2019-09-06 1. Uvod v ozadje Nedavno je Rising Security Research Institute zajel dva APT napada na Kitajsko, enega proti veleposlaništvom različnih držav na Kitajskem, drugega pa na predstavništvo tehnološkega podjetja v tujini. Ko uporabnik odpre phishing dokument, bo napadalec računalnik na daljavo nadzoroval, kar povzroči krajo notranjih zaupnih podatkov, kot so informacije o računalniškem sistemu, namestitveni programi in podatki o disku. Razume se, da je napad APT izvedla mednarodno priznana organizacija "Sidewinder", ki je izvedla številne napade na Pakistan in države jugovzhodne Azije, vendar sta zadnja dva napada APT pogosto kazala na Kitajsko, eden je bil prikrit kot Center za sodelovanje vojaške varnosti v tujini pri Uradu za mednarodno vojaško sodelovanje Ministrstva za nacionalno obrambo, in je pošiljal lažna vabila vojaškim atašejem veleposlaništev na Kitajskem; Drugi je bil napad na tuje predstavništvo tehnološkega podjetja, kateremu je napadalec poslal lažen varnostni in zaupni priročnik.
Na sliki: Phishing dokumenti, prikriti kot Ministrstvo za obrambo
Po analizi Inštituta za raziskave naraščajoče varnosti, čeprav so cilji in vsebina teh dveh napadov drugačni od tehničnih metod, ki jih uporabljajo napadalci, je zaključeno, da ima odlično povezavo z organizacijo APT "Sidewinder", katere glavni namen je kraja zaupnih informacij na področjih vlade, energetike, vojske, mineralov in drugih panog. Napad je uporabil lažne e-pošte kot vabo za pošiljanje phishing sporočil, povezanih s kitajskimi veleposlaništvi in tehnološkimi podjetji v tujini, pri čemer je uporabil ranljivost Office Remote Execution Code (CVE-2017-11882) za pošiljanje phishing sporočil, povezanih s kitajskimi veleposlaništvi in tehnološkimi podjetji, z namenom kraje pomembnih zaupnih podatkov, informacij o zasebnosti ter znanstvenih in tehnoloških raziskovalnih tehnologij v naši državi. 2. Postopek napada
Slika: Tok napada
3. Analiza phishing e-poštnih sporočil (1) Bait dokument 1. Dokument je prikrit kot vabilo, ki ga je poslal Center za sodelovanje v tujini pri Uradu za mednarodno vojaško sodelovanje Ministrstva za nacionalno obrambo vojaškemu atašeju veleposlaništev različnih držav na Kitajskem.
Slika: Dokument vabe
(2) Vsebina dokumenta o vabi 2 se nanaša na revizijo varnostnega in zaupnega delovnega priročnika predstavništva tehnološkega podjetja v tujini.
Slika: Vsebina dokumenta
(3) Podrobna analiza Oba lažna dokumenta na koncu vgradita objekt z imenom "Wrapper Shell Object", atribut objekta pa kaže na datoteko 1.a v mapi %temp%. Torej, z odprtjem dokumenta se sprosti datoteka 1.a, ki jo je napisal JaveScript skript, v mapi %temp%.
Slika: Lastnosti objekta
Lažni dokument nato izkorišča ranljivost CVE-2017-11882 za sprožitev izvajanja shellcode 1.a.
Slika: shellcode
Postopek shellcode je naslednji: Dešifriraj JavaScript skripto preko XOR 0x12, glavna funkcija tega skripta pa je izvajanje datoteke 1.a v mapi %temp%.
Slika: JavaScript skriptno šifrirano besedilo
Slika: Dešifriran JavaScript skript
ShellCode spremeni argumente ukazne vrstice urejevalnika formul v JavaScript skripto in uporabi funkcijo RunHTMLApplication za izvajanje skripte.
Slika: Zamenjajte ukazno vrstico
Slika: Zagon JavaScripta
3. Analiza virusov (1) 1.a analiza datotek 1.a se generira z odprtokodnim orodjem DotNetToJScript, njena glavna funkcija pa je izvajanje .net DLL datotek prek JavaScript skriptnega pomnilnika. Skripta najprej dešifrira StInstaller.dll datoteko in odraža obremenitev delovne funkcije v tej DLL. Delovna funkcija dešifrira vhodne parametre x (parameter 1) in y (parameter 2), po dešifriranju pa je x PROPSYS.dll in y V1nK38w.tmp.
