谷歌合营平高雄冒出恶心软件,用于窃取外人敏

启动时,伪造的PDF文件会创建一个文件夹,并从文件托管网站KingHost下载payload:libmySQL50.DLL,otlook.exe和cliente.dll。显然,Otlook.exe这个名字是为了模仿Microsoft的Outlook电子邮件客户端,这是一个信息窃取程序,可以截取屏幕截图,记录保存在剪贴板中的数据,以及记录按键信息。它还会充当某个文件的下载器,不断接收被盗取的SQL数据库的凭据及其连接详细信息。借助恶意DLL组件可以对数据进行提取,这个DLL组件是一个用于与数据库服务器进行连接的库。

大多数注册到Rocke的网站都显示为江西省的注册地址。其中一些网站属于江西省的企业,例如belesu[.]com,它就属于一家销售婴儿食品的公司。Talos团队表示,他们还有更多的证据可以用来证明Rocke来自江西,基于他们的GitHub页面所记录的信息。另外,jxci@vip.qq.com中的“jx”也可能指的是江西。

图片 1

我们可以从图片5和图片6中看到,通过修改故障诊断包的XML数据,攻击者可以自定义设置弹出对话框的外观和提示信息、它所要执行的任务、以及相应的执行脚本。比如说,在下图给出的XML格式数据中,我们可以将对话框的标题设置为“Encodingdetection”,然后指定“Troubleshooter”为一个名为“TS_1.ps1”的PowerShell脚本。

为每个主页面都创建一个文件柜

硬编码的密码

图片 2

图片 3

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

尽管从目前来看,大多数加密货币的价值都存在很大的波动,但非法加密货币挖掘活动的趋势并没有因此显现出减弱的迹象。通过Rocke所开展的几起活动我们也可以看出,犯罪分子仍在设法利用各种可能的感染媒介来部署各种各样的加密货币挖掘恶意软件,以赚取尽可能多的非法收益。

图 12. 恶意软件部署流程

在这一攻击活动中,这个PowerShell脚本专门负责在目标用户的计算机中下载恶意paylaod,相关信息如图6所示:

研究人员所捕获的数据库中有两个可用的表:一个包含有关受感染计算机的信息,另一个包含被窃取的剪贴板数据。

根据Rocke在过去几个月里所开展的活动,Talos团队预计该团伙将继续利用Git存储库下载并在受感染设备上执行非法挖掘操作。值得注意的是,该团伙目前仍在继续扩展他们的工具集,包括基于浏览器的挖矿程序、难以检测的木马以及Cobalt Strike的恶意版本。除了IP扫描和漏洞利用之外,看起来Rocke似乎将要使用社会工程作为一种新的感染媒介,这一点可以从其存储库中发现的虚假Adobe Flash和Google Chrome更新得到证实。

· 恶意代码经过签名验证——这是为了避免被发现而采取的额外预防措施。

毫无疑问,攻击者肯定会继续寻找新的方法来利用Windows的内置功能,以求通过一种不受阻碍的方式来感染目标用户并执行恶意payload。在这一攻击活动中,攻击者使用了一种典型的“Windows”式的方法来欺骗用户,即便是非常有经验的用户也很有可能会掉入陷阱。除此之外,这种攻击技术使用的是一种非标准的执行流,所以攻击者可以绕过大部分沙箱产品的检测。

隐藏文件柜 - 显示在页面底部的站点导航中

该组织最初是在2018年4月引起了Talos团队的注意,它在当时利用了西方国家和中国的Git存储库来向受Apache Struts漏洞影响的系统发送恶意软件(其中一些被Talos团队部署的蜜罐系统捕获到)。

图片 4

当用户打开了附件之后,屏幕中会显示出一个包含乱码的文档,此时Word的右上角会温馨地提示用户“双击以自动检测字符集”。如果目标用户选择同意,那么他们这一次就真正地打开了一个嵌入在附件内部的OLE对象,这个对象是一个经过数字签名的DIAGCAB文件。DIAGCAB是Windows故障诊断包的后缀名,“.Diagcab”文件是包含故障诊断脚本的专用存档。

