2019-09-06 1. Úvod Pozadie Nedávno Rising Security Research Institute zaznamenal dva útoky APT proti Číne, jeden zameraný na veľvyslanectvá rôznych krajín v Číne a druhý na zastupiteľstvo technologickej spoločnosti v zahraničí. Keď používateľ otvorí phishingový dokument, počítač bude na diaľku ovládaný útočníkom, čo vedie k krádeži interných dôverných údajov, ako sú informácie o počítačovom systéme, inštalátory a informácie o disku. Predpokladá sa, že útok APT uskutočnila medzinárodne uznávaná organizácia "Sidewinder", ktorá podnikla mnoho útokov na Pakistan a krajiny juhovýchodnej Ázie, no posledné dva útoky APT často ukazovali na Čínu, jeden je maskovaný ako Centrum pre zahraničnú vojenskú bezpečnostnú spoluprácu Úradu pre medzinárodnú vojenskú spoluprácu Ministerstva národnej obrany a posielal falošné pozvánky vojenským atašé veľvyslanectiev v Číne; Druhým bol útok na zahraničné zastúpenie technologickej spoločnosti, ktorému útočník poslal falošný bezpečnostný a dôverný manuál.
Na obrázku: Phishingové dokumenty maskované ako Ministerstvo obrany
Podľa analýzy Inštitútu pre výskum rastúcej bezpečnosti, hoci sú ciele a obsah týchto dvoch útokov odlišné od technických metód použitých útočníkmi, sa dospelo k záveru, že má veľký vzťah s organizáciou APT "Sidewinder", ktorej hlavným cieľom je kradnúť dôverné informácie v oblastiach vlády, energetiky, armády, nerastných surovin a ďalších oblastí. Útok použil falošné e-maily ako návnadu na odosielanie phishingových e-mailov týkajúcich sa čínskych veľvyslanectiev a technologických podnikov v zahraničí, pričom využil zraniteľnosť na diaľkové vykonávanie kódu Office (CVE-2017-11882) na odosielanie phishingových e-mailov týkajúcich sa čínskych veľvyslanectiev a technologických podnikov, s cieľom ukradnúť dôležité dôverné údaje, informácie o súkromí a vedecké a technologické výskumné technológie v našej krajine. 2. Proces útoku
Obrázok: Tok útoku
3. Analýza phishingových e-mailov (1) Návnadový dokument 1. Dokument je zamaskovaný ako pozvánka zaslaná Centrom pre zahraničnú vojenskú bezpečnostnú spoluprácu Úradu pre medzinárodnú vojenskú spoluprácu Ministerstva národnej obrany vojenskému atašé veľvyslanectiev rôznych krajín v Číne.
Obrázok: Dokument s návnadou
(2) Obsah dokumentu o návnade 2 súvisí s revíziou pracovného manuálu o bezpečnosti a dôvernosti zastúpenia technologickej spoločnosti v zahraničí.
Obrázok: Obsah dokumentu
(3) Podrobná analýza Oba falošné dokumenty vkladajú na konci objekt nazvaný "Wrapper Shell Object" a atribút objektu smeruje na súbor 1.a v adresári %temp%. Takže otvorením dokumentu sa uvoľní súbor 1.a napísaný skriptom JaveScript v adresári %temp%.
Obrázok: Vlastnosti objektu
Návnadový dokument potom využíva zraniteľnosť CVE-2017-11882 na spustenie vykonávania shellcode 1.a.
Obrázok: shellcode
Proces shellcode je nasledovný: Dešifrovať JavaScript skript cez XOR 0x12 a hlavnou funkciou tohto skriptu je spustiť súbor 1.a v adresári %temp%.
Obrázok: JavaScript skriptový šifrovaný text
Obrázok: Dešifrovaný JavaScript skript
ShellCode zmení príkazové argumenty editora vzorcov na JavaScript skript a použije funkciu RunHTMLApplication na vykonanie skriptu.
Obrázok: Nahraďte príkazový riadok
Obrázok: Spúšťanie JavaScriptu
3. Analýza vírusov (1) 1.a Analýza súborov 1.a je generovaná pomocou open-source nástroja DotNetToJScript a jej hlavnou funkciou je spúšťať .net DLL súbory cez JavaScript pamäť. Skript najprv dešifruje StInstaller.dll súbor a odráža záťaž pracovnej funkcie v tejto DLL. Pracovná funkcia dešifruje prichádzajúce parametre x (parameter 1) a y (parameter 2) a po dešifrovaní je x PROPSYS.dll a y V1nK38w.tmp.
