2019-09-06 1. Передісторія Нещодавно Rising Security Research Institute зафіксував дві атаки APT проти Китаю: одна спрямована на посольства різних країн у Китаї, а інша — на представництво технологічної компанії за кордоном. Після відкриття фішингового документа комп'ютер буде дистанційно керуватися зловмисником, що призводить до крадіжки внутрішніх конфіденційних даних, таких як інформація комп'ютерної системи, інсталятори та дані з диска. Відомо, що атаку APT здійснила міжнародно відома організація «Sidewinder», яка здійснила багато нападів на Пакистан і країни Південно-Східної Азії, але останні дві атаки APT часто вказували на Китай: одна маскується під Центр військової безпеки за кордоном Офісу міжнародного військового співробітництва Міністерства національної оборони, і надсилала фальшиві запрошення військовим аташе посольств у Китаї; Іншим був напад на закордонне представництво технологічної компанії, куди зловмисник надіслав підроблений посібник з безпеки та конфіденційності.
На фото: Фішингові документи, замасковані під Міністерство оборони
Згідно з аналізом Rising Security Research Institute, хоча цілі та зміст цих двох атак відрізняються від технічних методів, які використовували зловмисники, зроблено висновок, що вона має тісні зв'язки з організацією APT «Sidewinder», головною метою якої є викрадення конфіденційної інформації у сферах уряду, енергетики, армії, корисних копалин та інших сфер. Атака використовувала фейкові електронні листи як приманку для надсилання фішингових листів, пов'язаних із китайськими посольствами та технологічними підприємствами за кордоном, з використанням вразливості віддаленого виконання коду Office (CVE-2017-11882) для надсилання фішингових листів, пов'язаних із китайськими посольствами та технологічними підприємствами, з метою викрадення важливих конфіденційних даних, приватності та науково-технологічних дослідницьких технологій у нашій країні. 2. Процес атаки
Рисунок: Потік атаки
3. Аналіз фішингових електронних листів (1) Документ-приманка 1. Документ маскується під запрошення, надіслане Центром військової безпеки за кордоном Офісу міжнародного військового співробітництва Міністерства національної оборони військовому аташе посольств різних країн у Китаї.
Рисунок: Документ наживки
(2) Зміст документа-приманки 2 стосується перегляду робочого посібника з безпеки та конфіденційності представництва технологічної компанії за кордоном.
Рисунок: Вміст документа
(3) Детальний аналіз Обидва документи обману вбудовують об'єкт під назвою «Обгортка оболонки» в кінці, а атрибут об'єкта вказує на файл 1.a у каталозі %temp%. Отже, відкриття документа відкриває файл 1.a, написаний скриптом JaveScript у каталозі %temp%.
Рисунок: Властивості об'єкта
Документ-приманка потім використовує вразливість CVE-2017-11882 для запуску виконання shellcode 1.a.
Рисунок: shellcode
Процес shellcode виглядає так: Розшифруйте JavaScript-скрипт через XOR 0x12, а основна функція цього скрипта — виконати файл 1.a у каталозі %temp%.
Рисунок: JavaScript script шифрований текст
Рисунок: Розшифрований JavaScript-скрипт
ShellCode змінює аргументи командного рядка редактора формул на JavaScript-скрипт і використовує функцію RunHTMLApplication для виконання скрипту.
Рисунок: Замінити командний рядок
Рисунок: Запуск JavaScript
3. Аналіз вірусів (1) 1.a Аналіз файлів 1.a генерується через відкритий інструмент DotNetToJScript, і його основна функція — виконання .net DLL-файлів через JavaScript-скрипт-пам'ять. Скрипт спочатку розшифровує файл StInstaller.dll і відображає навантаження робочої функції в цій DLL. Робоча функція розшифровує вхідні параметри x (параметр 1) та y (параметр 2), і після дешифрування x дорівнює PROPSYS.dll, а y — V1nK38w.tmp.
