12月8日,以“聚合 效能 闭环”为主题的2022安天新品发布会在线上召开。安天发布全新智甲终端检测与响应系统、探海威胁检测系统、下一代WEB应用防护系统、代码安全检测系统、智甲云主机安全监测系统、常态化安全运营服务等六项产品。

安天副总裁关墨辰对此次发布会的主题价值和产品矩阵进行了解读。“聚合 效能 闭环”是指安天希望以积木化安全能力按需聚合组装的方式,提升产品的效能,加快客户威胁从检测到响应的闭环速度。从2018年开始,安天为高安全需求客户构建动态综合防御体系。在这五年系统建设和服务客户的过程中,安天的工程师们总结了最佳实践经验,同时也推动了产品和技术的持续创新,通过技术与实践的融合形成了今天要发布的产品矩阵,覆盖了从开发安全、交付安全、工作负载安全到持续安全运营的全生命周期,同时也覆盖了“端、网、云、用”等多个场景,能够为客户提供符合自身场景需求,智能的、自主生产的安全能力。

图片2.jpg1.终端安全产品全新升级

安天智甲家族新成员“智甲终端检测与响应系统”(简称“智甲EDR”)率先发布,产品经理奚乾悦在演讲中提到,随着网络空间对抗的升级与加剧,终端安全面临着资产攻击面难以控制、高级威胁难以检测、大量未知属性执行体缺乏鉴定与约束以及针对各类安全事件响应机制不够灵活等问题。

针对以上情况,智甲EDR通过对资产的全生命周期进行风险检测与加固,对威胁进行深度检测与攻击画像绘制和执行鉴定与细粒度行为约束,结合可编报事件调查与响应等多种能力,缩小主机受攻击面,构建安全可执行空间并对各类安全事件快速响应。安天期望通过智甲EDR产品有效提升终端检测与响应能力,从识别、塑造、防护、检测、响应五个维度打造更强有力的终端安全运行闭环。

222.jpg2.解锁流量安全新品 

安天探海威胁检测系统产品经理汤建平详细介绍了探海威胁检测系统NDR版本的研发背景、核心优势以及最佳实践情况。为了有效应对安全挑战,提高网络威胁的快速发现、高效分析及时响应能力,安天流量侧产品——探海NDR应时而生,新版本核心定位是聚焦威胁检测和响应,洞见流量威胁,为企业提供威胁检测、威胁分析、威胁处置一体化网络安全运营能力。探海NDR版本增强了威胁检测分析能力,让威胁检测更精准、检测范围更广、威胁分析更高效,解决了传统安全设备威胁发现及分析能力不足的问题,增强企业威胁检测及分析可视化能力。同时,增加了溯源响应处置能力,让威胁溯源更有效、及时处置止损,解决传统安全设备威胁回溯能力弱的问题,提高用户现场高级威胁的发现和溯源能力,有效应对安全挑战。

图片3.jpg3.揭晓WEB应用安全新品

产品经理刘志辉发布了安天下一代WEB应用防护系统,他在议题分享中提到,传统WAF缺乏业务理解分析能力,基于单一事件告警的被动防御,自动化攻击防御能力不足,缺乏事件关联,行为分析能力无法满足用户日益增长的安全需求。安天下一代WEB应用防护系统能够实现业务动态封装、自动化防御、实时的行为追踪,对威胁进行及时评估,及时发现针对WEB的高级威胁行为。同时对当前大量的API使用提供安全防护,针对用户业务进行安全策略定制,从业务角度自定义安全。  
图片4.jpg4.开启代码安全新品

安天代码安全中心产品经理刘宇生发布了安天代码安全检测系统,从如何在开发的角度上对代码安全进行发力、如何在没有安全专家的情况下执行好代码安全工作、企业如何应对日益复杂的开发安全威胁等三个方面,详细介绍了做好代码安全工作的重要意义。本次发布的安天代码安全检测系统具备高准确率的源码分析能力和污点传播分析跟踪能力,并且可一键接入开发流程,不放过开源组件和自身代码的安全问题,同时适用于大多数模式下开发场景,是开发人员身边的安全守护工具。

图片5.jpg5.云安全产品全新发布

在本次新品发布会上,安天正式发布智甲云主机安全监测系统。随着云计算的不断发展普及,云上组件不断增加,同时也带来了更多的攻击面,云上东西向网络流量难以管控。产品经理王起发在议程分享中表示,面向混合多云业务场景的统一工作负载防护,安天智甲云主机安全监测系统可为用户提供全面的资产清点、风险评估、微隔离、自动化威胁检测响应等多种安全能力,通过自适应调度安全探针,构建适应云上业务工作负载的防护体系。

