针对移动设备管理(MDM)系统的攻击趋势(二)
导语:自从研究MDM攻击以来,Talos团队发现这些恶意MDM已经被使用了好多年了。本文Talos团队将对MDM与Bahamut这两个攻击活动之间的潜在联系进行调查。
在《针对移动设备管理(MDM)系统的攻击趋势(一)》中,思科Talos团队已经确定了一次针对13个iPhone的攻击活动,且该攻击似乎目前仅针对印度手机用户。
前言
不过在文章发出去之后,Talos团队收集了有关此攻击趋势的更多信息,Talos团队根据这些信息,对MDM攻击又重新做了一次评估,他们认为MDM攻击目前已经存在于多个平台中,包括Windows设备和其他拥有后门的iOS应用程序。Talos团队目前已经找到了Android设备中,MDM攻击的证据。
如前一篇文章中所述,Talos团队已经建立MDM如何进行攻击的模型,另外通过这些最新收集的信息, Talos团队还发现了攻击中用到的许多新的基础设施。Talos团队认为用户了解MDM攻击方法至关重要,因为攻击者会继续利用MDM来开展他们的活动。不过要实施MDM攻击,攻击者需要通过使用社会工程来诱使用户在他们部署的开源移动设备管理(MDM)系统中注册设备。
在Talos团队发现的最新MDM攻击中,攻击者已经改变了原来使用的一些基础设施,以改进MDM的安全性。另外Talos团队还发现了其他被攻击的设备,这些设备还是位于印度,其中一个攻击中所使用的MDM平台的电话号码都和原来的设备一样,还有一个攻击的基础设施位于卡塔尔。Talos团队相信这个新版本的使用时间是2018年1月到3月。与之前的MDM类似,Talos团队能够识别出攻击者用来破坏iOS设备的IPA文件。此外,Talos团队还发现被攻击的WhatsApp等应用程序又被添加了新的恶意代码。
在这个持续的分析过程中,Talos团队还研究了其他潜在的攻击指标,这些指标可以帮助研究者更全方位的了解幕后的攻击者。期间,Talos团队发现了这篇名为Bellingcat写的文章,通过分析,研究人员将此次攻击与文章提到的“Bahamut”的攻击联系在一起,Bahamut是一种针对Android设备的高级攻击。Bahamut与Talos团队之前的文章中提到的一个恶意iOS应用程序共享了一个域名。另外,还有一篇来自大赦国际(Amnesty International) 的文章,也提到了有攻击者使用 “Bahamut”攻击,发动了类似的鱼叉式网络钓鱼。但是,思科Talos团队目前还没有发现任何与“Bahamut”攻击相关的鱼叉式网络钓鱼证据。Talos团队将在下面讨论这些活动的一些联系和技术重叠之处。
有关最新MDM的技术信息
Talos团队目前已经确定了MDM攻击者使用的第三台MDM服务器:ios-update-whatsapp[.]com。
上一篇文章中,Talos已经确定了攻击中所用到的两种不同的MDM服务器:
hxxp://ios-certificate-update[.]com; hxxp://www[.]wpitcher[.]com;
以上两个服务器都基于开源项目mdm-server:一个小型的iOS MDM服务器,MDM允许从其中某个位置同时对多个设备进行操作系统级控制。不过在确定的第三台MDM服务器中,攻击者添加了身份验证过程。而在以前,是没有身份验证的。
此外,Talos团队根据使用的证书确定了不同的技术信息。以下是此MDM使用的证书:
CA.crt
Serial Number: 17948952500637370160 (0xf9177d33a2d98730) Signature Algorithm: sha256WithRSAEncryption Issuer: C=HK, ST=Kwun Tong, L=6/F 105 Wai Yip St 000000, O=TECHBIG, OU=IT, CN=TECHBIG.COM/[email protected] Not Before: Jan 15 09:47:15 2018 GMT Not After : Jan 15 09:47:15 2019 GMT Subject: C=HK, ST=Kwun Tong, L=6/F 105 Wai Yip St 000000, O=TECHBIG, OU=IT, CN=TECHBIG.COM/[email protected]
根据调查,这是一家名为Tech Big的位于香港的假冒公司,该公司于2018年1月获得了该证书。