Рисунок: 1.a зміст сценарію
(2) StInstaller.dll StInstaller.dll аналізу файлів — це .NET-програма, яка створює робочий каталог C:\ProgramData\AuthyFiles, а потім випускає 3 файли в робочому каталозі, а саме PROPSYS.dll, V1nK38w.tmp та write.exe.config, а програму WordPad помістить у системний каталог (write.exe) Скопіюйте в цей каталог. Запустіть write.exe (білий файл), щоб завантажити PROPSYS.dll (чорний файл) у тій самій папці і запустити шкідливий код за допомогою white and black.
Рисунок: робоча функція
Нижче наведено детальний процес: 1. Викликайте функцію розшифрування xorIt у робочій функції, щоб отримати 3 важливі конфігураційні дані, а саме робоче ім'я каталогу AuthyFiles та доменне ім'яhttps://trans-can.netі встановив ім'я ключа реєстру authy.
Рисунок: Розшифровані дані
Рисунок: функція розшифрування xorIt
2. Створіть робочий каталог C:\ProgramData\AuthyFiles, скопіюйте системні файли write.exe до робочої директорії та встановіть автозавантаження.
Рисунок: Створення AuthyFiles та write.exe
3. Випустити випадково названий файл V1nK38w.tmp в робочій директорії. 4. Звільніть PROPSYS.dll в робочій директорії та оновіть ім'я файлу, куди хочете завантажити програму далі, у V1nK38w.tmp файлу.
Рисунок: Створення PROPSYS.dll
5. Додайте повний посилання на склеєний URL:https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5Записуйте у V1nK38w.tmp файл. Файл потім шифрується за допомогою функції EncodeData.
Рисунок: Створити V1nK38w.tmp файл
Рисунок: Функція шифрування EncodeData
6. Створити конфігураційний файл write.exe.config, щоб уникнути проблем сумісності з різними версіями .NET.
Рисунок: Створити write.exe.config
Рисунок :write.exe.config content
7. Виконайте C:\ProgramData\AuthyFiles\write.exe щоб викликати шкідливий PROPSYS.dll.
Рисунок: Виконавчий write.exe
(3) PROPSYS.dll аналіз файлів використовує функцію DecodeData для дешифрування V1nK38w.tmp та завантаження виконання V1nK38w.tmp після розшифрування.
Рисунок: Завантаження виконання V1nK38w.tmp
Рисунок: Функція дешифрування DecodeData
(4) V1nK38w.tmp аналіз файлів V1Nk38w.tmp переважно крадіжка великої кількості інформації та отримання інструкцій для виконання.
Рисунок: Основна поведінка
1. Завантажити початкову конфігурацію, яка за замовчуванням розшифровується в ресурсі. Вміст конфігурації — це URL, тимчасова папка завантаженого файлу та крадіжка вказаного суфікса файлу (doc, docx, xls, xlsx, pdf, ppt, pptx).
Рисунок: Конфігурація завантаження
Рисунок: Розшифрована інформація про ресурси за замовчуванням
2. Конфігурація шифрується за допомогою функції EncodeData і зберігається в реєстрі HKCU\Sotfware\Authy.
Рисунок: Інформація конфігурації, зашифрована в реєстрі
3. Відвідайте вказану адресу, щоб завантажити файл, і спочатку оберіть URL у конфігураційній інформації, якщо ні — виберіть стандартний URL:https://trans-can.net/ini/thxqfL ... Mvr/-1/1291/f8ad26b。
Рисунок: Дані завантаження
4. Інтегрувати вкрадену інформацію у файл, файл має назву: випадковий рядок + специфічний суфікс, а вміст даних зберігається у тимчасовій директорії у відкритому вигляді.
На фото: Крадіжка інформаційних файлів
Файли з суфіксом .sif переважно зберігають інформацію про систему, інформацію про інсталятора, диск тощо.
Рисунок: Інформація, збережена суфіксом .sif
Отримана системна інформація виглядає так:
Суфікс — .fls.
