2019-09-06 1. Introducere de fundal Recent, Rising Security Research Institute a surprins două atacuri APT împotriva Chinei, unul vizând ambasadele mai multor țări din China și celălalt biroul de reprezentare al unei companii de tehnologie din străinătate. Odată ce un utilizator deschide un document de phishing, calculatorul va fi controlat de la distanță de atacator, ceea ce va duce la furtul de date confidențiale interne, cum ar fi informații despre sistemul informatic, instalatoare și informații despre disc. Se înțelege că atacul APT a fost lansat de organizația internațional renumită "Sidewinder", care a lansat numeroase atacuri asupra Pakistanului și a țărilor din Asia de Sud-Est, dar ultimele două atacuri APT au indicat frecvent China, unul fiind deghizat în Centrul de Cooperare Militară în Străinătate al Biroului de Cooperare Militară Internațională al Ministerului Apărării Naționale și trimițând invitații false atașaților militari ai ambasadelor din China; Celălalt a fost un atac asupra biroului de reprezentare în străinătate al unei companii tehnologice, căruia atacatorul a trimis un manual fals de securitate și confidențialitate.
În imagine: Documente de phishing deghizate în Ministerul Apărării
Conform analizei Institutului de Cercetare a Securității în Creștere, deși țintele și conținutul acestor două atacuri diferă de metodele tehnice folosite de atacatori, se concluzionează că are o relație bună cu organizația APT "Sidewinder", care are ca scop principal furtul de informații confidențiale în domeniile guvernului, energiei, armatei, mineralelor și altor domenii. Atacul a folosit emailuri false ca momeală pentru a trimite emailuri de phishing legate de ambasadele chineze și companiile tehnologice din străinătate, folosind vulnerabilitatea Office remote code execution (CVE-2017-11882) pentru a trimite emailuri de phishing legate de ambasadele și companiile tehnologice chineze, cu scopul de a fura date confidențiale importante, informații despre confidențialitate și tehnologie științifică și tehnologică din țara noastră. 2. Procesul de atac
Figură: Flux de atac
3. Analiza emailurilor de phishing (1) Document de momeală 1. Un document este deghizat într-o scrisoare de invitație trimisă de Centrul de Cooperare pentru Securitate Militară în Străinătate al Biroului de Cooperare Militară Internațională al Ministerului Apărării Naționale către atașatul militar al ambasadelor diferitelor țări din China.
Figură: Document cu momeală
(2) Conținutul documentului momeală 2 este legat de revizuirea manualului de lucru privind securitatea și confidențialitatea biroului reprezentativ al unei companii tehnologice din străinătate.
Figură: Conținutul documentului
(3) Analiză detaliată Ambele documente momeală încorporează un obiect numit "Wrapper Shell Object" la final, iar atributul obiectului indică fișierul 1.a din directorul %temp%. Așadar, deschiderea documentului va elibera fișierul 1.a scris de scriptul JaveScript în directorul %temp%.
Figură: Proprietăți ale obiectului
Documentul momeală exploatează apoi vulnerabilitatea CVE-2017-11882 pentru a declanșa execuția shellcode 1.a.
Figură: shellcode
Procesul codului shellcode este următorul: Decriptează un script JavaScript prin XOR 0x12, iar funcția principală a acestui script este de a executa fișierul 1.a din directorul %temp%.
Figură: JavaScript script cifrat
Figură: Script JavaScript decriptat
ShellCode va schimba argumentele din linia de comandă ale editorului de formule într-un script JavaScript și va folosi funcția RunHTMLApplication pentru a executa scriptul.
Figură: Înlocuiește linia de comandă
Figură: Rularea JavaScript
3. Analiza virusurilor (1) 1.a Analiza fișierelor 1.a este generată prin instrumentul open-source DotNetToJScript, iar funcția sa principală este de a executa fișiere DLL .net prin memoria JavaScript script. Scriptul decriptează mai întâi fișierul StInstaller.dll și reflectă încărcătura funcției de lucru din acel DLL. Funcția de lucru decriptează parametrii primiți x (parametrul 1) și y (parametrul 2), iar după decriptare, x este PROPSYS.dll și y este V1nK38w.tmp.