图片6.jpg6.开启全新常态化安全运营服务

安天安全服务产品经理张耀林介绍了安天常态化安全运营服务,他在分享中提到,安全运营工作的关键在于客户自身的安全运营流程,安全服务厂商在其中需要扮演的是能有效与用户流程耦合赋能的角色。安天通过常态化安全运营服务,协助客户建立可落地的安全运营体系,实现资产可管理、威胁可管控、安全可运营。安天以全生命周期视角看待客户资产安全运营,协助客户做好安全运营的起点,把风险管控于系统上线之前。通过常态安全运营日常工作,对威胁实时进行发现、防范和处置。针对各类安全事件,安天应急响应团队7*24小时待命,确保在安全事件发生的第一时间抵达客户现场进行应急响应。

近日,安天的常态化安全运营服务还入选了Gartner发布的《MDR服务中国市场研究报告》,能够有效帮助客户降低安全建设成本,减轻安全运维压力,掌握安全态势,打造可闭环的安全运营体系。

图片7.jpg安天从服务超过180万台网络设备和网络安全设备,以及超过30亿部手机和智能终端到服务每一个企业,期望本次发布的产品矩阵能够支撑战略客户达成威胁对抗、安全防护与数字化融合闭环。此外,安天将在2023年1月份举办的第十届网络安全冬训营活动上,聚焦当前网络安全新形势与新挑战,探讨前沿技术发展,全面展现各领域核心产品和服务能力,欢迎大家持续关注。

 

12月8日,以“聚合 效能 闭环”为主题的2022安天新品发布会在线上召开。安天发布全新智甲终端检测与响应系统、探海威胁检测系统、下一代WEB应用防护系统、代码安全检测系统、智甲云主机安全监测系统、常态化安全运营服务等六项产品。

安天副总裁关墨辰对此次发布会的主题价值和产品矩阵进行了解读。“聚合 效能 闭环”是指安天希望以积木化安全能力按需聚合组装的方式,提升产品的效能,加快客户威胁从检测到响应的闭环速度。从2018年开始,安天为高安全需求客户构建动态综合防御体系。在这五年系统建设和服务客户的过程中,安天的工程师们总结了最佳实践经验,同时也推动了产品和技术的持续创新,通过技术与实践的融合形成了今天要发布的产品矩阵,覆盖了从开发安全、交付安全、工作负载安全到持续安全运营的全生命周期,同时也覆盖了“端、网、云、用”等多个场景,能够为客户提供符合自身场景需求,智能的、自主生产的安全能力。

图片2.jpg1.终端安全产品全新升级

安天智甲家族新成员“智甲终端检测与响应系统”(简称“智甲EDR”)率先发布,产品经理奚乾悦在演讲中提到,随着网络空间对抗的升级与加剧,终端安全面临着资产攻击面难以控制、高级威胁难以检测、大量未知属性执行体缺乏鉴定与约束以及针对各类安全事件响应机制不够灵活等问题。

针对以上情况,智甲EDR通过对资产的全生命周期进行风险检测与加固,对威胁进行深度检测与攻击画像绘制和执行鉴定与细粒度行为约束,结合可编报事件调查与响应等多种能力,缩小主机受攻击面,构建安全可执行空间并对各类安全事件快速响应。安天期望通过智甲EDR产品有效提升终端检测与响应能力,从识别、塑造、防护、检测、响应五个维度打造更强有力的终端安全运行闭环。

222.jpg2.解锁流量安全新品 

安天探海威胁检测系统产品经理汤建平详细介绍了探海威胁检测系统NDR版本的研发背景、核心优势以及最佳实践情况。为了有效应对安全挑战,提高网络威胁的快速发现、高效分析及时响应能力,安天流量侧产品——探海NDR应时而生,新版本核心定位是聚焦威胁检测和响应,洞见流量威胁,为企业提供威胁检测、威胁分析、威胁处置一体化网络安全运营能力。探海NDR版本增强了威胁检测分析能力,让威胁检测更精准、检测范围更广、威胁分析更高效,解决了传统安全设备威胁发现及分析能力不足的问题,增强企业威胁检测及分析可视化能力。同时,增加了溯源响应处置能力,让威胁溯源更有效、及时处置止损,解决传统安全设备威胁回溯能力弱的问题,提高用户现场高级威胁的发现和溯源能力,有效应对安全挑战。