Slika: 1.vsebina scenarija
(2) StInstaller.dll StInstaller.dll za analizo datotek je .NET program, ki ustvari delovno mapo C:\ProgramData\AuthyFiles, nato pa sprosti 3 datoteke v delovni mapi, in sicer PROPSYS.dll, V1nK38w.tmp in write.exe.config, ter program WordPad postavi v sistemsko mapo (write.exe) Kopiraj v ta imenik. Zaženi write.exe (bela datoteka), da naloži PROPSYS.dll (črna datoteka) v isti mapi in zaženi zlonamerno kodo z belo in črno.
Slika: delovna funkcija
Naslednji je podroben postopek: 1. Pokličite funkcijo xorIt za dešifriranje v delovni funkciji, da pridobite 3 pomembne konfiguracijske podatke, in sicer ime delovne mape AuthyFiles in domenohttps://trans-can.netin nastavil ime registrskega ključa authy.
Slika: Dešifrirani podatki
Slika: funkcija dešifriranja xorIt
2. Ustvarite delovno mapo C:\ProgramData\AuthyFiles, kopirajte sistemske datoteke write.exe v delovno mapo in nastavite samodejno zagonsko zagon.
Slika: Ustvarjanje AuthyFiles in write.exe
3. Sprostite naključno poimenovano datoteko V1nK38w.tmp v delovni mapi. 4. Sprostite PROPSYS.dll v delovni mapi in posodobite ime datoteke, kamor želite naslednji program naložiti v V1nK38w.tmp.
Slika: Ustvarjanje PROPSYS.dll
5. Povežite celoten URL:https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5Piši v V1nK38w.tmp datoteko. Datoteka se nato šifrira z uporabo funkcije EncodeData.
Slika: Ustvari V1nK38w.tmp datoteko
Slika: EncodeData funkcija šifriranja
6. Ustvarite konfiguracijsko datoteko write.exe.config, da preprečite težave s kompatibilnostjo z različnimi različicami .NET.
Slika: Ustvari write.exe.config
Vsebina slike :write.exe.config
7. Izvedite C:\ProgramData\AuthyFiles\write.exe za klic zlonamernega PROPSYS.dll.
Slika: Izvršni write.exe
(3) PROPSYS.dll analiza datotek uporablja funkcijo DecodeData za dešifriranje V1nK38w.tmp in nalaganje izvršilnega V1nK38w.tmp po dešifriranju.
Slika: Nalaganje izvajanja V1nK38w.tmp
Slika: Funkcija dešifriranja DecodeData
(4) V1nK38w.tmp analiza datotek V1Nk38w.tmp predvsem kraja velike količine informacij in prejemanje navodil za izvajanje.
Slika: Glavno vedenje
1. Naložite začetno konfiguracijo, ki se privzeto dešifrira v viru. Konfiguracijska vsebina je URL, začasna mapa naložene datoteke in kraja določene pripone datoteke (doc, docx, xls, xlsx, pdf, ppt, pptx).
Slika: Konfiguracija nalaganja
Slika: Dešifrirane privzete informacije o viru
2. Konfiguracija je šifrirana z uporabo funkcije EncodeData in shranjena v registru HKCU\Sotfware\Authy.
Slika: Konfiguracijske informacije so šifrirane v registru
3. Obiščite določen naslov za prenos datoteke in najprej izberite URL v konfiguracijskih informacijah, če ne, izberite privzeti URL:https://trans-can.net/ini/thxqfL ... Mvr/-1/1291/f8ad26b。
Slika: Prenos podatkov
4. Vključite ukradene informacije v datoteko, datoteka dobi ime: naključni niz + specifična pripona, vsebina podatkov pa je shranjena v začasni mapi v navadnem besedilu.
Na sliki: Kraja informacijskih datotek
Datoteke s pripono .sif večinoma shranjujejo sistemske informacije, namestitvene podatke, podatke o disku itd.
Slika: Informacije, shranjene s pripono .sif
Pridobljene sistemske informacije so naslednje:
Pripona je .fls.