Obrázok: 1.obsah skriptu
(2) StInstaller.dll analýza súborov StInstaller.dll je .NET program, ktorý vytvorí pracovný adresár C:\ProgramData\AuthyFiles, potom uvoľní 3 súbory v pracovnom adresári, konkrétne PROPSYS.dll, V1nK38w.tmp a write.exe.config, a umiestni program WordPad do systémového adresára (write.exe) Skopíruj do toho adresára. Spustite write.exe (biely súbor), aby ste načítali PROPSYS.dll (čierny súbor) v rovnakom adresári a spustili škodlivý kód bielym a čiernym.
Obrázok: pracovná funkcia
Nasleduje podrobný proces: 1. Zavolajte dešifrovaciu funkciu xorIt v pracovnej funkcii na získanie 3 dôležitých konfiguračných údajov, konkrétne názvu pracovného adresára AuthyFiles a názvu doményhttps://trans-can.neta nastavil som názov registrového kľúča authy.
Obrázok: Dešifrované dáta
Obrázok: dešifrovacia funkcia xorIt
2. Vytvoriť pracovný adresár C:\ProgramData\AuthyFiles, skopírovať systémové súbory write.exe do pracovného adresára a nastaviť automatický štart.
Obrázok: Vytváranie AuthyFiles a write.exe
3. Uvoľniť náhodne pomenovaný súbor V1nK38w.tmp v pracovnom adresári. 4. Uvoľnite PROPSYS.dll v pracovnom adresári a aktualizujte názov súboru, do ktorého chcete načítať program v V1nK38w.tmp.
Obrázok: Stvorenie PROPSYS.dll
5. Odkazujte na celú spojenú URL adresu:https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5Zapisujte do V1nK38w.tmp súboru. Súbor sa potom zašifruje pomocou funkcie EncodeData.
Obrázok: Vytvoriť V1nK38w.tmp súbor
Obrázok: Šifrovacia funkcia EncodeData
6. Vytvoriť konfiguračný súbor write.exe.config, aby sa predišlo problémom s kompatibilitou s rôznymi verziami .NET.
Obrázok: Vytvoriť write.exe.config
Obrázok :write.exe.config obsah
7. Spustiť C:\ProgramData\AuthyFiles\write.exe na zavolanie škodlivého PROPSYS.dll.
Obrázok: Výkonný write.exe
(3) PROPSYS.dll analýza súborov používa funkciu DecodeData na dešifrovanie V1nK38w.tmp a načítanie vykonávacieho V1nK38w.tmp po dešifrovaní.
Obrázok: Načítanie vykonávacieho V1nK38w.tmp
Obrázok: Dešifrovacia funkcia DecodeData
(4) V1nK38w.tmp analýza súborov V1Nk38w.tmp hlavne krádež veľkého množstva informácií a prijímanie inštrukcií na vykonanie.
Obrázok: Hlavné správanie
1. Načítajte počiatočnú konfiguráciu, ktorá je predvolene dešifrovaná v zdroji. Konfiguračný obsah je URL, dočasný adresár nahraného súboru a krádež špecifikovanej prípony súboru (doc, docx, xls, xlsx, pdf, ppt, pptx).
Obrázok: Konfigurácia zaťaženia
Obrázok: Dešifrované informácie o predvolenom zdroji
2. Konfigurácia je šifrovaná pomocou funkcie EncodeData a uložená v registri HKCU\Sotfware\Authy.
Obrázok: Konfiguračné informácie zašifrované v registri
3. Navštívte určenú adresu na stiahnutie súboru a najskôr vyberte URL v konfiguračných informáciách, ak nie, vyberte predvolenú URL:https://trans-can.net/ini/thxqfL ... Mvr/-1/1291/f8ad26b。
Obrázok: Sťahovanie dát
4. Integrovať ukradnuté informácie do súboru, súbor sa volá: náhodný reťazec + špecifická prípona a dátový obsah je uložený v dočasnom adresári v čistom texte.
Na obrázku: Kradnutie informačných súborov
Súbory s príponou .sif ukladajú hlavne informácie o systéme, inštalátoroch, disku a podobne.
Obrázok: Informácie uložené príponou .sif
Získané informácie o systéme sú nasledovné:
Prípona je .fls.