图片3.jpg3.揭晓WEB应用安全新品

产品经理刘志辉发布了安天下一代WEB应用防护系统,他在议题分享中提到,传统WAF缺乏业务理解分析能力,基于单一事件告警的被动防御,自动化攻击防御能力不足,缺乏事件关联,行为分析能力无法满足用户日益增长的安全需求。安天下一代WEB应用防护系统能够实现业务动态封装、自动化防御、实时的行为追踪,对威胁进行及时评估,及时发现针对WEB的高级威胁行为。同时对当前大量的API使用提供安全防护,针对用户业务进行安全策略定制,从业务角度自定义安全。  
图片4.jpg4.开启代码安全新品

安天代码安全中心产品经理刘宇生发布了安天代码安全检测系统,从如何在开发的角度上对代码安全进行发力、如何在没有安全专家的情况下执行好代码安全工作、企业如何应对日益复杂的开发安全威胁等三个方面,详细介绍了做好代码安全工作的重要意义。本次发布的安天代码安全检测系统具备高准确率的源码分析能力和污点传播分析跟踪能力,并且可一键接入开发流程,不放过开源组件和自身代码的安全问题,同时适用于大多数模式下开发场景,是开发人员身边的安全守护工具。

图片5.jpg5.云安全产品全新发布

在本次新品发布会上,安天正式发布智甲云主机安全监测系统。随着云计算的不断发展普及,云上组件不断增加,同时也带来了更多的攻击面,云上东西向网络流量难以管控。产品经理王起发在议程分享中表示,面向混合多云业务场景的统一工作负载防护,安天智甲云主机安全监测系统可为用户提供全面的资产清点、风险评估、微隔离、自动化威胁检测响应等多种安全能力,通过自适应调度安全探针,构建适应云上业务工作负载的防护体系。

图片6.jpg6.开启全新常态化安全运营服务

安天安全服务产品经理张耀林介绍了安天常态化安全运营服务,他在分享中提到,安全运营工作的关键在于客户自身的安全运营流程,安全服务厂商在其中需要扮演的是能有效与用户流程耦合赋能的角色。安天通过常态化安全运营服务,协助客户建立可落地的安全运营体系,实现资产可管理、威胁可管控、安全可运营。安天以全生命周期视角看待客户资产安全运营,协助客户做好安全运营的起点,把风险管控于系统上线之前。通过常态安全运营日常工作,对威胁实时进行发现、防范和处置。针对各类安全事件,安天应急响应团队7*24小时待命,确保在安全事件发生的第一时间抵达客户现场进行应急响应。

近日,安天的常态化安全运营服务还入选了Gartner发布的《MDR服务中国市场研究报告》,能够有效帮助客户降低安全建设成本,减轻安全运维压力,掌握安全态势,打造可闭环的安全运营体系。

图片7.jpg安天从服务超过180万台网络设备和网络安全设备,以及超过30亿部手机和智能终端到服务每一个企业,期望本次发布的产品矩阵能够支撑战略客户达成威胁对抗、安全防护与数字化融合闭环。此外,安天将在2023年1月份举办的第十届网络安全冬训营活动上,聚焦当前网络安全新形势与新挑战,探讨前沿技术发展,全面展现各领域核心产品和服务能力,欢迎大家持续关注。

 

1.概述

安天自2021年11月发布《通过视频网站传播的RedLine窃密木马分析》[1]报告后,始终对此类借助视频分享网站传播的攻击活动保持关注。近日,安天CERT在监测通过视频网站传播RedLine窃密木马的攻击活动中发现攻击者增加了自动登录视频网站发布恶意视频的攻击模块,实现了“发布视频->窃取账号->用窃取到的账号进一步传播”的攻击流程自动化体系,增强了恶意代码传播扩散的能力。

攻击者利用视频网站YouTube上传破解软件、游戏作弊程序等内容的视频,并在视频简介中添加恶意下载链接,诱导用户下载恶意代码。恶意代码会释放并执行RedLine窃密木马、Ethminer挖矿程序,以及利用受害者的账号上传钓鱼视频的自动传播模块。直接在受害者设备和网络环境中执行视频上传功能的攻击手段可在一定程度上绕过平台的风险控制机制,提高攻击成功率。

RedLine窃密木马最早于2020年3月被发现,是流行的窃密木马家族之一,国内外传播较为广泛。该木马具备多种信息窃取功能,如自动窃取目标系统浏览器、FTP、VPN、即时通讯软件的敏感信息,以及屏幕截图及搜集指定文件等功能。该木马以一次性购买或订阅的形式,在地下论坛出售。

目前该攻击活动仍处于活跃状态,安天CERT将持续跟进分析。经验证,安天智甲终端防御系统(简称IEP)可实现对该窃密木马、挖矿程序等恶意软件的有效查杀。

2.事件对应的ATT&CK映射图谱

事件对应的技术特点分布图:

