导语:粉丝的逻辑通常是这样的:资源泄漏>资源出现>下载种子>疯狂追剧。所以,对看片一族来说,种子是个神奇的东西。

timg.jpg

前言

《权力的游戏》资源被盗已经不是什么新鲜事,除了背后的黑客能用它来赚取赎金外,最高兴的莫过于追剧的粉丝了。粉丝的逻辑通常是这样的:资源泄漏>资源出现>下载种子>疯狂追剧。所以,对看片一族来说,种子是个神奇的东西。

360截图16380518384783.jpg

对于爱看片的同胞来说,能够找到种子无疑是件幸福无比的事情。但是在欣喜之余,你的种子也有可能被黑客盯上,趁机对用户发起攻击,比如有APT攻击者开始利用虚假的《权利的游戏》泄漏资源发起攻击。

钓鱼攻击

Proofpoint最近观察到一个有针对性的钓鱼电子邮件,标题为《想提前看看权力的游戏剧情吗?》,该邮件的附件包含有Word文档以及《权力的游戏》的高清截图来吸引用户下载,一旦你下载了这个附件,攻击者就会在你电脑上安装“9002”远程控制木马。回顾“9002”远程控制木马的攻击,可以发现:

1.它与Google 2016年1月发现的Aurora攻击事件有关,这次攻击以Google和其它大约20家公司为目标,是一种高级的持续性威胁,它是由一个有组织的网络犯罪团体精心策划的,目的是长时间地渗入这些企业的网络并窃取数据。

2.2014年,FireEye发现有黑客组织利用新的IE10 0day漏洞 (CVE-2014-0322) ,对美国军方目标人员发起代号“雪人”(SnowMan)的“酒吧攻击”,目标是窃取军事情报。

3.2016年,Palo Alto发现有组织利用“9002”远程控制木马对亚洲某些国家发起攻击

一旦安装,9002 RAT就能为攻击者提供强大的数据查看功能。

8月10号,Proofpoint检测到标题为《想提前看看权力的游戏剧情吗?》的恶意电子邮件,声称包含未发布的《权力的游戏》的内容。今年7月末,黑客从HBO盗走了1.5TB的数据,其中包括《权力的游戏》主创人员的个人信息、一些还未播放的剧集和脚本。

1503911231599603.png

图1:具有包含.docx附件的的电子邮件

上图所示的电子邮件包含一个名为“game of thrones preview.docx”的Word附件(下图所示),与电子邮件类似,该文件的内容都是关于一些未播放的内容。实际上,未播放的内容是一个嵌入式的.LNK(一个OLE包装器shell对象),如果运行,则就会执行恶意PowerShell脚本,导致“9002”RAT的安装。

1503911238314284.png

图2:包含恶意的.LNK打包程序对象的.docx文档附件

有效载荷分析

当嵌入的.LNK对象由潜在的受害者执行时,它使用修改的Invoke-Shellcode PowerShell脚本运行PowerShell命令,以下载使用XOR和base64混淆的两个文件。第一个下载的文件包含9002 RAT shellcode,它被注入到合法的Windows Mail二进制wabmig.exe中。(如图3所示)。另一个下载的文件是一个.LNK文件,用于在受感染的计算机上维护攻击的持久性。检索编码有效载荷的HTTP请求是相当基础的,不需要伪装成合法的浏览器请求(图4)。有趣的是,如果使用任何类型的用户代理请求相同的URI,则会返回合法的JPG(图5)。持久性.LNK作为UpdateCheck.lnk存储在启动目录中,并包含与.LNK下载器几乎相同的PowerShell脚本。然而,它不是下载shellcode,而是将已经下载的shellcode打开,解码并注入到新创建的wabmig.exe进程中。

1503911244948334.png

图3:从LNK包中找到的PowerShell脚本的摘要

1503911250710977.png

图4:HTTP请求下载编码的有效载荷

1503911258166188.png

图5:用户代理接收合法JPG而不是有效载荷的HTTP请求

9002的这种变体能够通过HTTP和似乎很假的SSL进行通信。假的SSL组件至少包含两个硬编码数据包:一个用于Client_Hello,另一个用于Client_Key_Exchange。大多数硬编码的值,如会话ID(图6,7),保持不变。但是,随机字段是动态生成的(GMT Unix时间和随机字节)。最后,Client_Hello尝试通过在SNI字段中发送该域来模拟SSL流量到 login.live[.]com(图8)。

1503911265796969.png

图6:9002中Client_Hello硬编码的会话ID

1503911271722905.png

图7:Client_Hello硬编码的会话ID出现在网络流量中

8.png

图8:SNI字段中的合法 login.live[.]com域发送到C&C

在这种9002变体中使用的HTTP流量和编码有几个不同的特征。发送到HTTP POST的客户端中的命令和控制(C&C)的数据使用自定义算法(后跟基于base64的编码)以编码状态传输(图9)。

