这是作者新开的一个专栏,主要翻译国外知名安全厂商的APT报告,了解它们的安全技术,学习它们溯源APT组织和恶意代码分析的方法,希望对您有所帮助。当然,由于作者英语有限,会借助机翻进行校验,还请包涵!前文分享了checkpoint公司提出的一个新技术,即漏洞利用图谱,通过查找作者的指纹来寻找利用漏洞。这篇文章将详细讲解伊朗威胁组织APT34(又名“OilRig”)发起的一项新攻击行动,该行动似乎是针对Lebanese的一个目标,使用了一种新的后门变体,我们称之为“SideTwist”。
Check Point 研究院发现了伊朗威胁组织 APT34(OilRig) 针对黎巴嫩目标的新攻击证据,该攻击采用了我们称为 SideTwist 的后门新变体。
自从2019年,APT34组织泄漏一个名为“Lab Dookhtegan”的工具以来,该威胁组织一直在积极地改造和更新其有效载荷库,从而避免被检测,并创建了几种不同的恶意软件变体,其最终目的仍然是在目标设备上获得初始立足(寄生目标设备)。
从2018年的DNSpionage活动开始,就已经观察到APT34通过使用诱骗性寻找工作的钓鱼文件作为目标,该文档通过LinkedIn消息直接传递给选定的目标个人。这项攻击活动通过HardPass操作一直持续到2019年,并且同样使用了LinkedIn平台。
在2021年1月份的最新活动中,Lebanese(APT34的共同目标)向VirusTotal提交了一份文件,其中也描述了这样一份工作钓鱼文件,尽管在这种情况下,我们无法确认目标的最初交付机制。
在下面的文章中,我们将分析攻击者使用的最新感染链,并深入研究新的恶意软件变体。
补充:DNSpionage攻击活动
该攻击组织使用了两个虚假的恶意网站,其中托管了伪装成招聘文书的Microsoft Office恶意文档,文档中嵌入用来入侵目标用户的恶意宏。我们将攻击者所使用的恶意软件标识为DNSpionage,该恶意软件能够以HTTP和DNS协议与攻击者通信。并且通过社交平台(如LinkedIn)来传播恶意链接,使这种求职攻击更加真实。
恶意样本中包含的宏主要执行如下两个步骤:
- 第一步:当文档打开时,使用base64解码经过编码的一个PE文件,然后将其释放到当前系统中,具体路径为:%UserProfile%.oracleServices\svchost_serv.doc。
- 第二步:当文档关闭时,将svchost_serv.doc重命名为svchost_serv.exe,然后创建名为chromium updater v 37.5.0的计划任务,以便执行该程序。计划任务会立即执行,并且每分钟都会重复执行。
同时,恶意样本通过两个步骤来规避沙盒检测。
- 一方面,只有当Microsoft Office被关闭时才会执行攻击载荷,意味着载荷部署过程中需要用户交互。样本中包含的宏同样使用密码保护,避免用户通过Microsoft Office查看宏代码。
- 另一方面,宏还用到了经典的字符串混淆技术来规避基于字符串的检测机制。宏使用拼接方式生成schedule.service字符串。
最终攻击载荷是一款远程管理工具,我们将其标识为DNSpionage。DNSpionage会在当前运行目录中生成相关数据,并使用HTTP及DNS协议来与C2服务器通信。
- %UserProfile%.oracleServices/
- %UserProfile%.oracleServices/Apps/
- %UserProfile%.oracleServices/Configure.txt
- %UserProfile%.oracleServices/Downloads/
- %UserProfile%.oracleServices/log.txt
- %UserProfile%.oracleServices/svshost_serv.exe
- %UserProfile%.oracleServices/Uploads/
我们的分析始于一个名为 Job-Details.doc 的恶意Microsoft Word文档。
显然,这份钓鱼文档试图表现得像一份真实的求职文档,提供了总部位于美国弗吉尼亚州的Ntiva IT咨询公司的各种职位。但是,一旦用户激活了嵌入式恶意宏,就会触发恶意行为。完整的感染流程如下图所示:
APT34在钓鱼求职攻击中使用的宏经过了多年的演变,并且一直设法保持自己独特的风格和目的,包括(重点知识):
注意:Vba2Graph是一款通过VBA代码分析恶意软件的强大工具,推荐文章。
在上面的宏函数调用图中,我们可以从 Document_Open 和 Document_Close 函数中看到对DnsQuery外部函数的多次调用。
APT34因其在许多不同的工具中大量使用DNS隧道而臭名昭著,这一次该功能也被放进入了最初的宏阶段。一旦宏被执行,DNS请求就被用来指向攻击者,并告知他们当前的执行阶段,以及传递一些受害者可识别的信息。
在此步骤中,攻击者正在使用公开可用的 requestbin[.]net DNS隧道服务,以获取有关宏感染进度的更新。这样,攻击者拥有的基础设施就不会暴露出来,以防沙箱无法完全“引爆”文档。
以下是攻击者在 requestbin[.]net 网站上看到的信息演示。其中,受害者在以下环境下的系统中执行恶意宏。
编码后的数据是通过以下方式从PC信息导出来的。
这个阶段的后门是我们在以前的APT34操作中从未见过的变体,但提供了类似于 DNSpionage、TONEDEAF 和 TONEDEAF2.0 等其他基于C语言的后门的简单功能。后门的功能包括:
在这个感染链中,持久性实际上是由第一阶段的宏建立的,而第二阶段的有效载荷(payload)没有任何自己的持久性机制。
持久化是在注册调度任务时的第一阶段实现的。名为 SystemFailureReporter 的计划任务将每5分钟执行第2阶段有效载荷。
后门非常依赖于这种持久性机制,因为每次启动后门时,它只会执行从C&C服务器提供的单个命令并立即关闭,直到由计划任务再次启动为止。
该后门首先收集有关受害者计算机的基本信息,然后根据目标环境的用户名,计算机名和域名计算一个4字节长的受害者标识符。此标识符将在后续C&C通信中使用。
接下来,恶意软件将验证本应在感染第一阶段创建的 update.xml 文件确实存在,如果不存在,它将自己终止——使用 OutputDebugString 函数将以下文本打印到调试输出。
因为此功能的目的是打印调试信息,所以仅在应用程序的调试过程中,普通用户是看不到该文本的。
后门与C&C服务器(sarmsoftware[.]com)的通信是基于443端口的HTTP协议,回退(443)端口是80。后门使用两种不同的技术来与C&C服务器进行传出和传入通信,尽管在这两种情况下使用了相同的加密算法(请参阅下面有关加密的更多内容)。
后门使用GET请求通过以下URL与C&C服务器联系。
这个请求的响应隐藏在下面的Flickr页面的源代码中。
这个响应以下面的格式返回到HTML代码后门中。
/*Encrypted_Message_Encoded_with_Base64*/
/*R7ECPhIUYBsPFGA=*/
在对该base64字符串进行解码和解密之后,明文内容采用以下管道分隔格式:
命令数字(Command Number)
一个运行索引号,用来跟踪执行命令。如果设置为-1以外的任何数字,后门应该根据命令ID继续执行该命令;否则,忽略并终止。
命令ID(Command ID)
可以是以下命令之一:
– 101 - Shell命令:执行附加在{Arg1}参数中的Shell命令
– 102 - 下载文件:下载一个文件,该文件可以{Arg2}在服务器的路径上找到,并使用{Arg1}名称保存在磁盘上
– 103 - 上传文件:上传本地文件{Arg1}到服务器
– 104 - Shell命令(副本):执行附加在{Arg1}参数中的Shell命令
后门在受害人的机器上执行了任意命令后,会将执行后的命令的结果返回到C&C服务器,并返回到与以前相同的URL,但是在POST请求中而不是GET中:
当后门在受害者的机器上执行了任意命令后,它将执行命令的结果返回给C&C服务器,返回到之前相同的URL,但使用的是POST请求而不是GET。
POST正文的格式是一个简单的JSON,基于C&C服务器提供的命令编号和命令执行的加密结果。
攻击者利用 Mersenne Twister 伪随机数生成器作为加密通信的基础。每个加密消息的第一个4个字节是 Mersenne Twister 的种子,用于解密消息的其余部分。
