2019-09-06 1. Bakgrundsintroduktion Nyligen fångade Rising Security Research Institute två APT-attacker mot Kina, en riktad mot ambassader från olika länder i Kina och en annan mot representationskontoret för ett teknikföretag utomlands. När en användare öppnar ett nätfiskedokument kommer datorn att fjärrstyras av angriparen, vilket leder till stöld av intern konfidentiell data såsom systeminformation, installationsfiler och diskinformation. Det är känt att APT-attacken genomfördes av den internationellt erkända organisationen "Sidewinder", som har genomfört många attacker mot Pakistan och länder i Sydostasien, men de två senaste APT-attackerna har ofta pekat mot Kina, varav en är förklädd till Overseas Military Security Cooperation Center vid International Military Cooperation Office vid försvarsministeriet, och skickade falska inbjudningar till militärattachéer vid ambassader i Kina; Den andra var en attack mot ett teknikföretags representativa kontor utomlands, till vilken angriparen skickade en falsk säkerhets- och sekretessmanual.
På bilden: Phishing-dokument förklädda till Försvarsministeriet
Enligt analysen från Rising Security Research Institute, även om målen och innehållet i dessa två attacker skiljer sig från de tekniska metoder som angriparna använde, dras slutsatsen att de har en god relation med APT-organisationen "Sidewinder", som har som huvudsyfte att stjäla konfidentiell information inom områdena regering, energi, militär, mineraler och andra områden. Attacken använde falska e-postmeddelanden som lockbete för att skicka nätfiskemejl relaterade till kinesiska ambassader och teknikföretag utomlands, med hjälp av Office Remote Code execution sårbarheten (CVE-2017-11882) för att skicka nätfiskemejl relaterade till kinesiska ambassader och teknikföretag, med målet att stjäla viktig konfidentiell data, integritetsinformation samt vetenskaplig och teknologisk forskningsteknologi i vårt land. 2. Attackprocess
Figur: Anfallsflöde
3. Analys av nätfiske-e-postmeddelanden (1) Betedokument 1. Ett dokument är förklätt till ett inbjudningsbrev skickat av Overseas Military Security Cooperation Center vid International Military Cooperation Office vid försvarsministeriet till militärattachén vid ambassaderna i olika länder i Kina.
Figur: Betesdokument
(2) Innehållet i betesdokumentet 2 är relaterat till revisionen av säkerhets- och sekretessarbetsmanualen vid representationskontoret för ett teknikföretag utomlands.
Figur: Dokumentinnehåll
(3) Detaljerad analys Båda lockbetedokumenten bäddar in ett objekt kallat "Wrapper Shell Object" i slutet, och objektattributet pekar på 1.a-filen i %temp%-katalogen. Så, när du öppnar dokumentet släpper du filen 1.a skriven av JaveScript-skriptet i %temp%-katalogen.
Figur: Objektegenskaper
Lockbetedokumentet utnyttjar sedan sårbarheten CVE-2017-11882 för att utlösa shellcode-exekvering 1.a.
Figur: shellcode
Shellcode-processen är följande: Dekryptera ett JavaScript-skript via XOR 0x12, och huvudfunktionen för detta skript är att köra 1.a-filen i %temp%-katalogen.
Figur: JavaScript-skriptchiffertext
Figur: Dekrypterat JavaScript-skript
ShellCode kommer att ändra kommandoradsargumenten i formelredigeraren till ett JavaScript-skript och använda funktionen RunHTMLApplication för att köra skriptet.
Figur: Byt ut kommandoraden
Figur: Kör JavaScript
3. Virusanalys (1) 1.a Filanalys 1.a genereras via det öppna verktyget DotNetToJScript, och dess huvudfunktion är att köra .net DLL-filer via JavaScript-skriptminne. Skriptet dekrypterar först StInstaller.dll filen och återspeglar arbetsfunktionen i den DLL:n. Arbetsfunktionen dekrypterar de inkommande parametrarna x (parameter 1) och y (parameter 2), och efter dekryptering är x PROPSYS.dll och y V1nK38w.tmp.