Tabela: Informacijski zapis
Slika: Informacije o shranjevanju za pripono .fls
Datoteka s pripono .flc zabeleži informacije o vseh črkah pogona ter podatke o imeniku in datoteki pod črko pogona. Naslednja tabela prikazuje informacije o črki pogona, ki jih napadalec želi pridobiti:
Informacije o mapi, ki jih napadalec želi pridobiti, so naslednje:
Informacije o datoteki, ki jih napadalec želi pridobiti, so naslednje:
Ujame izjeme pri izvajanju programa in beleži informacije o izjemah v datoteko s pripono .err.
Slika: Ujemanje izjeme
5. Posodobite konfiguracijske podatke, shranjene v registru: Najprej prečkajte sistem in poiščite datoteke z enako pripono kot določena pripona, nato preberite in dešifrirajte konfiguracijske podatke iz registra HKCU\Sotfware\Authy, dodajte ime in pot najdenih datotek v konfiguracijske podatke ter na koncu šifririrajte konfiguracijske podatke za nadaljevanje shranjevanja registra.
Slika: Poiščite določeno datoteko s pripono
Slika: Zabeležite pot dokumenta, ki ga je treba naložiti
Slika: Naložite dokument z določeno pripono
6. Posodobite konfiguracijske podatke, shranjene v registru: Posodobite podatke o naloženi datoteki v konfiguracijske podatke registra.
Slika: Dešifrirane konfiguracijske informacije v registru
7. Stisni in naloži vso podatkovno vsebino določene datoteke s pripono, zabeleženo v konfiguracijskih informacijah registra.
Slika: Naloži datoteko s pripono
8. Naložite datoteke s priponami sif, flc, err in fls v mapo za pripravljanje.
Slika: Datoteke za nalaganje
4. Povzetek
Oba napada nista bila dolgo narazen, cilja napada pa sta bila usmerjena na občutljiva območja in ustrezne institucije na Kitajskem, namen napada pa je bil predvsem kraja zasebnih informacij znotraj organizacije, da bi oblikovali načrtovani naslednji napad. Večina nedavno razkritih napadov Sidewinder je bila usmerjena proti Pakistanu in jugovzhodnoazijskim državam, vendar sta bila ta dva napada usmerjena proti Kitajski, kar kaže, da so se cilji napadov skupine spremenili in povečali napade na Kitajsko. To leto sovpada s 70. obletnico ustanovitve naše države, zato morajo ustrezne domače vladne agencije in podjetja temu nameniti veliko pozornosti in okrepiti preventivne ukrepe.
5. Preventivni ukrepi
1. Ne odpirajte sumljivih e-poštnih sporočil in ne prenašajte sumljivih prilog. Prvi vstop v takšne napade so običajno phishing e-pošta, ki so zelo zmedena, zato morajo biti uporabniki pozorni, podjetja pa naj okrepijo usposabljanje zaposlenih za ozaveščanje o varnosti omrežij.
2. Uvesti varnostne izdelke prehodov, kot so sistemi za omrežno varnost, situacijsko zavedanje in zgodnje opozarjanje. Varnostni izdelki prehodov lahko uporabljajo obveščevalne podatke o grožnjah za sledenje poti vedenja groženj, pomagajo uporabnikom analizirati vedenje groženj, locirati vire in namene groženj, slediti sredstvom in poti napadov, reševati grožnje v omrežju iz izvora ter v največji meri odkrivati napadena vozlišča, kar podjetjem pomaga hitreje reagirati in se z njimi spopasti.
3. Namestite učinkovito protivirusno programsko opremo za blokiranje in uničenje zlonamernih dokumentov ter trojanskih virusov. Če uporabnik po nesreči prenese zlonamerni dokument, ga lahko protivirusna programska oprema blokira in uniči, prepreči zagon virusa ter zaščiti varnost uporabnikovih terminalov.
4. Pravočasno popravljajte sistemske popravke in pomembne programske popravke.
6. Informacije MOK
MD5
D83B3586393CAB724519B27B9857A4B237166FA93D776147E545AAD7E30B41608FD10BD711AB374E8DE9841CF8824758D4C3963B11E1732E1419ADF5F404E50C58DE7C0DF5BD677E1A3CDC099019015DA94BE8863E607DC7988F34F9073099168444A5850EEBA282 4D7C9BAD9189FF7E
url
https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5https://trans-can.net/ini/Wsx8Gb ... 31878/1346/cab43a7f
|
Objavljeno na 21. 09. 2019 09:15:59
|
|
|