“在我们的分析过程中,我们发现黑客特别感兴趣某些特定的机器,尝试捕获受害者的电脑屏幕截图。我们之所以得出这个结论是因为我们注意到有很多机器受到感染,但是只有少数会被攻击者主动监控。在撰写本文时,黑客正在主动控制20台受感染的主机。“研究人员认为,自2014年初以来,此类恶意软件一直存在。而从2019年2月以来一直很活跃。目前还不清楚这些攻击的幕后主使是否是同一个人,也暂未发现其他网络犯罪分子使用类似的恶意代码。

Talos团队还观察到,Rocke一直试图通过访问云存储服务来获取EasyLanguage中文编程手册。

图 10. 恶意软件创建文件 pegas.dll

入侵检测指标(IOCs)

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

加密货币挖掘恶意软件正在日益成为威胁领域里一个所占比重越来越大的组成部分。这些恶意的开采者能够窃取受攻击设备的CPU周期以挖掘加密货币,并为攻击者带来非法收益。

图 23. 收集系统驱动器数据

这种恶意软件执行方式可以绕过目前大部分沙箱产品的检测,因为恶意软件加载的是“.diagcab”文件,并在msdt.exe外部完成了所有的恶意操作。这也是一种新的攻击发展趋势,因为现在很多恶意软件的开发者会通过基于CO对象的非标准执行流来寻找新型的沙箱绕过方法。在此之前,有的攻击者还会利用WMI、Office办公套件、后台智能传输服务、以及计划任务等功能来实现沙箱绕过。在这一攻击活动中,攻击者在msdt.exe中创建了一个IScriptedDiagnosticHostCOM对象,DcomLaunch服务便会启动“脚本诊断主机”服务(sdiagnhost.exe),而该服务便会执行相应的shell脚本命令,即上图所示的PowerShell脚本。

原文:

Rocke在积极参与分发和执行加密货币挖掘恶意软件的过程中使用了不同的工具包,这涉及到Git存储库、Http File Server(HFS),以及各种各样的有效载荷(payload),如shell脚本、Java后门,以及ELF和PE挖矿程序。

TA505 的关键特征

图片4:恶意软件payload的下载

将文件柜中项目连接到网页超链接——Google Sites File Cabinet

“TermsHost.exe”是一个PE32 门罗币挖矿程序。从它使用的配置文件来看,它似乎是Monero Silent Miner。这个挖矿程序可以以14美元的价格在网上购买到,其广告将它宣传为可以通过启动注册表来实现持久性、只在空闲时进行挖矿操作,并且能够将挖掘工具注入到“绕过防火墙的Windows进程”中。

恶意软件部署的完整流程树显示了攻击周期四种不同的 LOLBin。从大量使用 LOLBin 的行为和经过签名和验证的模块 pegas.dll 中我们可以看出,恶意软件作者在竭尽全力逃避检测。

-Bot_Engine

研究人员提取到的PDF名称是“PDF Reservations Details MANOEL CARVALHO hospedagem familiar detalhes PDF.exe”,这表示网络犯罪分子针对的是英语或葡萄牙语的受害者。Netskope的研究人员于4月12日报告了托管该恶意软件的相关Google网站。但是,在撰写本文时恶意软件依然存在,还可以下载。

得益于Rocke的MinerGate门罗币钱包电子邮箱地址rocke@live.cn,Talos团队能够发现更多有关这个黑客团伙的细节。Talos团队注意到,Rocke的C2已注册到jxci@vip.qq.com。随后,Talos团队从中国安全网站FreeBuf 泄露的用户信息中发现一个名为“rocke”的用户与电子邮箱地址jxci@vip.qq.com存在关联,这表明他们很可能是同一伙人。

图片 5

图片 6

图片 7

摘要

· selfkill:负责自行终止和删除计算机中的恶意软件的命令。

图片3:已签名的故障诊断包;

如果使用VirusTotal扫描它 ,会看到66个防病毒引擎中有47个能检测到它。“黑客使用著名的谷歌协作平台来创建一个网站,然后使用文件柜上传payload,最后将生成的URL发送给潜在目标,”Netskope在与BleepingComputer分享的报告中说。

引言

图片 8

近日,Proofpoint的安全研究专家们发现了一种基于附件的新型恶意软件传播方式。在安全人员所检测到的恶意软件活动中,攻击者利用的是Windows操作系统中一个名为“故障诊断平台”(WTP)的功能。这一功能原本可以帮助用户解决那些Windows日常使用过程中所遇到的问题,但是在攻击者的眼中,它却成为了一个非常实用的攻击工具。在社会工程学的帮助下,攻击者或可利用该功能来在目标用户的计算机中运行恶意软件。