Figur: 1.a manusinnehåll
(2) StInstaller.dll filanalys StInstaller.dll är ett .NET-program som skapar en arbetsmapp C:\ProgramData\AuthyFiles, och sedan släpper 3 filer i arbetskatalogen, nämligen PROPSYS.dll, V1nK38w.tmp och write.exe.config, och lägger WordPad-programmet i systemkatalogen (write.exe) Kopiera till den katalogen. Kör write.exe (vit fil) för att ladda PROPSYS.dll (svart fil) i samma katalog och kör den skadliga koden med vit och svart.
Figur: arbetsfunktion
Följande är den detaljerade processen: 1. Anropa xorIt-dekrypteringsfunktionen i arbetsfunktionen för att erhålla 3 viktiga konfigurationsdata, nämligen arbetskatalognamnet AuthyFiles och domännamnethttps://trans-can.netoch ange registreringsnyckelns namn Authy.
Figur: Dekrypterade data
Figur: xorIt-dekrypteringsfunktion
2. Skapa en arbetsmapp C:\ProgramData\AuthyFiles, kopiera systemfilerna write.exe till arbetskatalogen och ställ in den på att starta autoboot.
Figur: Skapa AuthyFiles och write.exe
3. Släpp en slumpmässigt namngiven fil V1nK38w.tmp i arbetskatalogen. 4. Frigör PROPSYS.dll i arbetskatalogen och uppdatera filnamnet på filen där du vill ladda programmet nästa gång i filen V1nK38w.tmp.
Figur: Skapelsen PROPSYS.dll
5. Länka den sammanlänkade fullständiga URL:en:https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5Skriv till V1nK38w.tmp fil. Filen krypteras sedan med EncodeData-funktionen.
Figur: Skapa V1nK38w.tmp fil
Figur: EncodeData-krypteringsfunktion
6. Skapa en konfigurationsfil write.exe.config för att förhindra kompatibilitetsproblem med olika .NET-versioner.
Figur: Create write.exe.config
Figur :write.exe.config-innehåll
7. Kör C:\ProgramData\AuthyFiles\write.exe för att anropa den illvilliga PROPSYS.dll.
Figur: Verkställande write.exe
(3) PROPSYS.dll filanalys använder DecodeData-funktionen för att dekryptera V1nK38w.tmp och ladda exekveringen V1nK38w.tmp efter dekrypteringen.
Figur: Laddar exekverings V1nK38w.tmp
Figur: DecodeData-dekrypteringsfunktion
(4) V1nK38w.tmp filanalys V1Nk38w.tmp främst att stjäla en stor mängd information och ta emot instruktioner för exekvering.
Figur: Huvudbeteende
1. Ladda den initiala konfigurationen, som som standard är dekrypterad i resursen. Konfigurationsinnehållet är URL:en, den temporära katalogen för den uppladdade filen och stölden av det angivna filsuffixet (doc, docx, xls, xlsx, pdf, ppt, pptx).
Figur: Laddningskonfiguration
Figur: Dekrypterad standardresursinformation
2. Konfigurationen krypteras med funktionen EncodeData och lagras i registret HKCU\Sotfware\Authy.
Figur: Konfigurationsinformation krypterad i registret
3. Besök den angivna adressen för att ladda ner filen och välj URL:en i konfigurationsinformationen först, annars välj standard-URL:en:https://trans-can.net/ini/thxqfL ... Mvr/-1/1291/f8ad26b。
Figur: Ladda ner data
4. Integrera den stulna informationen i en fil, filen heter: slumpmässig sträng + specifikt suffix, och datainnehållet lagras i den temporära katalogen i klartext.
På bilden: Stöld av informationsfiler
Filer med suffixet .sif lagrar främst systeminformation, installationsinformation, diskinformation osv.
Figur: Information lagrad av suffixet .sif
Systeminformationen som erhålls är följande:
Suffixet är .fls.