2-1.png

图 2‑1技术特点对应ATT&CK的映射

具体ATT&CK技术行为描述表:

表 2‑1 ATT&CK技术行为描述表

ATT&CK阶段/类别

具体行为

注释

资源开发

获取基础设施

搭建服务器

入侵账户

入侵视频网站账户

能力开发

开发自动传播模块

建立账户

建立视频网站账户

能力获取

获取挖矿程序及RedLine木马

环境整备

搭建攻击环境

初始访问

网络钓鱼

网络钓鱼

执行

诱导用户执行

诱导用户执行

持久化

利用自动启动执行引导或登录

设置启动项

利用计划任务/工作

设置计划任务

防御规避

反混淆/解码文件或信息

解密载荷

隐藏行为

隐藏行为

削弱防御机制

修改反病毒API

混淆文件或信息

加密载荷

进程注入

进程注入

凭证访问

从存储密码的位置获取凭证

获取浏览器保存的密码

窃取Web会话Cookie

获取浏览器Cookie

发现

发现文件和目录

发现文件和目录

发现软件

发现软件

发现系统信息

发现系统信息

发现系统地理位置

发现系统语言区域

发现系统所有者/用户

发现系统用户

收集

自动收集

自动收集

数据暂存

数据暂存

命令与控制

使用应用层协议

使用应用层协议

数据渗出

自动渗出数据

自动回传数据

限制传输数据大小

限制文件收集最多50MB

使用C2信道回传

使用C2信道回传

影响

资源劫持

挖矿劫持系统计算资源

3.防护建议

为有效防御此类恶意代码,提升安全防护水平,安天建议企业采取如下防护措施:

3.1 终端防护

1.安装终端防护系统:安装反病毒软件,建议安装安天智甲终端防御系统;

2.加强口令强度:避免使用弱口令,建议使用16位或更长的密码,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令;

3.部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对恶意代码的发现与追踪溯源。安天探海威胁检测系统(PTD)以网络流量为检测分析对象,能精准检测出已知海量恶意代码和网络攻击活动,有效发现网络可疑行为、资产和各类未知威胁;

3.2  网站传播防护

1.建议使用官方网站下载的正版软件。如无官方网站建议使用可信来源进行下载,下载后使用反病毒软件进行扫描;

2.建议使用沙箱环境执行可疑的文件,在确保安全的情况下再使用主机执行。安天追影威胁分析系统(PTA)采用深度静态分析与沙箱动态加载执行的组合机理,可有效检出分析鉴定各类已知与未知威胁。

3.3 遭受攻击及时发起应急响应

联系应急响应团队:若遭受恶意软件攻击,建议及时隔离被攻击主机,并保护现场等待安全工程师对计算机进行排查;安天7*24小时服务热线:400-840-9234。

经验证,安天智甲终端防御系统(简称IEP)可实现对该窃密木马、挖矿程序等恶意软件的有效查杀。

3-1.png

图3‑1 安天智甲为用户终端提供有效防护 

4.攻击流程

攻击者在视频网站YouTube上传钓鱼视频诱导用户下载包含恶意代码的压缩包。用户下载并执行其中的恶意代码后,其中的自解压程序会释放多个exe文件,包括RedLine窃密木马cool.exe、挖矿程序h**.exe以及用于自动传播恶意代码的AutoRun.exe、nir.exe、p**.bat、j**.bat等(不文明词语以*隐去)。攻击流程如下图所示。

4-1.png4-1.png

图4-1 通过视频网站自动传播的恶意代码事件流程图

详细攻击流程描述如下。

1.   攻击者向视频网站Youtube投递钓鱼视频(含有恶意压缩包下载地址);

2.   受害者下载恶意压缩包,压缩包中的Installer.exe自解压释放多个exe及bat文件后运行cool.exe、h**.exe及AutoRun.exe;

3.   cool.exe为RedLine窃密木马,能够窃取系统信息、浏览器数据、软件配置等重要文件并回传至C2;

4.   h**.exe为挖矿程序,利用存储在自身资源中的RunPE.dll将挖矿程序ethminer.exe镂空注入到explorer.exe中执行;

5.   AutoRun.exe为自动传播程序,运行p**.bat以利用nir.exe以无窗口隐藏模式启动j**.bat。j**.bat依次运行MakiseKurisu.exe、download.exe和upload.exe;

6.   MakiseKurisu.exe窃取浏览器中的Cookies,并将其存储到临时文件中;

7.   download.exe下载7z压缩包,其中包含多组用于后续上传的钓鱼视频及配套图片封面、描述文本;

