导语:McAfee Advanced Threat Research分析人员发现了一起针对平昌冬奥会的攻击活动。

一、背景

McAfee Advanced Threat Research分析人员发现了一起针对平昌冬奥会的攻击活动。电子邮件附件是一个恶意的Microsoft Word文档,原文件名”농식품부, 평창 동계올림픽 대비 축산악취 방지대책 관련기관 회의 개최.doc(由农林业部和平昌冬奥会组织)。 

邮件的主要目标是[email protected]以及BCC在线上的若干韩国机构。这些机构中的大多数与奥运或多或少都有关系,提供基础设施或承担辅助角色。攻击者看起来正在扩大攻击范围。

针对平昌冬奥会的攻击始于2017年12月22日,最近的一次在12月28日。攻击者首先将植入程序以HTA文件嵌入恶意文档,然后隐藏在远程服务器的1张图片中并使用混淆的Visual Basic宏来启动解码脚本。此外,他们还编写了自定义的PowerShell代码来解码隐藏在图片中的植入程序。

二、分析

该恶意文档于12月29日09:04由韩国提交给Virus Total,即发送到目标一天之后。该邮件于12月28日23:34从新加坡发送的,IP地址为 43.249.39.152。攻击者伪造信息,看起来发信人来自韩国国家反恐中心(NCTC)[email protected]。时机选择的很好,因为NCTC正在该地区为奥运进行反恐训练。此邮件富有欺骗性的发信人使信息合法,从而增加了受害者点击的机率。

根据我们对电子邮件头部的分析,此消息不是来自于NCTC,而是来自攻击者位于新加坡的IP地址。该邮件是从Postfix邮件服务器发送的,源主机名ospf1-apac-sg.stickyadstv.com。当用户打开文档时,有韩文提示受害者启用宏以允许在他们的Word版本中打开该文档。

图1:恶意文档指示启用宏

图2:启用宏

文档包含一个混淆后的VB宏:

图3:Visual Basic 宏:

当用户点击“启用宏”后,恶意文档将启动PowerShell脚本。该文档是由作者“John”于12月27日15:52创建的。

恶意文档将启动以下PowerShell脚本:

图4:命令行手动执行PowerShell 脚本

该脚本从远程下载并读取图片文件,并执行隐藏在图片文件中的PowerShell嵌入脚本。

攻击者使用12月20日发布的开源工具Invoke-PSImage将PowerShell脚本嵌入到图片中。隐写工具将脚本的字节嵌入到图片的像素中,使攻击者能够将恶意PowerShell代码隐藏在远程服务器的可见图片之中。以下脚本可由Invoke-PSImage生成,以便从远程服务器的图片中执行攻击者的植入程序。

图5:原始PowerShell 脚本

图6:包含隐藏PowerShell 代码的图片

为验证使用了隐写,可用StegExpose工具来检查文件:

结果证实文件中存在隐藏的数据。

一旦脚本运行,它将从图片中解码后的脚本传递给Windows命令行的变量$ x,该变量使用cmd.exe执行混淆脚本并通过PowerShell运行。

&&set  xmd=echo  iex (ls env:tjdm).value ^| powershell -noni  -noex  -execut bypass -noprofile  -wind  hidden     – && cmd   /C%xmd%

提取出的脚本组合多种字符串混淆技术进行深层伪装。

图7:混淆后的PowerShell植入脚本

攻击者的目的是加大分析难度,规避模式匹配检测技术。由于混淆未涉及PowerShell中的原生函数,因此脚本可在混淆状态下运行并正常工作。

图8:混淆后的控制服务器

当我们解除控制服务器URL混淆后,植入程序建立SSL连接到如下站点:

hxxps://www.thlsystems.forfirst.cz:443/components/com_tags/views/login/process.php

根据我们的分析,此植入程序为攻击者的服务器建立了一个加密通道,可使攻击者能够在受害者机器上执行命令并安装其它恶意软件。最后,PowerShell 植入程序通过计划任务(如下所示)设置每天下午2点启动。 view.hta包含同样的PowerShell植入程序,并通过SSL建立远程连接hxxps://200.122.181.63:443/components/com_tags/views/news.php.

C:Windowssystem32schtasks.exe” /Create /F /SC DAILY /ST 14:00 /TN “MS Remoute Update” /TR C:UsersOps03AppDataLocalview.hta

图9:view.hta

在研究中,我们发现了一个Apache服务器(共享主机)的缓存日志,IP地址81.31.47.101。该日志包含控制服务器thlsystems.forfirst.cz的信息,该信息显示有1个来自韩国的IP连接到PowerShell 植入程序中包含的URL。这表明植入程序在韩国活跃,目标可能已感染。

图10:2017.12.29_Apache server 日志

在调查thlsystems.forfirst.cz的过程中,我们发现该网页属于合法机构,这表明该服务器已被攻陷,既可作为攻击者的加密反向通道,也可分发植入程序。此外,服务器还托管混淆后的PowerShell植入程序副本。

图11

植入程序与如下URL建立加密通道:hxxps://www.thlsystems.forfirst.cz:443/components/com_tags/views/admin/get.php

图12:2017.12.30_图片

在调查PowerShell 植入程序中IP地址200.122.181.63时,我们在哥斯达黎加发现了该服务器,域名解析为mafra.go.kr.jeojang.ga。该域名jeojang.ga通过Freenom(一个免费的匿名域名提供商)注册。看来攻击者正在使用隶属于韩国农林部的一部分域名,这与邮件附件名一致,但是此域名与该政府机构毫无关系。

始于12月22日的恶意文档将PowerShell植入程序以HTA文件的形式直接嵌入到Word中。McAfee Advanced Threat Research分析人员发现了另一个托管在此站点的文档,其原始标题为위험 경보 (전국야생조류 분변 고병원성 AI(H5N6형) 검출).docx,同样来自农林部。该文档由同一作者“John”于12月22日创建,不包含宏,而是嵌入HTA文件的OLE流。当韩语docx图标被点击,则启动嵌入的HTA文件Error733.hta。该文件包含相同的脚本代码来启动PowerShell植入程序,如view.hta中的示例。

图13:早期依赖OLE 流的恶意文档

三、总结

本次攻击中的基本方法,采用混淆技术避免检测以及内存加载PowerShell程序,是网络攻击中常见且日益流行的无文件技术。之前,我们从未见过这种针对韩国受害者的攻击。

使用隐写工具表明对手适应新工具的速度很快。12月20日,Invoke-PSImage工具向公众发布,七天之内就完成测试并部署在针对2018年平昌冬奥会的攻击活动之中。

随着奥运越来越近,预计使用奥运相关主题的网络攻击将会持续增长。在以往类似案件中,目标针的是受害者的密码和财务信息。在本案例中,攻击者使用多种技术来攻击参与冬奥会的机构,使其更容易打开“武器化”的文档:

· 来自韩国国家反恐怖主义委员会的欺诈电子邮件地址

· 使用韩语

· 要求用户启用宏,因为文档处于保护模式

· 将原南韩农林部门域名作为恶意注册的虚假域名

Advanced Threat Research team发现,针对韩国的武器化的Word文档日益增加,有取代传统的使用韩语文字处理软件漏洞的“武器化”文档之势。 

四、IOC

SHA-1

c388b693d10e2b84af52ab2c29eb9328e47c3c16

8ad0a56e3db1e2cd730031bdcae2dbba3f7aba9c

IPs

200.122.181.63

Domains

thlsystems.forfirst.cz

mafra.go.kr.jeojang.ga

源链接

Hacking more

...