文件柜(the File Cabinet)文件柜模板允许你创建一个“存储”,可存放文档,图像,pdf,演示文稿等任何电子文件。 你可以将文档从硬盘上传到你的网站,并将其整理到“存储”中。简单来说,文件柜可管理你的所有文件。 你可以:

虽然Talos团队最初观察到这个黑客团伙利用的是Apache Struts漏洞,但他们也观察到它利用了Oracle WebLogic服务器漏洞(CVE-2017-10271),以及CVE-2017-3066,这是Adobe ColdFusion平台中一个Java反序列化漏洞。

· Sysid:有关操作系统,Service Pack 和计算机名称的信息。

图片1:Windows故障诊断平台的体系架构

从你的计算机添加文件

原标题:思科:疑似中国黑客团伙利用加密货币挖掘恶意软件非法获利

图片 9

图片5:诊断包引用了一个恶意PowerShell文件来作为执行脚本;

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场

从网络安全公司Intezer在5月份的发布的报告来看, 这个payload似乎与网络犯罪组织Iron使用的payload十分相似。Iron和Rocke的恶意软件有着相似的行为,并且连接到相似的基础设施。因此,Talos团队表示他们可以非常肯定这些payload共享了一些代码库。不过,目前仍然无法确定Rocke和Iron之间的确切关系。

受感染的客户能够在造成任何损害之前遏制攻击的发生。前提是能控制 ServHelper 后门,终止 msiexe .exe 和 rundll32.exe,删除所有下载的文件,还要断掉到恶意 C2 域的连接,攻击才能停止。

-vnc_hide_desktop

图片 10

在此之前,Talos团队已经发表过很多有关加密货币挖掘恶意软件的文章,其中包括企业应该如何保护自己的系统免受此类威胁的建议。Talos团队在这篇最新发表的博文中也表示,他们一直在积极研究加密货币挖掘恶意软件的发展,包括监测犯罪论坛以及部署蜜罐系统来捕获此类威胁。正是通过这些情报来源,他们才得以发现被他们命名为“Rocke”的黑客团伙。

2019 年以来,可以很明显地发现,恶意软件使用最广泛、最有效的攻击载体仍然是电子邮件,此次行动也不例外。但这次目标机构只有少数账户收到了 TA505 的钓鱼邮件,说明攻击者有可能在行动的早期就进行了侦察工作来选择最佳目标。

详细分析

图片 11

“TermsHost.exe”能够从sydwzl[.]cn上托管的命令和控制(C2)服务器获取配置文件“xmr.txt”,其中包含与上述文件(“config.json”和“pools.txt”)相同的配置信息。接下来,它会将代码注入到notepad.exe中,然后继续与MinerGate矿池进行通信。另外,“TermsHost.exe”还会在Windows开始菜单文件夹中创建使用UPX打包的文件“dDNLQrsBUE.url”。有趣的是,这个文件似乎与流行的渗透测试软件Cobalt Strike有一些相似之处,后者允许攻击者对受感染系统拥有更全面的控制。

持久性机制

图片 12

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

“0720.bin”和“3307.bin”是相似的ELF文件,包括大小也一样(84.19KB),连接到118[.]24[.]150[.]172。在被发现的时候,被VirusTotal标记为无害文件。Morpheus Labs在其报告中也描述了一个类似的文件,该文件连接到相同的IP地址,如果C2发出了一个经过密码验证的指令,那么它就可以在受害者的主机上打开一个shell。在Talos团队捕获的两个样本以及Morpheus Labs所描述的样本中,硬编码的密码不仅相同,而且位于相同的偏移地址。

图 21. 搜索管理员用户

在此次所发现的恶意软件活动中,攻击者使用了Windows的故障诊断平台来传播LatentBot。当用户感染了这一恶意软件之后,攻击者不仅可以对用户进行监控,而且还可以从目标主机中窃取各类数据。这也就意味着,攻击者将获取到目标主机的远程访问权。

从Web网站中添加文件

HFS文件共享服务器的屏幕截图

NSIS(Nullsoft 脚本安装系统)是为 Windows 创建安装程序的合法工具。这说明后缀为 .nsi 的脚本负责恶意软件安装分相关内容,由于其名称合法,能逃避检测。

图片6:用于下载恶意payload的PowerShell命令;