8.   upload.exe利用临时文件中Youtube及Google的Cookie,将下载的视频上传到Youtube。

5.样本分析

5.1 样本标签

表5‑1 二进制可执行文件

病毒名称

Trojan/Win32.ChildHaveTrojan

原始文件名

Installer.exe

MD5

9C4CE3073F2EA119951BD3226C839504

处理器架构

Intel 386 or   later, and compatibles

文件大小

24.09 MB   (25,255,643字节)

文件格式

BinExecute/Microsoft.EXE[:X86]

时间戳

2022-03-03   13:15:57 UTC

数字签名

加壳类型

VT首次上传时间

2022-08-03 05:05:32   UTC

VT检测结果

33/68

 5.2 详细分析

压缩包中包含Installer.exe及多个用于伪装的正常DLL文件。

5-1.png

图5‑1 压缩包中的文件

Installer.exe为WinRAR自解压程序,会将多个exe及bat文件释放到%Temp%目录下,并依次执行cool.exe、hui.exe、AutoRun.exe。

5-2.png

图5‑2 自解压脚本

5.2.1 RedLine窃密木马cool.exe

cool.exe外层加载器使用C/C++编写,执行后利用进程镂空技术加载RedLine窃密木马。

5-3.png

 图5‑3 解密RedLine窃密木马并注入执行

检测系统语言区域,若为“亚美尼亚、阿塞拜疆、白俄罗斯、哈萨克斯坦、吉尔吉斯斯坦、摩尔多瓦、塔吉克斯坦、乌兹别克斯坦、乌克兰、俄罗斯”之一,则退出自身,不再继续执行。

5-4.png

图5‑4 检测语言区域

使用C#语言中的ChannelFactory与C2服务器45.150.108.67:80进行TCP通信,获取待窃密的数据列表等配置信息,目前该服务器已失效。

5-5.png

图5‑5 连接C2

RedLine窃密木马能够窃取硬件信息、浏览器数据(保存的密码、Cookie、自动填充、信用卡)、FTP客户端数据、部分VPN软件配置等,还可以根据C2配置收集指定路径或文件名格式的文件。详情可参考安天此前发布的报告《通过视频网站传播的RedLine窃密木马分析》[1]。

5.2.2 挖矿模块h**.exe

修改AmsiScanBuffer反病毒API函数入口点代码,避免后续执行的Powershell代码被反病毒程序查杀。

5-6.png

图5‑6 修改反病毒API入口点

将自身复制到%Appdata%\Google\Chrome\updater.exe并设置计划任务或自启动注册表项。

5-7.png

图5‑7 设置持久化

从资源“gtoplrfnypylyb”中解密出一个zip压缩包,压缩包内含挖矿程序“ethminer.exe”。

5-8.png

图5‑8 解密获得挖矿程序

从资源“zwslgktgnwpvyauynyb”中解密出载荷“RunPE.dll”,用于将PE文件镂空注入到explorer.exe中执行。

5-9.png

图5‑9 通过注入执行挖矿程序

注入的PE文件为上述压缩包中的Ethminer挖矿程序。

5-10.png

图5‑10 注入的可执行程序

5.2.3 自启动模块AutoRun.exe

AutoRun.exe功能为将自身复制到启动(Startup)路径下,实现自启动。

5-11.png

图5‑11 复制到启动目录

然后执行p**.bat。

5-12.png

图5‑12 执行pidorpizda.bat

p**.bat的功能为利用nir.exe以后台隐藏模式启动j**.bat。j**.bat功能为启动MakiseKurisu.exe、download.exe和upload.exe。

5-13.png

图5‑13 利用nir.exe执行脚本

5.2.4 凭据收集模块MakiseKurisu.exe

MakiseKurisu.exe在内存中解密获得.net程序input.exe,并使用CLR API函数从入口点执行,input.exe功能为从资源中使用GZip解压获得一个.net PE文件并加载执行。

5-14.png

图5‑14 解压并加载后续载荷

被加载的PE文件为凭据收集程序,会收集浏览器Cookies和保存的密码保存到%Temp%路径下。

5-15.png

图5‑15 收集Cookies

5.2.5 数据下载模块download.exe

样本为node.js打包生成的可执行文件,主要功能为从Github获取下载链接,然后通过该链接下载后续自动传播所需的视频、文件。相关存储库如下。

5-16.png

图5‑16 Github中的下载地址

下载的压缩包中包含了46组文件,每组中包含视频、封面、简介、标签、标题,用于后续视频上传。这些视频的主题主要为游戏外挂和破解软件,但实际简介中诱导观众下载的链接指向的均为恶意代码。