日志分析
可以查出,攻击者利用此服务器上注册了三个设备:
1.使用了印度本国的电话号码的两个设备本身就位于印度(其中一个设备的电话号码与前一篇文章中攻击者使用的手机号码相同);
2.一个使用了英国电话号码的设备位于卡塔尔;
日志显示,该MDM是在2018年1月创建的,在今年1月到3月使用。
新发现的恶意IOS应用程序
被攻击的Telegram和WhatsApp
Talos团队又确定了Telegram和WhatsApp应用程序中新注入的另外两个恶意IOS应用程序。攻击者通过向Telegram和WhatsApp应用程序添加恶意功能来构建攻击,而恶意应用程序的恶意性能与Talos团队在上一篇文章中描述的相同,唯一的区别是命令和控制(C2)被混淆,这些URL不以明文存储存,而是使用数据加密标准(DES)加密并在base64中编码。
在对编码的URL和DES密钥进行解码和解密后,Talos团队可以轻松读取C2的URL:
./decode.py vZVI2iNWGCxO+FV6g46LZ8Sdg7YOLirR/BmfykogvcLhVPjqlJ4jsQ== '&%^*#@!$' hxxp://hytechmart[.]com/UcSmCMbYECELdbe/
被攻击的IMO
IMO是一款可在移动设备上使用的聊天和视频应用。Talos团队目前发现了一个伪装成IMO的虚假应用程序。攻击者使用了上一章讲过的BOptions sideloading技术向合法应用程序将恶意代码添加到合法应用程序。
C2服务器具有上述应用于恶意Telegram和WhatsApp相同的混淆技术。攻击者只是更改了使用的加密密钥。恶意代码的目的与之前的恶意应用类似,就是窃取通讯录信息和聊天记录。不过,被攻击的IMO使用了SQLite来存储数据。以下是为获取数据而执行的请求样本:
1.DBManager访问 'IMODb2.sqlite';
2.选择ZIMOCHATMSG.Z_PK,ZIMOCHATMSG.ZTEXT,ZIMOCHATMSG.ZISSENT,ZIMOCONTACT.ZPHONE,ZIMOCONTACT.ZBUID AS Contact_ID from ZIMOCONTACT join ZIMOCHATMSG ON (ZIMOCONTACT.ZBUID = ZIMOCHATMSG.ZBUID) where ZIMOCHATMSG.Z_PK >'%d';
被攻击的Safari浏览器
Talos还在第三个恶意MDM上发现了被攻击的Safari应用程序。不过在攻击Safari浏览器时,攻击者没有使用BOptions sideloading技术,而使用的是一个全新开发的技术,该技术基于三个开源项目:SCSafariPageController,SCPageViewController和SCScrollView。
此攻击的目的是窃取受感染设备的敏感信息,首先,受攻击的应用程序将设备的通用唯一标识符(UUID)发送到C2服务器。根据服务器响应,被感染的浏览器将受命发送其他信息,例如用户的联系信息(图片、姓名、电子邮件、邮政地址等)、用户的图片、浏览器的cookie和剪贴板等。
此时,恶意软件会检查名为“hib.txt”的文件,如果该设备上不存在此文件,则会显示iTunes登录页面以尝试获取用户的登录凭据。输入凭据后,电子邮件地址和密码将被发送到C2服务器。此外,这些凭据将写入文件中,此时用户将被视为“已登录”。
最有趣的部分是凭据盗窃功能的使用,如果浏览的域名包含以下字符串之一,则恶意软件将自动将用户的用户名和密码发送给C2服务器。最值得注意的是以下电子邮件平台:
· Login.yahoo(电子邮件平台);
· Mail.com(电子邮件平台);
· Rediff(印度新闻门户和电子邮件平台,拥有约9500万注册用户);
· 亚马逊(电子商务平台);
· Pinterest(图像共享和发现平台);
· Reddit(论坛新闻聚合门户网站);
· Accounts.google(Google登录平台);
· Ask.fm(匿名分散式问答平台);
· Mail.qq(中文邮箱平台);
· 百度(中文搜索引擎和电子邮件提供商);
· Mail.protonmail(位于瑞士的安全电子邮件提供商);
· Gmx(电子邮件平台);
· AonLine.aon(英国保证);
· ZoHo(印度电子邮件服务);
· Tutanota(位于德国的安全电子邮件提供商);