图片 13

“a7”源代码的摘录

连接 C2 服务器的流程下图所示。

请注意,签名证书中所显示的发布者与攻击活动并没有任何关系。因为攻击者破解了一个有效的证书,并用这个合法证书来进行恶意软件的传播活动。

该恶意软件名为LoadPCBanker,是一个会伪装成PDF文件的可执行文件,看起来就像保存了酒店预订信息的文件,存储在 Google协作平台的文件柜存储空间中。

黑客团伙的身份

图片 14

在用户毫不知情的情况下,故障诊断包可以通过一个PowerShell脚本在后台自动下载恶意软件的payload。

安全研究人员在Google协作平台上发现了用于构建网站的恶意软件。这个恶意软件是一个窃取信息的下载器,它将数据发送到由攻击者控制的MySQL服务器。Google协作平台(Google Sites)是Google用来取代Google Page Creator的一款基于Wiki的在线网站制作系统,为Google Apps的一部分,其目标是任何人都能够创建一个团队为导向的网站,其中多人可以协作和共享文件。——百度百科

“config.json”是XMRig的配置文件,XMRig是一个开源的门罗币挖矿程序。该文件将采矿池设置为xmr[.]pool[.]MinerGate[.]com:45700,钱包为rocke@live.cn(攻击者的钱包)。这也就是为什么Talos团队将该组织命名为“Rocke”的原因(请注意,对于MinerGate而言,可以使用电子邮箱地址来代替门罗币钱包号码)。“pools.txt”似乎是XMR-stak的配置文件,XMR-stak是一个开源的Stratum矿池挖矿程序,可以挖掘门罗币、Aeon币等。这个配置文件包含了与第一个配置文件(“config.json”)相同的采矿池和钱包信息。

图片 15

概述

责任编辑:

在与 C2 域通信的过程中,恶意软件能执行几个关键命令和活动,其中一些活动是我们在之前版本中观察到的。

图片 16

近期活动

图 32. 恶意软件将结果通知 C2 服务器 ( 没有 AD admin )

安全研究专家发现,这种攻击方式的实际效率非常的高,因为当Windows系统运行故障诊断平台的时候并不会弹出任何形式的安全警告,而当系统弹出了故障诊断窗口之后,用户们也早已习惯于直接通过该平台来解决使用过程中的一些疑难问题了。

“bashf”是XMR-stak的一个变种,而“bashg”是XMRig的一个变种。

图片 17

如上图所示,攻击者利用了社工学的技巧来欺骗用户双击并执行OLE对象。

结论

图 33. 恶意软件将结果通知 C2 服务器 ( 有 AD admin )

图片 18

思科Talos团队在最新发表的一篇博文中分析了一个据称非常值得关注的黑客团伙——Rocke。接下来,我们将为大家介绍几起由Rocke实施的攻击活动、以及在这些活动中使用的恶意软件和基础设施,同时揭露更多有关该组织的细节。经过几个月的研究,Talos团队认为Rocke是一个必须被追踪的黑客团伙,因为他们仍在继续为自己的恶意软件添加新的功能,并积极探索新的感染媒介。

pegas.dll 是负责执行所有后门功能的核心模块,内容包括在目标计算机中执行侦察、信息窃取和其他后门功能。此外,该模块还负责与另一个 C2 服务器通信。

-send_report

值得注意的是,在Gitee和GitLab上的储存库完全相同。这两个存储库都有一个名为“ss”的文件夹,其中包含有16个文件。这些文件各种各样,包括ELF可执行程序、shell脚本和文本文件,它们能够执行各种操作,包括实现持久性以及执行非法的挖矿程序。

图片 19

当用于攻击的恶意“.Diagcab”文件被打开之后,用户就会看到如图3所示的界面,这个界面的可信度确实非常高,普通用户几乎无法对其安全性进行准确的辨别。如果用户点击了对话框中的“下一步”按钮,那么应用程序将会执行与之相对应的故障诊断脚本。在这种攻击活动中,攻击者运行的是一个PowerShell命令,并通过这个命令来下载并执行恶意payload。

一旦攻击者攻破了一个系统,他们就会通过配置一个定时任务(cron job)来在设备上实现持久性,并从“3389[.]space”下载并执行一个名为“logo.jpg”的文件。这个文件实际上是一个shell脚本,它反过来会从攻击者的Git存储库下载挖矿程序的可执行文件,并将它们以文件名“java”进行保存。至于下载的确切文件,这取决于受害者的系统架构。类似地,是使用“h32”还是“h64”来调用“java”,也取决于系统架构。

