IT技術互動交流平台

海南体彩网官网

作者︰佚(die)名(ming)  發(fa)布日期︰2020-02-23 16:30:48


*本報告(gao)翻譯自Paloalto Networks技術報告(gao)archcenter,作者Josh Grunzweig, Mike Scott and Bryan Lee,僅供業界學習,不用(yong)于任(ren)何商業用(yong)途(tu)。如(ru)有疏忽或翻譯錯誤(wu)敬請指出。
最近幾(ji)周Paloalto Networks的研究人員注(zhu)意到,APT組織Wekby對美國的部分(fen)秘密機構展開了一(yi)次攻擊(ji)。Wekby這些年一(yi)直活躍在(zai)醫療、電信(xin)、航空(kong)航天、國防和(he)高(gao)科(ke)技等多個領域。它會在(zai)漏洞出現的第一(yi)時(shi)間就對其大加利用(yong),就像在(zai)HackingTeam的zero-day漏洞ci)錄(lu)斜biao)現的那樣。
Wekby使用(yong)的惡意軟件(jian)是(shi)HTTPBrower惡意軟件(jian)家族的一(yi)員bao) 庵佷褚餿砑jian)利用(yong)DNS請求(qiu)作為指令和(he)控(kong)制機制(C&C)。此外,它還使用(yong)各種模糊(hu)處(chu)理技術,使得技術人員在(zai)分(fen)析過(guo)程中屢屢受阻。根(gen)據樣本中看到的那些元數據,Palo Alto網絡(luo)公司將(jiang)其命名(ming)為pisloader惡意軟件(jian)。
基礎設施(shi)
Pisloader惡意軟件(jian)家族通過(guo)HTTP從下(xia)面(mian)URL中進行傳播。這個URL至今還處(chu)于活躍狀態(tai)。
http://globalprint-us [.]com/proxy_plugin.exe
示(shi)例中還有xing)詿擻螄xia)的其他URL︰
http://globalprint-us [.]com/proxy_web_plugin.exe
MD5︰E4968C8060EA017B5E5756C16B80B012
SHA256: 8FFBB7A80EFA9EE79E996ABDE7A95CF8DC6F9A41F9026672A8DBD95539FEA82A
大小︰126976字(zi)節
編譯時(shi)間︰2020年02月23日00:38:46
這份已(yi)經發(fa)現的文件(jian)是(shi)最常見(jian)的poison lvy惡意軟件(jian)家族的一(yi)種,下(xia)面(mian)是(shi)它的配置數據︰
命令和(he)控(kong)制pin)?罰ntranetwabcam [.]com
命令和(he)控(kong)制端(duan)口︰80
密碼(ma)︰管(guan)理員
互斥鎖︰) !VoqA.I5
在(zai)這次攻擊(ji)中所有使用(yong)過(guo)的域名(ming)都是(shi)在(zai)攻擊(ji)之前剛剛被注(zhu)冊的。所包含的域如(ru)下(xia)︰

 
另外,研究員們還發(fa)現了下(xia)面(mian)的IP︰

 
攻擊(ji)之初(chu)
下(xia)面(mian)是(shi)最初(chu)發(fa)現的攻擊(ji),在(zai)之後的分(fen)析中也(ye)一(yi)直在(zai)被引用(yong)︰
MD5︰E8D58AA76DD97536AC225949A2767E05
SHA256:DA3261C332E72E4C1641CA0DE439AF280E064B224D950817A11922A8078B11F1
大小︰126976字(zi)節
編譯時(shi)間︰2020年02月23日14:37:34
這個特定文件(jian)具有以(yi)下(xia)的nao) 菔糶xing)。Pisloader這個名(ming)字(zi)也(ye)是(shi)來源于此。

 
最初(chu)的注(zhu)入攻擊(ji)中包含的代碼(ma)非常簡單,主要任(ren)務是(shi)通過(guo)運行注(zhu)冊表(biao)項進行設置,並安裝執行嵌入式的windows可執行文件(jian)。如(ru)果遇(yu)到混淆(xiao),攻擊(ji)者會立刻(ke)將(jiang)字(zi)符串拆分(fen)為更小的子字(zi)符串,然huan)笫褂yong)“strcpy”和(he)“strcat”調用(yong)來重新進行構建。他們也(ye)會使用(yong)同樣的技術來生成從you)詞(ci)褂yong)過(guo)的垃圾字(zi)符串,目的是(shi)為了阻止樣品的檢(jian)測和(he)分(fen)析。下(xia)面(mian)的反編譯代碼(ma)會解釋(shi)得更加清楚,我(wo)們已(yi)經在(zai)其中添加了注(zhu)釋(shi),以(yi)顯示(shi)完全生成的字(zi)符串。