Figură: 1.un conținut de scenariu
(2) StInstaller.dll analiză de fișiere StInstaller.dll este un program .NET care va crea un director funcțional C:\ProgramData\AuthyFiles, apoi va elibera 3 fișiere în directorul de lucru, și anume PROPSYS.dll, V1nK38w.tmp și write.exe.config, și va pune programul WordPad în directorul sistemului (write.exe) Copiază în acel director. Rulează write.exe (fișier alb) pentru a încărca PROPSYS.dll (fișierul negru) în același director și rulează codul malițios între alb și negru.
Figură: funcție de lucru
Următorul este procesul detaliat: 1. Apelați funcția de decriptare xorIt în funcția de lucru pentru a obține 3 date importante de configurare, și anume numele directorului de lucru AuthyFiles și numele domeniuluihttps://trans-can.netși setează numele cheii registrului authy.
Figură: Date decriptate
Figură: funcția de decriptare xorIt
2. Creează un director de lucru C:\ProgramData\AuthyFiles, copiază fișierele de sistem write.exe în directorul de lucru și setează-l să pornească automat.
Figură: Crearea AuthyFiles și write.exe
3. Eliberează un fișier cu nume aleatoriu V1nK38w.tmp în directorul de lucru. 4. Eliberează PROPSYS.dll din directorul de lucru și actualizează numele fișierului unde vrei să încarci programul în V1nK38w.tmp.
Figură: Creația PROPSYS.dll
5. Leagă URL-ul complet tăiat:https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5Scrie în fișierul V1nK38w.tmp. Fișierul este apoi criptat folosind funcția EncodeData.
Figură: Creează V1nK38w.tmp fișier
Figură: Funcția de criptare EncodeData
6. Creează un fișier de configurare write.exe.config pentru a preveni problemele de compatibilitate cu versiunile diferite de .NET.
Figură: Creează write.exe.config
Figurează conținutul :write.exe.config
7. Executați C:\ProgramData\AuthyFiles\write.exe pentru a chema PROPSYS.dll malițios.
Figură: Executiv write.exe
(3) Analiza fișierelor PROPSYS.dll folosește funcția DecodeData pentru decriptarea V1nK38w.tmp și încărcarea V1nK38w.tmp de execuție după decriptare.
Figură: Încărcarea V1nK38w.tmp de execuție
Figură: Funcția de decriptare DecodeData
(4) Analiza fișierelor V1nK38w.tmp V1Nk38w.tmp în principal furtul unei cantități mari de informații și primirea instrucțiunilor pentru execuție.
Figură: Comportamentul principal
1. Încarcă configurația inițială, care este decriptată implicit în resursă. Conținutul de configurare este URL-ul, directorul temporar al fișierului încărcat și furtul sufixului fișierului specificat (doc, docx, xls, xlsx, pdf, ppt, pptx).
Figură: Configurația încărcării
Figură: Decriptat Informații implicite despre resurse
2. Configurația este criptată folosind funcția EncodeData și stocată în registru HKCU\Sotfware\Authy.
Figură: Informații de configurare criptate în registru
3. Vizitați adresa specificată pentru a descărca fișierul și selectați mai întâi URL-ul din informațiile de configurare, dacă nu, selectați URL-ul implicit:https://trans-can.net/ini/thxqfL ... Mvr/-1/1291/f8ad26b。
Figură: Descărcați date
4. Integrează informațiile furate într-un fișier, fișierul fiind denumit: șir aleatoriu + sufix specific, iar conținutul datelor este stocat în directorul temporar în text clar.
În imagine: Furtul fișierelor de informații
Fișierele cu sufixul .sif stochează în principal informații despre sistem, informații despre instalator, informații despre disc etc.
Figură: Informații stocate prin sufixul .sif
Informațiile sistemului obținute sunt următoarele:
Sufixul este .fls.