检索和信息收集

-security

早期活动

内部侦察

图片2:恶意附件的窗口;

本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。返回搜狐,查看更多

这些函数代码和功能方面类似,kest 包含的所有变量也出现在 tempora 中。此外,kest 和 loer 共享函数 FUN_12345f08 ,这实际上是 loer 拥有的惟一功能。

攻击者可以向目标用户发送一封电子邮件,并在邮件中附带一份看起来非常“诱人”的附件。当然了,用户最终是否会打开邮件附件,完全取决于用户的个人经验和攻击者的社工技巧。需要注意的是,这也是一种典型的恶意软件传播方式。

“lowerv2.sh”和“rootv2.sh”是相似的shell脚本,它们试图下载并执行加密货币挖掘恶意软件组件“bashf”和“bashg”。其中,“bashf”是XMR-stak的一个变种,而“bashg”是XMRig的一个变种,它们都托管在118[.]24[.]150[.]172上。如果shell脚本没有从118[.]24[.]150[.]172下载一个挖矿程序,“lowerv2.sh”和“rootv2.sh”则会尝试从3g2upl4pq6kufc4m[.]tk下载一个名为“XbashY”的文件。

使用此证书可使恶意软件具备大多数所没有的优势:合法性。" 已确认 " 和 " 已验证 " 的恶意软件可能会缩小安全专家专家的调查范围。这表明开发此恶意软件的攻击者要比大多数恶意软件创作者要更先进。

在此次攻击活动中,攻击者使用的是一个模块化的后门,即LatentBot。FireEye在2015年末曾发布过一篇针对这一恶意后门的详细分析报告,感兴趣的同学可以阅读一下【报告传送门】。在我们的分析过程中,我们发现攻击者在提取主机数据和实现远程访问的过程中加载了下列bot插件:

有多个文件被下载到了Talos团队的Struts2蜜罐,它们来自中国代码托管平台gitee.com,是由一个名为“c-999”的用户上传的。几乎在同一时间,Talos团队还观察到了类似的活动,文件来自gitlab.com存储库,是由一个名为“c-18”的用户上传的。

图片 20

图片 21

Talos团队之前曾在2018年5月观察到过相同的IP扫描(针对TCP端口7001)。这很可能是对Oracle WebLogic服务器的扫描,因为它默认监听TCP端口7001。

图片 22

-remote_desktop_service

在7月下旬,Talos团队意识到该组织参与了另一起类似的活动。通过对这起新活动的调查,Talos团队发现了更多有关该组织的细节。

而对此次攻击中使用的工具和技术的分析表明,LOLBin 在逃避防病毒产品的检测上是多么有效,这也进一步证实了我们自 2018 年以来看到 LOLBin 越来越常被用于攻击的趋势,随着 2019 年的到来,LOLbin 的使用频率只会有增无减。

图片 23

“R88.sh”也是一个shell脚本,用于配置定时任务(cron job)并尝试下载“lowerv2.sh”或“rootv2.sh”。

下载 Alg 后,它将作为带有 .tmp 扩展名的二进制文件加载到 msiexec.exe,此临时文件充当恶意软件的主 dropper,并在目标计算机上部署恶意软件。

总结

Talos团队从部署的Struts2蜜罐中观察到了一个wget请求,该请求来自一个名为“0720.bin”的文件,位于118[.]24[.]150[.]172:10555。Talos团队访问了这个IP,发现它是一个开放的HFS文件共享服务器。除了“0720.bin”之外,它还托管着另外10个文件:“3307.bin”、“a7”、“bashf”、“ashg”、“config.json”、“lowerv2.sh”、“pools.txt”、“r88.sh”、“rootv2.sh”和“TermsHost.exe”。于是,Talos团队开始了对这些文件的研究。

模块的功能

图片 24

“a7”是一个shell脚本,可以杀死其他与加密货币挖掘恶意软件相关的各种进程(包括那么名称与流行的加密货币挖掘恶意软件匹配的进程,如“cranberry”、“yam”或“kworker”),以及普遍存在的挖矿程序(例如“minerd”和“cryptonight”)。另外,它可以检测并卸载各种中文杀毒软件,并从blog[.]sydwzl[.]cn下载并提取一个tar.gz文件,该文件也解析为118[.]24[.]150[.]172。