 
在(zai)上述(shu)的反編譯代碼(ma)中,我(wo)們看到pisloader生成了下(xia)面(mian)的字(zi)符串,之後會用(yong)來設置運行注(zhu)冊表(biao)項。
cmd.exe/cregaddHKCUSoftwareMicrosoftWindowsCurrentVersionRun /v lsm /t reg_sz /d"%appdata%lsm.exe"/f
這一(yi)特定命令會用(yong)%appdata%lsm.exe值來設置HKCUSoftwareMicrosoftWindowsCurrentVersionRunlsm注(zhu)冊表(biao)項。此項設置之後,惡意軟件(jian)會用(yong)一(yi)個單字(zi)節0×54的XOR值解密兩組數據。由此產生的數據將(jiang)會寫入%appdata%lsm.exe 文件(jian)路徑。
在(zai)寫如(ru)此文件(jian)之後,惡意軟件(jian)會執行剛編寫的 lsm.exe文件(jian),其中包含pisloader的有效(xiao)攻擊(ji)荷(he)載。
有效(xiao)攻擊(ji)荷(he)載
下(xia)面(mian)是(shi)已(yi)發(fa)現的、並在(zai)隨後的分(fen)析中加以(yi)引用(yong)的案例︰
MD5: 07B9B62FB3B1C068837C188FEFBD5DE9
SHA256:456FFFC256422AD667CA023D694494881BAED1496A3067485D56ECC8FEFBFAEB
大小 102400 字(zi)節
編譯時(shi)間 2020年02月23日 16:30:02
攻擊(ji)者使用(yong)了面(mian)向返回編程(ROP)技術,以(yi)及大量垃圾程序及指令對有效(xiao)荷(he)載進行了模糊(hu)化(hua)處(chu)理。在(zai)下(xia)面(mian)的示(shi)例中,用(yong)紅色標記的都是(shi)沒(mei)有任(ren)何用(yong)處(chu)的代碼(ma)。此類代碼(ma)可以(yi)作為垃圾處(chu)理,直接忽略。真正行使功(gong)能的代碼(ma)是(shi)綠色部分(fen),這些代碼(ma)中有兩個函數偏移量在(zai)返回指令之後被堆放到堆棧中。這個返回指令會先將(jiang)執行代碼(ma)指向空(kong)函數,空(kong)函數會反過(guo)來將(jiang)執行代碼(ma)指向“next-function”。有效(xiao)荷(he)載運行的時(shi)候(hou)會使用(yong)這種技術,這樣會使得靜態(tai)分(fen)析變得更加困(kun)難。

 
在(zai)忽略了垃圾代碼(ma)之後,惡意軟件(jian)實dao)噬鮮shi)非常簡單的。開始它會隨機生成一(yi)個10字(zi)節長的字(zi)母數字(zi)作為標頭。其余(yu)的數據會進行base32編碼(ma),之後刪除(chu)填充。此數據會用(yong)于填充子域,而這個子域就是(shi)之後的DNS請求(qiu)中用(yong)于TXT記錄(lu)的地(di)方。
這種利用(yong)DNS作為C&C攻擊(ji)的做法一(yi)直沒(mei)有被惡意攻擊(ji)者廣泛(fan)采用(yong)過(guo),除(chu)了下(xia)面(mian)這些︰
· FrameworkPOS
· C3PRO-RACCOON
· FeederBot
·  Morto
· 新型PlugX
與此同時(shi),這一(yi)做法也(ye)使得pisloader可以(yi)繞過(guo)某(mou)些安全產品(如(ru)果無法繞過(guo),這些安全產品就會發(fa)現其中的異常)。


 
pisloader會定期發(fa)送一(yi)個信(xin)標,其中包含被用(yong)作有效(xiao)荷(he)載的4字(zi)節隨機大寫字(zi)符串。下(xia)面(mian)的示(shi)例中顯示(shi)了這一(yi)點︰