Tabuľka: Informačný záznam
Obrázok: Informácie o úložisku pre príponu .fls
Súbor so príponou .flc zaznamenáva informácie o všetkých písmenách diskov a adresár a súbor pod písmenom disku. Nasledujúca tabuľka ukazuje informácie o písmenách disku, ktoré chce útočník získať:
Informácie o adresári, ktoré chce útočník získať, sú nasledovné:
Informácie o súbore, ktoré chce útočník získať, sú nasledovné:
Zachytáva výnimky pri vykonávaní programu a zaznamenáva informácie o výnimke do súboru s príponou .err.
Obrázok: Chytanie výnimky
5. Aktualizujte konfiguračné údaje uložené v registri: Najprv prejdite systém, aby ste našli súbory s rovnakým príponou ako konkrétna prípona, potom prečítajte a dešifrujte konfiguračné dáta z registra HKCU\Sotfware\Authy, pridajte názov a cestu nájdených súborov do konfiguračných dát a nakoniec zašifrujte konfiguračné informácie, aby ste mohli pokračovať v ukladaní registra.
Obrázok: Nájdite konkrétny súbor prípon
Obrázok: Zaznamenávajte cestu dokumentu, ktorý sa má nahrať
Obrázok: Nahrajte dokument so špecifikovanou príponou
6. Aktualizovať konfiguračné údaje uložené v registri: Aktualizovať informácie o nahranom súbore do konfiguračných dát registra.
Obrázok: Dešifrované konfiguračné informácie v registri
7. Komprimovať a nahrať všetok dátový obsah konkrétneho súboru s príponou zaznamenaného v konfiguračných informáciách registra.
Obrázok: Nahrajte súbor s príponou
8. Nahrajte súbory s príponami sif, flc, err a fls do stagingového adresára.
Obrázok: Nahrávanie súborov
4. Zhrnutie
Tieto dva útoky neboli ďaleko od seba a ciele útokov boli zamerané na citlivé oblasti a príslušné inštitúcie v Číne, pričom cieľom útoku bolo najmä ukradnúť súkromné informácie v rámci organizácie, aby sa mohol vytvoriť ďalší cielený plán útoku. Väčšina nedávno odhalených útokov Sidewinder bola zameraná na Pakistan a krajiny juhovýchodnej Ázie, no tieto dva útoky cielili na Čínu, čo naznačuje, že ciele útokov skupiny sa zmenili a útoky na Čínu sa zvýšili. Tento rok sa zhoduje so 70. výročím založenia našej krajiny a príslušné domáce vládne agentúry a podniky by mu mali venovať veľkú pozornosť a posilniť preventívne opatrenia.
5. Preventívne opatrenia
1. Neotvárajte podozrivé e-maily ani nesťahujte podozrivé prílohy. Prvým vstupom k takýmto útokom sú zvyčajne phishingové e-maily, ktoré sú veľmi mätúce, preto musia byť používatelia ostražití a podniky by mali posilniť školenia zamestnancov v oblasti bezpečnosti sietí.
2. Nasadiť bezpečnostné produkty brán, ako sú systémy pre sieťovú bezpečnosť, situačné povedomie a včasné varovanie. Bezpečnostné produkty Gateway môžu využívať threat intelligence na sledovanie trajektórie správania hrozieb, pomôcť používateľom analyzovať správanie hrozieb, lokalizovať zdroje a účely hrozieb, sledovať spôsoby a cesty útokov, riešiť sieťové hrozby zo zdroja a čo najviac objavovať napadnuté uzly, čo pomáha podnikom reagovať a riešiť ich rýchlejšie.
3. Nainštalovať efektívny antivírusový softvér na blokovanie a likvidáciu škodlivých dokumentov a trójskych konských vírusov. Ak používateľ omylom stiahne škodlivý dokument, antivírusový softvér ho môže zablokovať a zničiť, zabrániť spusteniu vírusu a ochrániť bezpečnosť používateľovho terminálu.
4. Záplaty systému a dôležité softvérové záplaty včas.
6. Informácie o MOV
MD5
D83B3586393CAB724519B27B9857A4B237166FA93D776147E545AAD7E30B41608FD10BD711AB374E8DE9841CF8824758D4C3963B11E1732E1419ADF5F404E50C58DE7C0DF5BD677E1A3CDC099019015DA94BE8863E607DC7988F34F9073099168444A5850EEBA282 4D7C9BAD9189FF7E
URL
https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5https://trans-can.net/ini/Wsx8Gb ... 31878/1346/cab43a7f
|
Zverejnené 21. 9. 2019 9:15:59
|
|
|