图片 25

此外,“a7”还会从GitHub下载一个名为“libprocesshider”的文件,该文件使用ID预加载器隐藏了一个名为“x7”的文件。不仅如此,“a7”还会在known_hosts中查找IP地址并尝试通过SSH登录它们,然后从攻击者的HFS文件共享服务器(118[.]24[.]150[.]172)下载自身副本(“a7”),然后执行它。

图 20. 通过 WMI 查询进行内部侦察

以下从 msiexec.exe 中观察到的网络活动说明了恶意软件是如何利用 Sectigo RSA Code Signing CA 的签名和验证证书进行传播的。

结论

与许多后门恶意软件类似,ServHelper 能够在休眠状态下静静的潜伏。这是一种众所周知的后门特性,可以让恶意软件在检测之下存活,并按攻击者规定时间进行攻击。ServHelper 使用 GetSystemTime 函数获取关于目标机器日期和时间。

C2 服务器决定是否创建持久性,持久性由 persist 命令负责创建。这是恶意软件复杂度的另一个主要标志,因为恶意软件不会在每台目标计算机上创建持久性,而只会在特定的几台上创建持久性。

IoC

图片 26

滥用认证

图 6. 第二阶段流程图

在由 msiexec.exe 加载执行后,.tmp 临时文件会创建几个附加文件,其中一个也是临时文件,将加载初始临时文件的内存映射中,但更重要的是它创建的两个模块 pegas.dll 和 nsExec.dll。

图片 27

但最不寻常一点是,在大多数情况下,恶意软件几乎都会试图获得持久性,而此次行动中的一些工具可依据其环境决定是否创建持久性。这些工具将收集关于目标机器的信息,并将其发送到远程 C2 服务器,再由 C2 决定是否设置持久性,这也是一种在较高等级的攻击行动中常用的技术。

恶意软件由 Sectigo RSA Code Signing CA 签名验证,这是为逃避检测而采取的额外预防措施。此外,恶意软件仅在攻击前几个小时才进行了签署。

图 8.NSIS 脚本

与第二个 C2 服务器的交互

图 4. 从 C2 服务器下载的恶意软件。

图片 28

图 27. 滥用认证流量

第一阶段 : 获取访问权限

使用静态分析,可以从额外的指示字符串中看出恶意软件的一些特性,包括:网络功能、C2 命令、其他域和 PowerShell 执行活动。

图 17.Ghidra 中的 FUN_13246F08 伪代码

图片 29

此外,它还使用 Windows 命令行创建一个 rundll32.exe 进程,以加载植入的 pegas .dll 模块并用函数 kest 执行它。

在本文中,我们将介绍黑客团伙 TA505 于 2019 年 4 月对某金融机构进行的一场精心策划的攻击事件,它是一起具有强针对性的网络钓鱼。恶意软件的持久性可根据环境选择是否创建,攻击还利用到了一个称为 ServHelper 的复杂后门。

如果恶意软件识别出目标计算机是有价值的,它将在 Resp 参数中填上相关信息,其中包含计算机所具有的组和帐户的名称,例如 "Administrator" 以及用户名称。

· loaddl:负责使用 rundll32.exe 进程下载和执行其他模块的命令。

图 15. 三个导出函数

.nsi 脚本包含 .tmp 文件要执行的命令,能指示 .tmp 文件使用 nsExec.dll 模块中的函数 kest 来操作和执行 pegas.dll 模块。

图片 30

图 29. 持久性机制

图片 31

图片 32

rundll32.exe 从函数 kest 处执行模块 pegas.dll。此函数是恶意软件导出表中负责初始执行恶意代码的几个函数之一,导出表中的其他函数分别是 loer 和 tempora 。

图片 33

在此阶段,攻击者向目标发送钓鱼邮件。在大约一个小时的时间内,超过 80 个文件被发送到企业邮箱的 40 个帐户中。邮件包含带有恶意宏的 Microsoft Excel 附件。文件打开时会被加载到 Microsoft Excel 中,并敦促用户启用宏。

在 C2 服务器发送 persist 命令后,恶意软件使用注册表创建持久性。它在 Run 下创建一个注册表项 Intel Protect,并将 pegas.dll 存储为值。

