|
|
Опубликовано 21.09.2019 9:15:59
|
|
|
2019-09-06 1. Введение в предысторию Недавно Институт исследований безопасности Rising зафиксировал две атаки APT на Китай: одна была направлена на посольства различных стран в Китае, а другая — на представительство технологической компании за рубежом. После того как пользователь открывает фишинговый документ, компьютер будет удалённо управляться злоумышленником, что приводит к краже внутренних конфиденциальных данных, таких как информация компьютерной системы, установщики и данные с диска. Известно, что атака APT была проведена международно известной организацией «Sidewinder», которая совершила множество нападений на Пакистан и страны Юго-Восточной Азии, но последние две атаки APT часто указывали на Китай: одна из них замаскирована под Центр военного сотрудничества за рубежом Офиса международного военного сотрудничества Министерства национальной обороны и отправляла ложные приглашения военным атташе посольств в Китае; Другой — атака на зарубежное представительство технологической компании, куда злоумышленник отправил поддельное руководство по безопасности и конфиденциальности.
На фото: Фишинговые документы, замаскированные под Министерство обороны
Согласно анализу Института исследований безопасности Rising Security, хотя цели и содержание этих двух атак отличаются от технических методов, используемых злоумышленниками, делается вывод, что она тесно связана с организацией APT «Sidewinder», основной целью которой является кража конфиденциальной информации в сферах государственного управления, энергетики, военных, минеральных и других сфер. Атака использовала фейковые письма в качестве приманки для отправки фишинговых писем, связанных с китайскими посольствами и технологическими предприятиями за рубежом, используя уязвимость удалённого выполнения кода Office (CVE-2017-11882) для рассылки фишинговых писем, связанных с китайскими посольствами и технологическими предприятиями, с целью украсть важные конфиденциальные данные, конфиденциальность и научно-технологические технологии в нашей стране. 2. Процесс атаки
Рисунок: Поток атаки
3. Анализ фишинговых писем (1) Документ-приманка 1. Документ маскируется под приглашение, отправленное Центром военной безопасности за рубежом Офиса международного военного сотрудничества Министерства национальной обороны военному атташе посольств различных стран в Китае.
Рисунок: Документ с приманкой
(2) Содержание документа-приманки 2 связано с пересмотром руководства по безопасности и конфиденциальности представительства технологической компании за рубежом.
Рисунок: Содержимое документа
(3) Детальный анализ В обоих документах-обманщиках в конце встраивается объект под названием «Wrapper Shell Object», а атрибут объекта указывает на файл 1.a в каталоге %temp%. Таким образом, открытие документа освободит файл 1.a, написанный скриптом JaveScript, в каталоге %temp%.
Рисунок: Свойства объекта
Документ-обманщик затем использует уязвимость CVE-2017-11882 для запуска выполнения shellcode 1.a.
Рисунок: шеллкод
Процесс шеллкода следующий: расшифровать JavaScript-скрипт через XOR 0x12, основная функция этого скрипта — выполнить файл 1.a в каталоге %temp%.
Рисунок: JavaScript script шифротекст
Рисунок: Расшифрованный JavaScript-скрипт
ShellCode меняет аргументы командной строки редактора формул на JavaScript-скрипт и использует функцию RunHTMLApplication для выполнения скрипта.
Рисунок: Заменить командную строку
Рисунок: Запуск JavaScript
3. Анализ вирусов (1) 1.a Анализ файла 1.a генерируется с помощью открытого инструмента DotNetToJScript, и его основная функция — выполнение файлов .net DLL через JavaScript-скриптовую память. Скрипт сначала расшифровывает файл StInstaller.dll и отражает нагрузку рабочей функции в этой DLL. Рабочая функция расшифровывает входящие параметры x (параметр 1) и y (параметр 2), и после расшифровки x — это PROPSYS.dll, а y — V1nK38w.tmp.