Таблиця: Інформаційний запис
Рисунок: Інформація про зберігання суфікса .fls
Файл із суфіксом .flc зберігає інформацію про всі літери диска, а також інформацію про каталог і файл під літерою диска. Наступна таблиця показує інформацію про літеру диска, яку зловмисник хоче отримати:
Інформація з каталогу, яку зловмисник хоче отримати, така:
Інформація про файл, яку зловмисник хоче отримати, така:
Фіксує винятки під час виконання програми та фіксує інформацію про винятки у файлі з суфіксом .err.
Рисунок: Ловля виключення
5. Оновити конфігураційні дані, що зберігаються в реєстрі: Спочатку пройдіть систему, щоб знайти файли з тим самим суфіксом, що й конкретний суфікс, потім прочитайте та розшифруйте конфігураційні дані з реєстру HKCU\Sotfware\Authy, додайте ім'я та шлях знайдених файлів до конфігураційних даних, і нарешті зашифруйте конфігураційну інформацію для подальшого зберігання реєстру.
Рисунок: Знайдіть конкретний файл суфікса
Рисунок: Запишіть шлях до документа, який потрібно завантажити
Рисунок: Завантажити документ із зазначеним суфіксом
6. Оновити конфігураційні дані, що зберігаються в реєстрі: оновити інформацію завантаженого файлу до даних конфігурації реєстру.
Рисунок: Розшифрована конфігураційна інформація в реєстрі
7. Стисніть і завантажте весь вміст даних конкретного суфіксного файлу, записаного в конфігураційній інформації реєстру.
Рисунок: Завантажити файл суфікса
8. Завантажуйте файли з суфіксами sif, flc, err і fls у директорії staging.
Рисунок: Завантажити файли
4. Підсумок
Дві атаки відбулися недалеко один від одного, і цілі були спрямовані на чутливі райони та відповідні установи Китаю, а метою атаки було головним чином викрадення приватної інформації в організації для розробки цільового наступного плану атаки. Більшість нещодавно виявлених атак Sidewinder були спрямовані на Пакистан і країни Південно-Східної Азії, але ці дві атаки були спрямовані на Китай, що свідчить про те, що цілі атаки групи змінилися і посилилися на Китай. Цей рік збігається з 70-річчю заснування нашої країни, і відповідні національні державні установи та підприємства повинні приділяти цьому велику увагу та посилювати профілактичні заходи.
5. Профілактичні заходи
1. Не відкривайте підозрілі листи та не завантажуйте підозрілі вкладення. Початковим входом до таких атак зазвичай є фішингові листи, які дуже заплутані, тому користувачам потрібно бути пильними, а підприємствам слід посилювати навчання працівників з безпеки мереж.
2. Впровадити продукти безпеки шлюзів, такі як мережева безпека, ситуаційна обізнаність і системи раннього попередження. Продукти безпеки шлюзів можуть використовувати аналітику загроз для відстеження траєкторії поведінки загроз, допомагати користувачам аналізувати поведінку загроз, знаходити джерела та цілі, відстежувати шляхи та шляхи атак, розв'язувати мережеві загрози з джерела та максимально ефективно виявляти атакувані вузли, допомагаючи підприємствам швидше реагувати та боротися з ними.
3. Встановити ефективне антивірусне програмне забезпечення для блокування та знищення шкідливих документів і троянських вірусів. Якщо користувач випадково завантажує шкідливий документ, антивірусне програмне забезпечення може заблокувати та знищити його, запобігти запуску вірусу та захистити безпеку терміналу користувача.
4. Вчасно виправляйте системні патчі та важливі програмні патчі.
6. Інформація МОК
MD5
D83B3586393CAB724519B27B9857A4B237166FA93D776147E545AAD7E30B41608FD10BD711AB374E8DE9841CF8824758D4C3963B11E1732E1419ADF5F404E50C58DE7C0DF5BD677E1A3CDC099019015DA94BE8863E607DC7988F34F9073099168444A5850EEBA282 4D7C9BAD9189FF7E
URL
https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5https://trans-can.net/ini/Wsx8Gb ... 31878/1346/cab43a7f
|
Опубліковано 21.09.2019 09:15:59
|
|
|