图片 34

图片 35

恶意软件广泛而多样地使用 LOLbin 和合法的本地 Windows OS 进程来执行恶意活动,比如 payload 的传递和 ServHelper 后门的实现。ServHelper 后门是一个相对较新的恶意软件家族,于 2018 年底被发现。Cybereason 研究人员在过去几个月就注意到了广泛使用 LOLbin 进行攻击的趋势。

分析过程

FUN_12345f08 是恶意软件最重要的函数之一,作者通过 kest 来执行 pegas.dll,以尽快利用 FUN_12345f08 。在 FUN_12345f08 中有一个新的威胁指标——域名为 joisff333.icu 的第二个 C2,可以从 rundll32.exe 进程中访问此域,此外还有一个名为 "enu.ps1" 的字符串,表示此恶意软件会用到 PowerShell。最后还会出现字符串 asfasga33fafafaaf,这似乎与互斥体 BaseNamedObjects Global asfasga33fafafaaf 的创建有关。

识别此攻击的部分困难在于它的逃避机制。LOLBin 是具有欺骗性的,此外使用带有认证的签名和验证文件也会增加恶意软件逃避被检测到的可能性。

恶意软件对 C2 域响应的行为变化取决于受感染的机器是否是高优先级目标。当机器不是有价值的目标时,Resp 参数将填入 " 指定的域不存在或无法联系 "。

图片 36

图 26. 恶意软件与其第二个 C2 服务器通信

· Misc:有关 PowerShell 文件的其他信息。这是最新的参数,仅在此版本的 ServHelper 中观察到,包括新加的侦察机制。

· 多个 C2 域——以防被列入黑名单或无法连接。

· 目标明确——只针对企业内部少数特定账户的进行网络钓鱼。

图 24. 对本地组管理员进行侦察

· 集成了四个不同的 LOLBin ——表明攻击者仍在研究逃避检测手段。

图 25. 进程树

图 28. 执行 net user /domain 命令。

执行侦察

该信息分为四个硬编码参数 :

图片 37

与 C2 服务器建立 TCP 连接后,下载的 payload 名为 Alg,它是第二阶段使用的几个文件的 dropper。

nsExec.dll 模块是用 Nullsoft 创建的。nsExec.dll 将执行基于命令行的程序,在无需开启 DOSBox 的情况下捕获输出。这样攻击者在执行命令行并运行 rundll32.exe 进程时不会显示在受害者桌面上。从 Windows 命令行处执行命令能增加恶意软件的隐秘性。

图 11.rundll32.exe 加载 pegas.dll 的执行命令

一旦恶意软件确认目标计算机是管理员组用户,它将用 WindowsIdentity GetCurrent 方法来收集信息。

图片 38

图 22. 继续搜索管理员用户并收集他们的信息

图 1. 攻击流程图

第三阶段 : 动态 C2 服务器

.tmp 文件中有三个文件夹,分别包含两个模块 pegas.dll、nsExec.dll 以及 .nsi 脚本。

图片 39

图 35. 连接 C2 服务器的流程

图 30. 持久性机制

图 19.enu.ps1 使用 Base64 进行模糊处理

执行 rundll32.exe 后,将执行 PowerShell 脚本 enu.ps1,此脚本使用 Base64 编码,以避免被防病毒产品检测到。

图 14. 恶意软件两次加壳

脚本收集的最后一点信息是服务器的名称和计算机上本地组的名称,它使用 net.exe(一个合法的 Windows 操作系统进程)来收集此信息。

· NSEXEC.DLL

图 16. 在 Ghidra 中导出函数伪代码

第二阶段 : 部署后门

有趣的是,pegas.dll 实际上是由认证公司 Sectigo RSA Code Signing CA 签署并验证的。这并不常见,我们认为这也是高级威胁行为者的标志之一。该认证公司也因出现在上个月的Norsk Hydro LockerGoga 勒索软件攻击事件而闻名。

图片 40

ServHelper 后门会在目标机器上收集另外一些信息,其中就包括包括用户 SID。SID 为 S-1-5-32-544 则是内置管理员组的标识符,包括本地管理员以及所有本地和域管理员用户组。 收集这些信息表明了两件事 : 恶意软件作者针对的是组织而不是普通的家庭计算机用户,并且在组织中他们针对的是最高优先级的机器。

pegas.dll 利用了数种防御机制,它被加壳了两次,以确保难以逆向,此外,该模块仅在攻击发生前的几个小时才进行编译。尽管如此,Cybereason 防御平台还是收集了与该模块相关的所有数据。