Рисунок: 1.a Контент скрипта
(2) StInstaller.dll StInstaller.dll анализа файлов — это .NET-программа, которая создаёт рабочий каталог C:\ProgramData\AuthyFiles, затем выпускает 3 файла в рабочей директории — PROPSYS.dll, V1nK38w.tmp и write.exe.config, а программа WordPad помещается в системный каталог (write.exe) Скопируйте в этот каталог. Запустите write.exe (белый файл), чтобы загрузить PROPSYS.dll (чёрный файл) в той же папке и запустить вредоносный код в белом и чёрном режиме.
Рисунок: рабочая функция
Ниже приведён подробный процесс: 1. Вызовите функцию расшифровки xorIt в рабочей функции, чтобы получить три важных конфигурационных данных, а именно имя рабочего каталога AuthyFiles и доменное имяhttps://trans-can.netи установить имя ключа реестра Authy.
Рисунок: Расшифрованные данные
Рисунок: функция расшифровки xorIt
2. Создайте рабочую директорию C:\ProgramData\AuthyFiles, скопируйте системные файлы write.exe в рабочую директорию и установите загрузку автозагрузки.
Рисунок: Создание AuthyFiles и write.exe
3. Освободите случайно названный файл V1nK38w.tmp в рабочей директории. 4. Освободите PROPSYS.dll в рабочей директории и обновите имя файла, куда хотите загрузить программу дальше, в V1nK38w.tmp.
Рисунок: Создание PROPSYS.dll
5. Свяжите полный URL:https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5Записывать в V1nK38w.tmp файл. Затем файл шифруется с помощью функции EncodeData.
Рисунок: Создать V1nK38w.tmp файл
Рисунок: функция шифрования EncodeData
6. Создать конфигурационный файл write.exe.config, чтобы избежать проблем совместимости с разными версиями .NET.
Рисунок: Создать write.exe.config
Рисунок :write.exe.config content
7. Выполните C:\ProgramData\AuthyFiles\write.exe для вызова вредоносного PROPSYS.dll.
Фигура: Исполнительный write.exe
(3) Анализ PROPSYS.dll файлов использует функцию DecodeData для расшифровки V1nK38w.tmp и загрузки V1nK38w.tmp выполнения после расшифровки.
Рисунок: Загрузка исполнительного V1nK38w.tmp
Рисунок: функция расшифровки DecodeData
(4) Анализ V1nK38w.tmp файлов V1Nk38w.tmp в основном кража большого объёма информации и получение инструкций для выполнения.
Рисунок: Основное поведение
1. Загрузить начальную конфигурацию, которая по умолчанию расшифровывается в ресурсе. Содержимое конфигурации — это URL, временная папка загруженного файла и кража указанного суффикса файла (doc, docx, xls, xlsx, pdf, ppt, pptx).
Рисунок: Конфигурация загрузки
Рисунок: Расшифрованная информация о ресурсах по умолчанию
2. Конфигурация шифруется с помощью функции EncodeData и хранится в реестре HKCU\Sotfware\Authy.
Рисунок: Информация о конфигурации, зашифрованная в реестре
3. Перейдите по указанному адресу, чтобы скачать файл, и сначала выберите URL в конфигурационной информации, если нет — выберите стандартный URL:https://trans-can.net/ini/thxqfL ... Mvr/-1/1291/f8ad26b。
Рисунок: Данные для скачивания
4. Интегрируйте украденную информацию в файл, файл называется: случайная строка + специфический суффикс, а содержимое данных хранится в временной директории в открытом виде.
На фото: Кража информационных файлов
Файлы с суффиксом .sif в основном хранят системную информацию, информацию об установке, диске и так далее.
Рисунок: Информация, хранящаяся в суффиксе .sif
Полученная информация о системе следующая:
Суффикс — .fls.