1503911287301034.png

图9:HTTP POST请求发送到9002 C&C

几个标题是硬编码的,包括Accept和用户代理标头:

Accept:text/html,application/xhtml+xml,application/xml,*/*
用户代理:Mozilla / 5.0(兼容; MSIE 9.0; Windows NT 6.1; WOW64; Trident / 5.0)

另外还有两个不同的硬编码URI(图10):

/?FORM=Desktop&setmkt=en-us&setlang=en-us
/config/signin

动态生成的URI也可以使用以下格式:“/%x.htm?”。

1503911295911139.png

图10:HTTP Post请求发送到9002显示另一个硬编码的URI

该9002版本中使用的编码算法是FireEye分析的“4个字节的XOR版本9002”的迭代。代替在旧版本中使用的标准动态4字节XOR运算,动态4字节XOR密钥与“x3Ax42x46x41x53x41x39x41x46x2Dx44x38x37x32x6DxF1x51x4AxC0x2Dx3Ax43x31x30x2Dx30x30x43x30x35x4Ax4Dx39xF3xD3x38x2Bx7D”的静态38字节种子一起使用,生成最终的256字节XOR密钥。为了产生最终的密钥,首先使用38字节的种子进行迭代加法以产生一个256字节的值(图11)。

1503911303784663.png

图11:使用迭代加法和静态38字节种子值的256字节种子初始化

接下来,编码数据的前4个字节与256字节值进行XOR运算,以产生最终的256字节XOR(图12)。然后,该密钥与其余的编码数据进行XOR运算(图13)。

1503911311460551.png

图12:生成最终256字节的XOR密钥

1503911319880826.png

图13:使用最终256字节XOR密钥进行XOR运算

类似于以前9002的版本,类似于日期(“ x17  x05  x15  x20”)的值在恶意软件中被硬编码,并且可以在发送到其C&C的信标中的偏移量0x1C处找到(图14)。

1503911326572903.png

图14:发送到其C&C的9002流量被解码,并显示硬编码值

该值可能代表的是2015年5月17日的日期,但是我不知道这个日期是否有意义。另外一个值201707在这个变体中是硬编码的,可能是指2017年7月(图15)。

1503911334480477.png

图15:9002变式中的硬编码201707

这是最有可能的解释,因为这是恶意LNK PowerShell下载工具最早使用过的(SHA256 9e49d214e2325597b6d648780cf8980f4cc16811b21f586308e3e9866f40d1cd),我已经确定它是一个压缩文件(SHA256 bdd695363117ba9fb23a7cbcd484d79e7a469c11ab9a6e2ad9a50c678097f100),并与2017年7月6日上传到一个恶意文件扫描服务。该ZIP包包含在《权利的游戏》攻击中使用的LNK的四个相同副本中,以及似乎是一张库存图片的合法JPG “party”。我还在名为“need help.docx”的DOCX文档附件中确定了使用相同LNK的第三个可能的运行(图16)。在这种情况下,攻击者会诱惑用户双击用LNK伪装成的视频。

16.png

图16:使用相同的LNK的恶意文件,如ZIP和Game of Thrones文件

在搜索其他可能相关的攻击活动时,我发现至少早在2014年4月就发生了类似的攻击。包含类似LNK下载工具(图17)的几个ZIP压缩文件被上传到恶意文件扫描服务。

1503911351453209.png

图17:2014年观察到的恶意LNK PowerShell下载工具

这五个 档案文件都包含了一个类似的库存图片,以及多个副本的恶意LNK,以聚会图片为主题的名称。 LNK PowerShell下载程序使用与最近攻击类似的路径以及相同的“/ x /”URI。而不是使用代码注入,但打包的可执行文件(PE)嵌入在PowerShell脚本中,保存为x.exe,用于执行保存为y.exe的下载的有效内容。另一个相似之处在于,2014年发现的LNK与最近的攻击(0xCC9CE694)共享与LNK相同的卷序列号。卷序列号是LNK文件中的元数据,由于卷序列号匹配,我知道它们更有可能在设备上创建或使用相同的构建器。

不过,我并不知道在mn1[.]org上托管了什么有效载荷。然而,两个ZIP存档包含一个名为PhotoShow.jar的Java有效载荷,最终执行一个无磁盘的9002变体,并带有mx[.]i26[.]org的C&C。此变体具有硬编码的标识符 “x28x02x13x20”(图18)。

1503911358705666.png

图18:9002硬编码标识符

总结

在此,作为经常追剧小编,我的建议是,碰到喜欢的影片,我们最好还是看正版或通过正规渠道观看。

源链接

Hacking more

...