供应链攻击活动Red Signature分析

导语:IssueMakersLab与Trend Micro的研究人员一起发现了Red Signature行动,一起窃取韩国企业信息的供应链攻击。研究人员7月底发现了这起攻击。

IssueMakersLab与Trend Micro的研究人员一起发现了Red Signature行动,一起窃取韩国企业信息的供应链攻击。研究人员7月底发现了这起攻击。

攻击者黑进了远程支持方案提供商的更新服务器,通过更新过程传播9002 RAT(remote access tool)。这个过程首先是窃取公司的证书,然后用窃取的证书对恶意软件进行签名。如果客户端位于目标组织的IP地址范围内,攻击者还会配置更新服务器使其只传播恶意文件。

9002 RAT还会安装其他的恶意工具,IIS 6 WebDav(利用CVE-2017-7269)的漏洞利用工具和SQL数据库密码复制器。安装的这些工具暗示攻击者的目标未web服务器和数据库。

 图片.png

图1. Red Signature行动供应链

Red Signature行动工作原理:

技术分析

更新文件update.zip中含有update.ini文件,含有恶意更新配置信息,其中说明了远程支持解决方案程序下载file000.zip和file001.zip,然后解压为rcview40u.dll和rcview.log到安装文件夹。

程序会执行用窃取的证书签名的rcview40u.dll和Microsoft register server (regsvr32.exe)。DLL文件负责解密加密的rcview.log文件并再内存中执行。9002 RAT是解密的rcview.log的payload,会连接到位于66[.]42[.]37[.]101的C2服务器。

 图片.png

图2. 恶意更新配置文件的内容

 图片.png

图3. 被黑的更新进程启动9002 RAT的过程

 图片.png

图4. 解密的rcview.log文件的payload中的9002 RAT字符串模式

9002 RAT

研究人员分析9002 RAT发现是RAT文件2018年7月编译的,update.zip文件中的配置文件是7月18日创建的。分析更新日志文件发现远程支持程序的更新进程是7月18日启动的,9002 RAT也是这个时间下载和执行的。

研究人员还发现特定攻击中使用的RAT文件在8月被设为不活动状态,所以RAT的活动日期是非常短暂的(7月18日-7月 31日)。

 图片.png

图5. 9002 RAT样本编译时间戳(上),恶意配置文件时间戳(中),程序更新日志截图(下)

 图片.png

图6. 9002 RAT检查系统时间并设定在2018年8月休眠的代码段

其他的恶意工具

9002 RAT还作为传播其他恶意软件的跳板。大多数的恶意软件都是以.cab压缩文件格式下载的。这也是绕过反病毒软件检测的一种方法。

下图为9002 RAT提取和传播的文件列表:

 图片.png 图片.png

图7. 下载的Web.ex_ cabinet文件(左)和解压的Web.exe文件(右)

其中下载一个文件printdat.dll就是一个RAT,是PlugX恶意软件的变种,会连接到相同的C2服务器(66[.]42[.]37[.]101)。

图片.png

图8. printdat.dll文件中的内部PlugX date dword值

如何缓解供应链攻击

供应链攻击不仅会影响用户和企业,因为利用的是厂商和客户之间的信任。通过木马化软件、应用,操作运行的基础设施和平台,供应链攻击会影响企业提供的商品和服务的完整性和安全性。比如在医疗领域,行业非常依赖第三方和云服务,供应链攻击会使个人身份信息隐私和知识产权数据处于威胁中,还可以破坏医院运营,甚至危及病人健康。随着欧盟GDPR等监管措施的实施,这种攻击的影响可能会加大。

下面是一些最佳实践供参考:

源链接

Hacking more

...