· Lycos.com(带有电子邮件平台的搜索引擎和门户网站);
盗取用户的登录凭证后,恶意软件将持续监控被用户访问的网页,在用户输入用户名和密码时查找包含用户名和密码的HTML表单字段以窃取凭据。已查找出的HTML字段的名称将与域名一起嵌入到应用程序中。
例如,Talos团队看到m_U,它代表Lycos邮件身份验证页面中的用户名字段。此时,恶意软件包含一个类似的关于密码字段的列表。
最后,恶意浏览器包含三个恶意插件:
1.“添加书签”;
2.“添加到收藏夹”;
3.“加入阅读清单”;
此恶意扩展的目的与上述的那些应用非常相似,它将存储的数据发送到与其他应用程序相同的C2服务器。
另外,此恶意程序的核心和插件中的C2服务器都是经过base64编码的,并使用AES而不是DES加密。
新旧MDM攻击之间的关系
上面提到过Bahamut攻击是由开源新闻网站Bellingcat发现的。在上面的那篇文章中,作者讨论了基于Android的恶意软件,这与Talos团队发现的iOS恶意软件有一些相似之处。受到了该文章的启发,Talos团队对这两个攻击活动之的潜在联系进行了调查。
结果令人惊喜,Talos团队发现的新MDM攻击目标与中东目标即卡塔尔有关,而此目标也与Bellingcat的发现一致,且使用的LycaMobile都是位于英国的手机号码。
另外,voguextra[.]com域名也是共用的,Bahamut在他们的“Devoted To Humanity”应用程序中使用它来托管图像文件,而在上第一篇文章中提到的PrayTime iOS应用程序中,voguextra[.]com域名则是作为C2服务器的。 Bellingcat还报告说,该域名还曾用hxxp://voguextra[.]com/decoy.doc托管潜在的诱饵文件,详见VirusTotal。
新的MDM攻击中使用的域名与Bellingcat报告的Bahamut攻击中使用的域名非常相似性。域中使用的大多数电子邮件地址是*@mail.ru格式的电子邮件帐户,另外,C2识别出的AES加密字符串都是用base64编码的,并且两个攻击活动中使用的URI模式共享一个几乎相同的语法:
repository + random.php + GET value /hdhfdhffjvfjd/gfdhghfdjhvbdfhj.php?p=1&g=[string]&v=N/A&s=[string]&t=[string]
两个攻击中的域名也有类似的结构([word]-[word]-[word])。而且两个攻击的使用者都一直在使用类似的结构。
Talos团队很快就会注意到这些域名与印度的紧密联系,通过访问历史whois和托管信息,Talos团队能够确定其中有三个MDM域指向印度。这三个域都使用隐私代理来注册域。但是,攻击者在注册域名时却没有创建名称服务器,这使Talos团队很容易发现其中有两个域是在印度注册的,而另一个的托管服务提供商也是在印度。
MDM使用的三个域是ios-update-whatsapp[.]com, ios-certificate-update[.]com and www[.]wpitcher[.]com。
ios-update-whatsapp[.]com
ios-update-whatsapp[.]com最初使用的名称是obox.dns[.]com,由印度的Directi平台拥有,是一个印度注册商,是该域名使用的原始域名服务器。后来改为 [ns1-2].ios-update-whatsapp[.]com,这表明该域名可能是在印度注册并购买的。
wpitcher[.]com
该域名最初使用了与印度公司MantraGrid相关的域名服务器,MantraGrid是一个印度的云平台,wpitcher[.]com是Talos团队确定的原始MDM域之一。
ios-certificate-update.com
这个域使用了与ios-update-whatsapp[.]com类似的结构,并且还与上面列出的与MDM活动相关的其他两个域共享相同的隐私代理。ios-certificate-update.com是首批注册的域名之一,使用的是巴拿马的bulletproof托管平台。