在恶意软件能够验证此用户是管理员之后,它会收集有关目标计算机的其他信息,并检索所有文件系统驱动器上的数据,包括虚拟驱动器。

· PEGAS.DLL

shell 命令负责在目标机器上执行 net user /domain 命令。这个命令是一个远程控制命令,允许攻击者执行额外的侦察活动。

· Resp:有关用户是否在 Active Directory 中具有管理员组权限的信息。

图 9. 恶意软件创建文件 nsexecl .dll

图片 41

攻击者显然非常重视如何掩盖他们的踪迹,恶意软件除了收集信息之外,还能决定是否需要从受感染的电脑上删除证据,这说明攻击者的潜在目标是设置一个尽可能长时间不被发现的后门,以便后续更有效地窃取数据。

TA505 是一个臭名昭著的黑客组织,曾利用多个勒索软件,如 Dridex、Locky 等进行大规模的敲诈勒索活动。最近,TA505 又在北美、亚洲、非洲和南美等多个国家开展了有针对性的攻击行动,主要针对的是大型金融机构,目的是获取有价值的数据,以便日后加以利用。

· 去除痕迹——使用自毁命令和销毁脚本来删除证据。

图片 42

· Key:在恶意软件的每次迭代中保持相同的硬编码参数。

我们已知恶意软件包含几个与 ServHelper 相关联的命令,包括:

恶意软件根据它从用户机器上收集的信息来改变自己的行为。此信息存储在数据包中,传递到 C2 域 HTTP Payload,/ URL:/jquery/jquery.php。

图片 43

我们在对该恶意软件的分析过程中,发现了最新版本的 ServHelper 后门,以及用于部署后门的逃避检测技术,还重点介绍了恶意软件是如何使用合法的本机 Windows OS 进程来执行恶意活动、以在不被检测的情况下交付 payload 的过程,接着介绍了 ServHelper 后门是如何在不被注意的情况下操作和部署自身的,同时,我们还展示了这个后门的复杂程度,以及它是如何针对高价值机器的。

图 31. 用于向 C2 服务器交付信息的四个硬编码字符串

图 13. 被滥用的证书

图片 44

常年混迹网络安全圈,你可能对网络犯罪分子的一些攻击手法早已不陌生,比如他们为了拓展恶意软件的功能或是使其更难以被检测到,而将之与合法软件相结合使用。而最近 Cyberreason 的研究人员发现,许多 Windows 系统进程也会被攻击者们恶意劫持以用于达成他们的目标。

图片 45

在此次行动中,检测到的 ServHelper 后门又发生了新的变化,我们将在接下来对其做分析。

图 2. 包含宏的恶意 .xls 文件

图 5. 恶意软件的渗透过程

部署之后,恶意软件从 rundll32.exe 连接到第二个 C2 域,通过多个 C2 域能确保至少有一个 C2 服务器可用来攻击,在于 pegas.dll 通信后,C2 服务器决定恶意软件执行的下一步骤。

· 可选择的持久性机制——基于自动侦查选择是否自毁。

· 精心策划——从攻击的时间点和恶意代码的签名可看出。

图 18. 恶意软件的附加指示字符串

图 7..tmp 临时文件中的内容

在解码脚本时,可以很明显看到该脚本负责收集目标机器上的侦察工作,比如使用 WMI 查询来收集信息以确定用户是否是管理员。

图片 46

当受害者单击 Enable Content 按钮后,宏命令将被执行并调用 Windows OS 进程 msiexec.exe.。msiexec.exe 是 windows installer,即一个用于安装、维护和删除软件的 Microsoft Windows 的软件组件和应用程序编程接口。宏命令将调用 msiexec.exe 连接到远程 C2 服务器并下载第一阶段 payload,并创建第二个 msiexec.exe 进程来执行 payload,之后进入攻击链的第二阶段。

图 34. 恶意软件的休眠功能

第二个 C2 服务器根据在目标机器上收集的信息进行响应,从这也能看出恶意软件的复杂性,大多数恶意软件收集并发送数据到一个固定的 C2 服务器,无论信息如何,它的响应都是相同的,而这里采用了一种更动态的方法。

图 3. 调用 msiexec.exe 与 C2 服务器通信。

本文由betway必威登录平台发布于互联网比赛,转载请注明出处:谷歌合营平高雄冒出恶心软件,用于窃取外人敏

Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。