可以使用以下Python代码段对加密的Base64通信进行解密:
def decode(msg):
bs=base64.b64decode(msg)
seed=int.from_bytes(bs[:4],byteorder='big')
rng = mersenne_rng(seed)
k=rng.get_random_number()
key=int.to_bytes(k,length=4,byteorder='little')
dec="".join([chr(bs[i]^key[(i-4)%4]) for i in range(4,len(bs))])
return dec
无论是恶意宏、后门、目标攻击,还是在这次操作中使用的技术,都与之前报告的归因于APT34的活动一致。
除了像以前的 APT34 操作一样,我们再次看到求职文件被用来鼓励受害者启用宏,并且在技术上也有相似之处。
众所周知,APT34的后门DNSpionage和TONEDEAF会通过搜索隐藏在合法网站HTML内容中的特定模式来接收服务器发出的命令。
在我们的案例中,攻击者使用了一个类似Flickr的页面,而在之前的活动中使用的是GitHub、Wikipedia和Microsoft lookalikes。
在分析上述活动时,恶意软件研究人员将这些文件和其他与APT34相关的文件上传到VirusTotal,并在Twitter上注明。
这些文档在初始宏中使用了相同的 requestbin[.]net DNS隧道服务,并交付了该组织的另一个签名工具,基于.net的名为 Karkoff 的后门的变种,它利用internet面向exchange服务器作为与攻击者的通信方法。
这些新发现的安全人员强调了APT34正在对中东,特别是Lebanon的目标发动进攻的程度。
伊朗支持的APT34没有任何放缓的迹象,并持续关注Lebanon,发起网络攻击行动。如上文所述,在维持惯常的操作方式并重用旧技术的同时,该小组继续创建和更新工具,以最大程度地减少安全供应商对其工具的可能检测。
在这篇文章中,我们分析了该组织正在进行的求职钓鱼攻击行动部署的最新后门变种,其中包括带有工作机会的恶意文档,这是他们至少自2018年以来成功采用的一种技术。
Check Point Sandblast可以抵御这种APT攻击,并从一开始就阻止它。
恶意文档:
SideTwist后门:
C&C服务器:
前文分享:
2020年8月18新开的“娜璋AI安全之家”,主要围绕Python大数据分析、网络空间安全、逆向分析、APT分析报告、人工智能、Web渗透及攻防技术进行讲解,同时分享CCF、SCI、南核北核论文的算法实现。娜璋之家会更加系统,并重构作者的所有文章,从零讲解Python和安全,写了近十年文章,真心想把自己所学所感所做分享出来,还请各位多多指教,真诚邀请您的关注!谢谢。
(By:Eastmount 2021-04-13 星期二 晚上10点写于武汉 http://blog.csdn.net/eastmount/ )
参考文献:
一、准备工具 1. 使用bash作为SHELL 打开 终端 Terminal输入下方命令之后不再赘...
目录 产品简述 应用环境 电路设计 产品简述 SX1268是Semtech公司推出的一款远距...
本文实例讲述了jsp filter 过滤器功能与简单用法。分享给大家供大家参考,具体如...
本文实例讲述了js实现ajax分页的方法。分享给大家供大家参考,具体如下: !DOCTY...
Java_异常处理总结 - Exception Handing 本文主要是通过对Java中基本的异常处理...
先看一下Redis是一个什么东西。官方简介解释到: Redis是一个基于BSD开源的项目...
SQL注入攻击是黑客对数据库进行攻击常用的手段之一,随着B/S模式应用开发的发展...
表单中的只读和禁用属性 1. 只读: 服务器方不希望用户修改数据,只是要求这些数...
五、XML带来的好处 (1)更有意义的搜索 数据可被XML唯一的标识。没有XML,搜索...
单线激光雷达Lidar学习四使用雷达进行目标跟随二 前言 结合上一篇内容我使用gibh...