Tabell: Informationspost
Figur: Lagringsinformation för suffixet .fls
En fil med suffixet .flc registrerar informationen om alla diskbokstäver samt katalog- och filinformationen under diskbokstaven. Följande tabell visar den information om drivbokstäver som angriparen vill få:
Den kataloginformation som angriparen vill få tag på är följande:
Den filinformation som angriparen vill få tag på är följande:
Fångar undantag under programexekvering och loggar undantagsinformation till en fil med .err-suffixet.
Figur: Fånga ett undantag
5. Uppdatera konfigurationsdata som lagras i registret: Först, gå igenom systemet för att hitta filer med samma suffix som ett specifikt suffix, läs och dekryptera sedan konfigurationsdata från registret HKCU\Sotfware\Authy, lägg till namn och sökväg för de hittade filerna till konfigurationsdatan, och slutligen kryptera konfigurationsinformationen för att fortsätta lagra registret.
Figur: Hitta en specifik suffixfil
Figur: Registrera vägen för dokumentet som ska laddas upp
Figur: Ladda upp ett angivet suffixdokument
6. Uppdatera konfigurationsdata som lagras i registret: Uppdatera informationen från den uppladdade filen till registerkonfigurationsdatan.
Figur: Dekrypterad konfigurationsinformation i registret
7. Komprimera och ladda upp allt datainnehåll i den specifika suffixfilen som finns i registerkonfigurationsinformationen.
Figur: Ladda upp en suffixfil
8. Ladda upp filer med sif, flc, err och fls-suffix i staging-katalogen.
Figur: Ladda upp filer
4. Sammanfattning
De två attackerna var inte långt ifrån varandra, och målen för attackerna var båda riktade mot känsliga områden och relevanta institutioner i Kina, och syftet med attacken var främst att stjäla privat information inom organisationen för att kunna formulera en riktad nästa attackplan. De flesta av de nyligen avslöjade Sidewinder-attackerna riktade sig mot Pakistan och länder i Sydostasien, men dessa två attacker riktades mot Kina, vilket indikerar att gruppens attackmål har förändrats och ökat dess attacker mot Kina. Detta år sammanfaller med 70-årsjubileet av vårt lands grundande, och relevanta inhemska myndigheter och företag måste ägna stor uppmärksamhet åt detta och stärka förebyggande åtgärder.
5. Förebyggande åtgärder
1. Öppna inte misstänkta mejl eller ladda ner misstänkta bilagor. Den första ingången till sådana attacker är vanligtvis nätfiskemail, som är mycket förvirrande, så användare måste vara vaksamma och företag bör stärka utbildningen i medarbetarnas nätverkssäkerhet.
2. Implementera gateway-säkerhetsprodukter såsom nätverkssäkerhetssystem, situationsmedvetenhet och tidig varning. Gateway-säkerhetsprodukter kan använda hotintelligens för att spåra hotbeteendets trajektorier, hjälpa användare att analysera hotbeteende, lokalisera hotkällor och syften, spåra metoder och vägar för attacker, lösa nätverkshot från källan och upptäcka de attackerade noderna i största möjliga utsträckning, vilket hjälper företag att svara och hantera dem snabbare.
3. Installera effektiv antivirusprogramvara för att blockera och döda skadliga dokument och trojanska virus. Om användaren av misstag laddar ner ett skadligt dokument kan antivirusprogrammet blockera och döda det, förhindra att viruset körs och skydda användarens terminalsäkerhet.
4. Patchsystempatchar och viktiga mjukvarupatchar i tid.
6. IOK-information
MD5
D83B3586393CAB724519B27B9857A4B237166FA93D776147E545AAD7E30B41608FD10BD711AB374E8DE9841CF8824758D4C3963B11E1732E1419ADF5F404E50C58DE7C0DF5BD677E1A3CDC099019015DA94BE8863E607DC7988F34F9073099168444A5850EEBA282 4D7C9BAD9189FF7E
URL
https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5https://trans-can.net/ini/Wsx8Gb ... 31878/1346/cab43a7f
|
Publicerad på 2019-09-21 09:15:59
|
|
|