5-17.png

图5‑17 压缩包内容

5.2.6 视频上传模块upload.exe

该样本也为node.js打包生成的可执行文件,功能为利用puppeteer库上传钓鱼视频到Youtube视频网站。读取MakiseKurisu.exe收集的Cookie信息,从中筛选获得youtube.com及google相关域名下的Cookie信息(可用于youtube.com的登录认证)。

5-18.png

图5‑18 获取Cookie

利用获取到的Cookie上传视频。

5-19.png

图5‑19 上传视频相关代码

上传成功的视频示例如下。

5-20.png

图5‑20 上传成功的视频

6.总结

本次攻击活动中,攻击者利用视频网站YouTube上传破解软件、游戏作弊程序等内容的钓鱼视频,并在视频简介中添加恶意下载链接,诱导用户下载恶意代码。恶意代码能够对用户主机进行窃密攻击和挖矿攻击,形成了“发布视频->窃取账号->用窃取到的账号进一步传播”的攻击流程自动化体系。

用户应提高警惕,避免从未知来源下载软件,若发现感染,应立即进行全面查杀,并及时在安全环境中修改密码。目前,该攻击活动仍在活跃中,安天CERT将会持续跟进分析。

7.IoCs

9C4CE3073F2EA119951BD3226C839504

32DD96906F3E0655768EA09D11EA6150

B53EA3C1D42B72B9C2622488C5FA82ED

1D59F656530B2D362F5D540122FB2D03

6EBE294142D34C0F066E070560A335FB

64B4D93889661F2FF417462E95007FB4

ECFFB7670EE065ED3C806BA618D7210F

A1CD6A64E8F8AD5D4B6C07DC4113C7EC

FE977107B439EA30D2818A1161536B9E

AC56F398A5AD9FB662D8B04B61A1E4C5

2C4E48FCBB4413822EB1A43C4FC0736B

45.150.108.67:80

附录:参考资料

[1]  通过视频网站传播的RedLine窃密木马分析

https://www.antiy.cn/research/notice&report/research_report/20211125.html


1.概述

安天自2021年11月发布《通过视频网站传播的RedLine窃密木马分析》[1]报告后,始终对此类借助视频分享网站传播的攻击活动保持关注。近日,安天CERT在监测通过视频网站传播RedLine窃密木马的攻击活动中发现攻击者增加了自动登录视频网站发布恶意视频的攻击模块,实现了“发布视频->窃取账号->用窃取到的账号进一步传播”的攻击流程自动化体系,增强了恶意代码传播扩散的能力。

攻击者利用视频网站YouTube上传破解软件、游戏作弊程序等内容的视频,并在视频简介中添加恶意下载链接,诱导用户下载恶意代码。恶意代码会释放并执行RedLine窃密木马、Ethminer挖矿程序,以及利用受害者的账号上传钓鱼视频的自动传播模块。直接在受害者设备和网络环境中执行视频上传功能的攻击手段可在一定程度上绕过平台的风险控制机制,提高攻击成功率。

RedLine窃密木马最早于2020年3月被发现,是流行的窃密木马家族之一,国内外传播较为广泛。该木马具备多种信息窃取功能,如自动窃取目标系统浏览器、FTP、VPN、即时通讯软件的敏感信息,以及屏幕截图及搜集指定文件等功能。该木马以一次性购买或订阅的形式,在地下论坛出售。

目前该攻击活动仍处于活跃状态,安天CERT将持续跟进分析。经验证,安天智甲终端防御系统(简称IEP)可实现对该窃密木马、挖矿程序等恶意软件的有效查杀。

2.事件对应的ATT&CK映射图谱

事件对应的技术特点分布图:

2-1.png

图 2‑1技术特点对应ATT&CK的映射

具体ATT&CK技术行为描述表:

表 2‑1 ATT&CK技术行为描述表

ATT&CK阶段/类别

具体行为

注释

资源开发

获取基础设施

搭建服务器

入侵账户

入侵视频网站账户

能力开发

开发自动传播模块

建立账户

建立视频网站账户

能力获取

获取挖矿程序及RedLine木马

环境整备

搭建攻击环境

初始访问

网络钓鱼

网络钓鱼

执行

诱导用户执行

诱导用户执行

持久化

利用自动启动执行引导或登录

设置启动项

利用计划任务/工作

设置计划任务

防御规避

反混淆/解码文件或信息

解密载荷

隐藏行为

隐藏行为

削弱防御机制

修改反病毒API

混淆文件或信息

加密载荷

进程注入

进程注入

凭证访问

从存储密码的位置获取凭证

获取浏览器保存的密码

窃取Web会话Cookie

获取浏览器Cookie

发现

发现文件和目录

发现文件和目录

发现软件

发现软件

发现系统信息

发现系统信息

发现系统地理位置

发现系统语言区域

发现系统所有者/用户

发现系统用户

收集

自动收集

自动收集

数据暂存

数据暂存

命令与控制

使用应用层协议

使用应用层协议

数据渗出

自动渗出数据

自动回传数据

限制传输数据大小

限制文件收集最多50MB

使用C2信道回传

使用C2信道回传

影响

资源劫持

挖矿劫持系统计算资源

3.防护建议

为有效防御此类恶意代码,提升安全防护水平,安天建议企业采取如下防护措施:

3.1 终端防护

1.安装终端防护系统:安装反病毒软件,建议安装安天智甲终端防御系统;

2.加强口令强度:避免使用弱口令,建议使用16位或更长的密码,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令;

3.部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对恶意代码的发现与追踪溯源。安天探海威胁检测系统(PTD)以网络流量为检测分析对象,能精准检测出已知海量恶意代码和网络攻击活动,有效发现网络可疑行为、资产和各类未知威胁;

3.2  网站传播防护

1.建议使用官方网站下载的正版软件。如无官方网站建议使用可信来源进行下载,下载后使用反病毒软件进行扫描;

2.建议使用沙箱环境执行可疑的文件,在确保安全的情况下再使用主机执行。安天追影威胁分析系统(PTA)采用深度静态分析与沙箱动态加载执行的组合机理,可有效检出分析鉴定各类已知与未知威胁。

3.3 遭受攻击及时发起应急响应

联系应急响应团队:若遭受恶意软件攻击,建议及时隔离被攻击主机,并保护现场等待安全工程师对计算机进行排查;安天7*24小时服务热线:400-840-9234。

经验证,安天智甲终端防御系统(简称IEP)可实现对该窃密木马、挖矿程序等恶意软件的有效查杀。

3-1.png

图3‑1 安天智甲为用户终端提供有效防护 

4.攻击流程

攻击者在视频网站YouTube上传钓鱼视频诱导用户下载包含恶意代码的压缩包。用户下载并执行其中的恶意代码后,其中的自解压程序会释放多个exe文件,包括RedLine窃密木马cool.exe、挖矿程序h**.exe以及用于自动传播恶意代码的AutoRun.exe、nir.exe、p**.bat、j**.bat等(不文明词语以*隐去)。攻击流程如下图所示。

4-1.png4-1.png

图4-1 通过视频网站自动传播的恶意代码事件流程图

详细攻击流程描述如下。

1.   攻击者向视频网站Youtube投递钓鱼视频(含有恶意压缩包下载地址);

2.   受害者下载恶意压缩包,压缩包中的Installer.exe自解压释放多个exe及bat文件后运行cool.exe、h**.exe及AutoRun.exe;

3.   cool.exe为RedLine窃密木马,能够窃取系统信息、浏览器数据、软件配置等重要文件并回传至C2;

4.   h**.exe为挖矿程序,利用存储在自身资源中的RunPE.dll将挖矿程序ethminer.exe镂空注入到explorer.exe中执行;

5.   AutoRun.exe为自动传播程序,运行p**.bat以利用nir.exe以无窗口隐藏模式启动j**.bat。j**.bat依次运行MakiseKurisu.exe、download.exe和upload.exe;

6.   MakiseKurisu.exe窃取浏览器中的Cookies,并将其存储到临时文件中;

7.   download.exe下载7z压缩包,其中包含多组用于后续上传的钓鱼视频及配套图片封面、描述文本;

8.   upload.exe利用临时文件中Youtube及Google的Cookie,将下载的视频上传到Youtube。

5.样本分析

5.1 样本标签

表5‑1 二进制可执行文件

病毒名称

Trojan/Win32.ChildHaveTrojan

原始文件名

Installer.exe

MD5

9C4CE3073F2EA119951BD3226C839504

处理器架构

Intel 386 or   later, and compatibles

文件大小

24.09 MB   (25,255,643字节)

文件格式

BinExecute/Microsoft.EXE[:X86]

时间戳

2022-03-03   13:15:57 UTC

数字签名

加壳类型

VT首次上传时间

2022-08-03 05:05:32   UTC

VT检测结果

33/68

 5.2 详细分析

压缩包中包含Installer.exe及多个用于伪装的正常DLL文件。

5-1.png

图5‑1 压缩包中的文件

Installer.exe为WinRAR自解压程序,会将多个exe及bat文件释放到%Temp%目录下,并依次执行cool.exe、hui.exe、AutoRun.exe。