Tabel: Înregistrare informațională
Figură: Informații de stocare pentru sufixul .fls
Un fișier cu sufixul .flc înregistrează informațiile tuturor literelor unității și informațiile despre director și fișier sub litera unității. Tabelul următor arată informațiile despre literele de unitate pe care atacatorul dorește să le obțină:
Informațiile din director pe care atacatorul dorește să le obțină sunt următoarele:
Informațiile despre fișier pe care atacatorul dorește să le obțină sunt următoarele:
Detectează excepțiile în execuția programului și înregistrează informațiile excepțiilor într-un fișier cu sufixul .err.
Figură: Prinderea unei excepții
5. Actualizarea datelor de configurație stocate în registru: Mai întâi, parcurgerea sistemului pentru a găsi fișiere cu același sufix ca un sufix specific, apoi citește și decriptează datele de configurație din registrul HKCU\Sotfware\Authy, adaugă numele și calea fișierelor găsite la datele de configurare și, în final, criptează informațiile de configurare pentru a continua stocarea registrului.
Figură: Găsește un fișier de sufixe specific
Figură: Înregistrează traseul documentului ce urmează să fie încărcat
Figură: Încărcați un document cu sufix specificat
6. Actualizează datele de configurare stocate în registru: Actualizează informațiile fișierului încărcat către datele de configurare ale registrului.
Figură: Informații de configurare decriptate în registru
7. Comprimă și încarcă tot conținutul de date al fișierului sufix specific înregistrat în informațiile de configurare ale registrului.
Figură: Încarcă un fișier sufix
8. Încărcarea fișierelor cu sufixele sif, flc, err și fls în directorul staging.
Figură: Încărcare fișiere
4. Rezumat
Cele două atacuri nu au fost departe de mult distanță, iar țintele atacurilor au fost ambele vizate în zone sensibile și instituții relevante din China, iar scopul atacului a fost în principal furtul de informații private din cadrul organizației, pentru a formula un plan țintit pentru următorul atac. Majoritatea atacurilor Sidewinder recent dezvăluite au vizat Pakistanul și țările din Asia de Sud-Est, însă aceste două atacuri au vizat China, indicând că țintele grupului s-au schimbat și au crescut atacurile asupra Chinei. Anul acesta coincide cu cea de-a 70-a aniversare a întemeierii țării noastre, iar agențiile guvernamentale și întreprinderile interne relevante trebuie să acorde o mare atenție și să întărească măsurile preventive.
5. Măsuri preventive
1. Nu deschideți emailuri suspecte și nu descărcați atașamente suspecte. Intrarea inițială în astfel de atacuri este de obicei prin emailurile de tip phishing, care sunt foarte confuze, așa că utilizatorii trebuie să fie vigilenți, iar companiile ar trebui să întărească instruirea pentru conștientizarea securității rețelelor angajaților.
2. Implementarea de produse de securitate gateway, cum ar fi sistemele de conștientizare situațională și avertizare timpurie pentru securitatea rețelei. Produsele de securitate Gateway pot folosi inteligența privind amenințările pentru a urmări traiectoria comportamentului amenințării, a ajuta utilizatorii să analizeze comportamentul amenințării, să localizeze sursele și scopurile amenințărilor, să urmărească mijloacele și traiectoriile atacurilor, să rezolve amenințările de rețea de la sursă și să descopere nodurile atacate în cea mai mare măsură, ajutând companiile să răspundă și să le gestioneze mai rapid.
3. Instalarea unui software antivirus eficient pentru a bloca și elimina documente malițioase și viruși troieni. Dacă utilizatorul descarcă accidental un document malițios, software-ul antivirus îl poate bloca și distruge, poate împiedica virusul să ruleze și poate proteja securitatea terminalului utilizatorului.
4. Corectează patch-urile sistemului și patch-urile software importante la timp.
6. Informații CIO
MD5
D83B3586393CAB724519B27B9857A4B237166FA93D776147E545AAD7E30B41608FD10BD711AB374E8DE9841CF8824758D4C3963B11E1732E1419ADF5F404E50C58DE7C0DF5BD677E1A3CDC099019015DA94BE8863E607DC7988F34F9073099168444A5850EEBA282 4D7C9BAD9189FF7E
URL
https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5https://trans-can.net/ini/Wsx8Gb ... 31878/1346/cab43a7f
|
Postat pe 21.09.2019 09:15:59
|
|
|