 
對于pisloader預估(gu)響應之外的所有響應,惡意軟件(jian)都會不予(yu)理睬。所以(yi)攻擊(ji)者會設置下(xia)面(mian)的DNS,因(yin)為如(ru)果沒(mei)有設置額外標明,惡意軟件(jian)就沒(mei)有辦法進行分(fen)辨。
· 響應
· 所需的遞歸函數
· 可用(yong)的遞歸函數
“問(wen)題”和(he)“回答資shi)醇鍬lu)”字(zi)段必須被設置為0×1值。另外,響應查(cha)詢子域必須與原始DNS請求(qiu)匹(pi)配。
攻擊(ji)者還將(jiang)遠(yuan)程命令和(he)控(kong)制(C&C)服務器(qi)靜態(tai)嵌入到惡意軟件(jian)中去。在(zai)案例中我(wo)們還發(fa)現了“ns1.logitech-usa[.]com”主機。
C&C服務器(qi)會用(yong)一(yi)個TXT文檔進行響應,而文檔的加yong)芊絞接氤chu)始請求(qiu)類似。在(zai)響應中,第一(yi)個字(zi)節會被huan)雎裕 sheng)下(xia)的數據是(shi)用(yong)的base32編碼(ma)方法。下(xia)面(mian)是(shi)示(shi)例︰

 
下(xia)面(mian)是(shi)惡意軟件(jian)支(zhi)持的相(xiang)關命令以(yi)及它們的描述(shu)︰
· sifo——收(shou)集受害者系統信(xin)息(xi)
· 驅動器(qi)——列舉受害者計(ji)算機上的驅動器(qi)
· 列表(biao)——列舉提供目錄(lu)中的文件(jian)信(xin)息(xi)
· 上傳——將(jiang)文件(jian)上傳到受害者計(ji)算機
· 打開——生成命令外殼程序
下(xia)面(mian)是(shi)正在(zai)使用(yong)這些命令的一(yi)些情況。我(wo)們使用(yong)了一(yi)個模擬的DNS服務器(qi)來生成命令並接收(shou)結果數據。
發(fa)送“驅動器(qi)”命令︰

 
發(fa)送“打開”命令︰

 
發(fa)送“sifo”命令︰

 
列舉C盤(pan)內容︰

 
此外,大量命令都與HTTPBrowser類似。這些命令的格式化(hua)響應也(ye)是(shi)一(yi)致的。在(zai)一(yi)份已(yi)知的HTTPBrowser樣例中發(fa)現了與作為討論樣本的pisloader類似pin)腦(nao) 藎 矣yong)來生成這些命令的代碼(ma)可以(yi)通過(guo)GitHub獲得。這也(ye)讓我(wo)們更加確信(xin),pisloader就是(shi)這個惡意軟件(jian)家族的一(yi)員。
結論
Wekby使用(yong)更高(gao)級的惡意軟件(jian)繼續將(jiang)矛頭對準ji)髦指gao)機密組織機構。Pisloader惡意軟件(jian)家族使用(yong)了各種新lu)際  jiang)DNS作為C2協議(yi))和(he)各種反分(fen)析策(ce)略(利用(yong)面(mian)向返回編程)。
為此,Palo Alto網絡(luo)采用(yong)了以(yi)下(xia)措施(shi)來保(bao)護用(yong)mei)? 庹庵滯玻br />· 能夠正確識別所有pisloader產品的WildFire
· 專(zhuan)門為這一(yi)系列惡意軟件(jian)設計(ji)的pisloader自yuan) 宰急曇br />· 攻擊(ji)中所使用(yong)到的所有域名(ming)、IP都已(yi)經被標記為惡意
· 已(yi)經創建了用(yong)于檢(jian)測pisloader DNS通信(xin)的IPS規則
 

 

 

海南体彩网官网

    Tag標簽︰美國  設施(shi)  秘密  
    • 海南体彩网官网

    彩龙网官网About IT165 - 廣告(gao)服務 - 隱私(si)聲明 - 版權申明 - 免責條款 - 網站地(di)圖 - 網友投稿 - 聯系方式
    本站內容來自于互聯網,僅供用(yong)于網絡(luo)技術學習,學習中請遵循相(xiang)關法律(lv)法規
    海南体彩网官网 | 下一页