最后,Bellingcat通过Tom Lancaster发现了卡巴斯基报告的InPage活动也有与MDM活动的相似之处,InPage活动使用了与MDM活动类似的URI结构,就连受害者也相同。InPage攻击针对讲乌尔都语的穆斯林,这进一步肯定了受害者是印度人的可能性,因为乌尔都语是一种主要在印度和巴基斯坦使用的方言。Talos团队发现MDM还利用了一个名为PrayTime的应用程序,一个很受欢迎的穆斯林应用程序,提醒他们完成每日祈祷。
考虑所有这些因素后,Talos团队对幕后的攻击者位于印度的猜想充满信心。此外,Talos团队认为此活动与Bahamut攻击的联系并没有直接证据。
MDM对WINDOWS的攻击
Talos团队还发现了几个恶意二进制文件,这些文件可以用来攻击使用Windows的用户,使用的基础架构与前一篇文章提到的techwach.com的恶意应用程序相同。
样本6b62f4db64edf7edd648c38a563f44b656 b056b0f6f6ad9a4e97f93f93cf9abfdfdfc63e5使用以下URL来下载额外有效载荷:
hxxp://techwach[.]com/Beastwithtwobacks/Barkingupthewrongtree.php
Talos团队知道MDM和Windows服务在2018年5月曾在同一个C2服务器上启动并运行。这个恶意Windows二进制文件的目的是获取有关受感染设备的信息(用户名和主机名),并将此信息发送到后台服务器,然后再根据命令检索其他信息。如果攻击者估计目标系统是相关的,则会检索另一个PE32文件。
Talos团队在2017年6月至2018年6月期间发现了使用不同C2服务器的其他类似样本。攻击者使用了两种样本:一种是在Delphi中开发的,另一种是在VisualBasic中开发的。
以下是Delphi样本:
b96fc53f321729eda24af2a0b95e5c1d39d46acbd5a565e6c5f8c81f1bf9c7a1 -> hxxp://appswonder[.]info 3f463cebef1550b055ef6b4d1dad16ff1cb514f0091271ce92549e77bb5080d6 -> hxxp://referfile[.]com 4b94b152293e49532e549b2538cad85e950cd16ccd948a47a632376a840626ed -> hxxp://hiltrox[.]com e70a1c230ef2894363b834132bbdbb3a0edc88e81049a7c7774fa5b4ed78206b -> hxxp://scrollayer[.]com e7701f81141dfd6234488e51340ba2d05901c8242a6e9a9952c297c52a3ff050 -> hxxp://twitck[.]com e93f28efc1787ed5e8763cdc0417e7d5db1c9203e484350c64860fff91dab4f5 -> hxxp://scrollayer[.]com
以下是VisualBasic样本:
6f362bc439ce09c7dcb0ac5cce84b81914b9dd1e9969cae8b570ade3af1cea3d -> hxxp://32player[.]com ce0026e0eb3f4f1d3d2a003400f863900f497745f3384e430926d99206cc5ed6 -> hxxp://nfinx[.]info d2c15c2043b0455cfad36f22f564b99ed46cea3891abb80eaf86093654c94dea -> hxxp://metclix[.]com/ d7f90e9b1129e3223a886422b3625399d52913dcc2757734a67422ac905683f7 -> hxxp://appswonder[.]info/ ec973e4319f5a9e8e9c28d315e7bb8153a620baa8ae52b455b68400612aad1d1 -> hxxp://capsnit[.]com/
此时,一些C2服务器仍在运行。Apache设置非常具体,并且与恶意IPA应用程序的Apache设置完美匹配。
此外,Talos团队还确定了一个Windows恶意软件的感染载体。攻击者使用恶意RTF(a1f2018bd61989a78247df53d808b6b513d530c47b89f2a919c59c848e2a6ac4)滥用CVE-2018-0802漏洞,以便删除并执行前面提到的列表中的最后一个二进制文件。
