fls.
Tabela: Registro de informações
Figura: Informações de armazenamento para o sufixo .fls
Um arquivo com o sufixo .flc registra as informações de todas as letras do drive e as informações do diretório e do arquivo sob a letra do drive. A tabela a seguir mostra as informações da letra do drive que o atacante deseja obter:
As informações do diretório que o atacante deseja obter são as seguintes:
As informações do arquivo que o atacante deseja obter são as seguintes:
Captura exceções na execução do programa e registra informações de exceção em um arquivo com o sufixo .err.
Figura: Pegando uma exceção
5. Atualize os dados de configuração armazenados no registro: Primeiro, percorra o sistema para encontrar arquivos com o mesmo sufixo de um sufixo específico, depois leia e descriptografe os dados de configuração do registro HKCU\Sotfware\Authy, adicione o nome e o caminho dos arquivos encontrados aos dados de configuração e, finalmente, criptografe as informações de configuração para continuar armazenando o registro.
Figura: Encontre um arquivo de sufixos específico
Figura: Registre o caminho do documento a ser enviado
Figura: Enviar um documento sufixo especificado
6. Atualize os dados de configuração armazenados no registro: Atualize as informações do arquivo enviado para os dados de configuração do registro.
Figura: Informações de configuração descriptografadas no registro
7. Comprimir e enviar todo o conteúdo de dados do arquivo sufixo específico registrado nas informações de configuração do registro.
Figura: Enviar um arquivo de sufixo
8. Faça upload de arquivos com sufixos sif, flc, err e fls no diretório de staging.
Figura: Enviar arquivos
4. Resumo
Os dois ataques não foram distantes de distância, e os alvos dos ataques foram ambos direcionados a áreas sensíveis e instituições relevantes na China, e o objetivo principal do ataque era roubar informações privadas dentro da organização, a fim de formular um plano direcionado para o próximo ataque. A maioria dos ataques recentemente revelados do Sidewinder teve como alvo o Paquistão e países do Sudeste Asiático, mas esses dois ataques tiveram como alvo a China, indicando que os alvos do grupo mudaram e aumentaram seus ataques à China. Este ano coincide com o 70º aniversário da fundação do nosso país, e as agências governamentais e empresas nacionais relevantes devem prestar grande atenção a isso e fortalecer as medidas preventivas.
5. Medidas preventivas
1. Não abra e-mails suspeitos nem baixe anexos suspeitos. A entrada inicial para esses ataques geralmente são e-mails de phishing, que são muito confusos, então os usuários precisam estar atentos, e as empresas devem fortalecer o treinamento de conscientização sobre segurança de redes dos funcionários.
2. Implantar produtos de segurança de gateway, como sistemas de consciência situacional e alerta precoce de segurança de rede. Os produtos de segurança de gateway podem usar inteligência de ameaças para traçar a trajetória do comportamento das ameaças, ajudar os usuários a analisar o comportamento das ameaças, localizar fontes e propósitos de ameaças, rastrear os meios e caminhos dos ataques, resolver ameaças de rede a partir da origem e descobrir os nós atacados na maior escala, ajudando as empresas a responder e lidar com eles mais rapidamente.
3. Instalar um software antivírus eficaz para bloquear e eliminar documentos maliciosos e vírus Trojan. Se o usuário acidentalmente baixar um documento malicioso, o antivírus pode bloqueá-lo e desativá-lo, impedir que o vírus funcione e proteger a segurança do terminal do usuário.
4. Corrigir patches do sistema e patches importantes de software a tempo.
6. Informações do COI
MD5
D83B3586393CAB724519B27B9857A4B237166FA93D776147E545AAD7E30B41608FD10BD711AB374E8DE9841CF8824758D4C3963B11E1732E1419ADF5F404E50C58DE7C0DF5BD677E1A3CDC099019015DA94BE8863E607DC7988F34F9073099168444A5850EEBA282 4D7C9BAD9189FF7E
URL
https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5https://trans-can.net/ini/Wsx8Gb ... 31878/1346/cab43a7f
|
Publicado em 21/09/2019 09:15:59
|
|
|