Таблица: Информационная запись
Рисунок: Информация о хранении суффикса .fls
Файл с суффиксом .flc содержит информацию обо всех буквах диска, а также информацию о каталоге и файле под буквой диска. В следующей таблице показана информация о буквах диска, которую хочет получить злоумышленник:
Информация из каталога, которую хочет получить злоумышленник, следующая:
Информация о файле, которую хочет получить злоумышленник, следующая:
Фиксирует исключения при выполнении программы и фиксирует информацию об исключениях в файле с суффиксом .err.
Рисунок: Ловить исключение
5. Обновите конфигурационные данные, хранящиеся в реестре: Сначала пройдите по системе файлы с тем же суффиксом, что и конкретный суффикс, затем прочитайте и расшифруйте конфигурационные данные из реестра HKCU\Sotfware\Authy, добавьте имя и путь найденных файлов к конфигурационным данным, а затем зашифруйте конфигурационную информацию для сохранения регистра.
Рисунок: Найдите конкретный суффиксный файл
Рисунок: Запишите путь к загрузке документа
Рисунок: Загрузка заданного суффиксного документа
6. Обновить конфигурационные данные, хранящиеся в реестре: Обновить информацию о загруженном файле в данные конфигурации реестра.
Рисунок: Расшифрованная информация конфигурации в реестре
7. Сжать и загрузить всё содержимое данных конкретного суффиксного файла, записанного в конфигурационной информации реестра.
Рисунок: Загрузить файл с суффиксом
8. Загружайте файлы с суффиксами sif, flc, err и fls в директории staging.
Рисунок: Загрузка файлов
4. Краткое содержание
Эти две атаки произошли недолго друг от друга, и цели были направлены на чувствительные районы и соответствующие институты Китая, а целью атаки было в основном кража личной информации внутри организации с целью разработки целевой плана следующей атаки. Большинство недавно раскрытых атак Sidewinder были направлены на Пакистан и страны Юго-Восточной Азии, но эти две атаки были направлены против Китая, что свидетельствует о том, что цели атаки группы изменились и усилили её атаки на Китай. Этот год совпадает с 70-летием основания нашей страны, и соответствующие внутренние государственные органы и предприятия должны уделять этому большое внимание и усиливать превентивные меры.
5. Профилактические меры
1. Не открывайте подозрительные письма и не скачивайте подозрительные вложения. Первоначальным входом в такие атаки обычно являются фишинговые письма, которые очень запутанные, поэтому пользователям нужно быть бдительными, а предприятиям — усиливать обучение сотрудников по безопасности сети.
2. Внедрить продукты безопасности шлюзов, такие как сетевая безопасность, ситуационная осведомлённость и системы раннего предупреждения. Продукты безопасности шлюзов могут использовать разведку угроз для отслеживания траектории поведения угроз, помогать пользователям анализировать поведение угроз, находить источники и цели угроз, отслеживать методы и пути атак, решать сетевые угрозы от источника и максимально эффективно выявлять атакуемые узлы, помогая предприятиям быстрее реагировать и справляться с ними.
3. Установить эффективное антивирусное ПО для блокировки и уничтожения вредоносных документов и троянских вирусов. Если пользователь случайно скачает вредоносный документ, антивирусное ПО может заблокировать и уничтожить его, предотвратить запуск вируса и защитить безопасность терминала пользователя.
4. Своевременно исправлять системные патчи и важные программные обновления.
6. Информация МОК
MD5
D83B3586393CAB724519B27B9857A4B237166FA93D776147E545AAD7E30B41608FD10BD711AB374E8DE9841CF8824758D4C3963B11E1732E1419ADF5F404E50C58DE7C0DF5BD677E1A3CDC099019015DA94BE8863E607DC7988F34F9073099168444A5850EEBA282 4D7C9BAD9189FF7E
url
https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5https://trans-can.net/ini/Wsx8Gb ... 31878/1346/cab43a7f
|
Предыдущий:Рукописное видео по дизайну шрифтов от Яо ТяньюяСледующий:Сертификат компьютерного уровня, сетевая технология уровня 3
|