最后,将一个VisualBasic二进制文件与诱饵文件绑定到msiexec文件中。
这个诱饵文件使用的是《今日印度》报纸网站上的新闻图片,该图片描述了纳迦和平协议,这可能与印度的竞选有关。
总结
自从研究MDM攻击以来,Talos团队发现这些恶意MDM已经被使用了好多年了。根据之前对Bahamut攻击的研究,Talos团队认为观察到的基础攻击设施不仅局限于iOS目标,而是支持Apple iOS和Windows平台的更广泛框架。
根据Talos团队目前的发现,这个攻击很可能位于印度。虽然整个攻击过程中,攻击者使用的的基础设施看起来与Bahamut使用的基础设施非常相似,甚至有重叠,但是现在就确认两者的关系还为时尚早。
恶意MDM的使用很方便,系统也有详细记录。鉴于MDM的高效攻击性,这类攻击还会不断上演。由于注册MDM需要用户的交互,因此用户必须意识到此类攻击对数据和隐私可能带来的危险。
Talos将继续关注MDM的发展和相关的基础设施的使用,而最新的情况,嘶吼也会及时报道。
IOCS
iOS应用程序:
422e4857614cc603f2388eb9a6b7bbe16d45b9fd0a9b752f02c107887cf8cb3e imo.ipa
e3ceec8676e2a1779b8289e341874209a448b11f3d81834a2faae9c494267602 Safari.ipa
bab7f61ed0f2b085c02ff1e4305ceab4479455d7b4cfba0a018b73ee955fcb51 Telegram.ipa
fbfaed75aa855c7db486edee15359b9f8c1b394b0b02f77b22500a90c53cb423 WhatsApp.ipa
MDM域名:
ios-update-whatsapp[.]com
C2域名:
hytechmart[.]com
PE32样本
b96fc53f321729eda24af2a0b95e5c1d39d46acbd5a565e6c5f8c81f1bf9c7a1
3f463cebef1550b055ef6b4d1dad16ff1cb514f0091271ce92549e77bb5080d6
4b94b152293e49532e549b2538cad85e950cd16ccd948a47a632376a840626ed
e70a1c230ef2894363b834132bbdbb3a0edc88e81049a7c7774fa5b4ed78206b
e7701f81141dfd6234488e51340ba2d05901c8242a6e9a9952c297c52a3ff050
e93f28efc1787ed5e8763cdc0417e7d5db1c9203e484350c64860fff91dab4f5
6f362bc439ce09c7dcb0ac5cce84b81914b9dd1e9969cae8b570ade3af1cea3d
ce0026e0eb3f4f1d3d2a003400f863900f497745f3384e430926d99206cc5ed6
d2c15c2043b0455cfad36f22f564b99ed46cea3891abb80eaf86093654c94dea
d7f90e9b1129e3223a886422b3625399d52913dcc2757734a67422ac905683f7
ec973e4319f5a9e8e9c28d315e7bb8153a620baa8ae52b455b68400612aad1d1
PE32 C2服务器:
hxxp://appswonder[.]info
hxxp://referfile[.]com
hxxp://hiltrox[.]com
hxxp://scrollayer[.]com
hxxp://twitck[.]com
hxxp://scrollayer[.]com
hxxp://32player[.]com
hxxp://nfinx[.]info
hxxp://metclix[.]com/
hxxp://capsnit[.]com/
恶意RTF样本:
a1f2018bd61989a78247df53d808b6b513d530c47b89f2a919c59c848e2a6ac4