5-2.png

图5‑2 自解压脚本

5.2.1 RedLine窃密木马cool.exe

cool.exe外层加载器使用C/C++编写,执行后利用进程镂空技术加载RedLine窃密木马。

5-3.png

 图5‑3 解密RedLine窃密木马并注入执行

检测系统语言区域,若为“亚美尼亚、阿塞拜疆、白俄罗斯、哈萨克斯坦、吉尔吉斯斯坦、摩尔多瓦、塔吉克斯坦、乌兹别克斯坦、乌克兰、俄罗斯”之一,则退出自身,不再继续执行。

5-4.png

图5‑4 检测语言区域

使用C#语言中的ChannelFactory与C2服务器45.150.108.67:80进行TCP通信,获取待窃密的数据列表等配置信息,目前该服务器已失效。

5-5.png

图5‑5 连接C2

RedLine窃密木马能够窃取硬件信息、浏览器数据(保存的密码、Cookie、自动填充、信用卡)、FTP客户端数据、部分VPN软件配置等,还可以根据C2配置收集指定路径或文件名格式的文件。详情可参考安天此前发布的报告《通过视频网站传播的RedLine窃密木马分析》[1]。

5.2.2 挖矿模块h**.exe

修改AmsiScanBuffer反病毒API函数入口点代码,避免后续执行的Powershell代码被反病毒程序查杀。

5-6.png

图5‑6 修改反病毒API入口点

将自身复制到%Appdata%\Google\Chrome\updater.exe并设置计划任务或自启动注册表项。

5-7.png

图5‑7 设置持久化

从资源“gtoplrfnypylyb”中解密出一个zip压缩包,压缩包内含挖矿程序“ethminer.exe”。

5-8.png

图5‑8 解密获得挖矿程序

从资源“zwslgktgnwpvyauynyb”中解密出载荷“RunPE.dll”,用于将PE文件镂空注入到explorer.exe中执行。

5-9.png

图5‑9 通过注入执行挖矿程序

注入的PE文件为上述压缩包中的Ethminer挖矿程序。

5-10.png

图5‑10 注入的可执行程序

5.2.3 自启动模块AutoRun.exe

AutoRun.exe功能为将自身复制到启动(Startup)路径下,实现自启动。

5-11.png

图5‑11 复制到启动目录

然后执行p**.bat。

5-12.png

图5‑12 执行pidorpizda.bat

p**.bat的功能为利用nir.exe以后台隐藏模式启动j**.bat。j**.bat功能为启动MakiseKurisu.exe、download.exe和upload.exe。

5-13.png

图5‑13 利用nir.exe执行脚本

5.2.4 凭据收集模块MakiseKurisu.exe

MakiseKurisu.exe在内存中解密获得.net程序input.exe,并使用CLR API函数从入口点执行,input.exe功能为从资源中使用GZip解压获得一个.net PE文件并加载执行。

5-14.png

图5‑14 解压并加载后续载荷

被加载的PE文件为凭据收集程序,会收集浏览器Cookies和保存的密码保存到%Temp%路径下。

5-15.png

图5‑15 收集Cookies

5.2.5 数据下载模块download.exe

样本为node.js打包生成的可执行文件,主要功能为从Github获取下载链接,然后通过该链接下载后续自动传播所需的视频、文件。相关存储库如下。

5-16.png

图5‑16 Github中的下载地址

下载的压缩包中包含了46组文件,每组中包含视频、封面、简介、标签、标题,用于后续视频上传。这些视频的主题主要为游戏外挂和破解软件,但实际简介中诱导观众下载的链接指向的均为恶意代码。

5-17.png

图5‑17 压缩包内容

5.2.6 视频上传模块upload.exe

该样本也为node.js打包生成的可执行文件,功能为利用puppeteer库上传钓鱼视频到Youtube视频网站。读取MakiseKurisu.exe收集的Cookie信息,从中筛选获得youtube.com及google相关域名下的Cookie信息(可用于youtube.com的登录认证)。

5-18.png

图5‑18 获取Cookie

利用获取到的Cookie上传视频。

5-19.png

图5‑19 上传视频相关代码

上传成功的视频示例如下。

5-20.png

图5‑20 上传成功的视频

6.总结

本次攻击活动中,攻击者利用视频网站YouTube上传破解软件、游戏作弊程序等内容的钓鱼视频,并在视频简介中添加恶意下载链接,诱导用户下载恶意代码。恶意代码能够对用户主机进行窃密攻击和挖矿攻击,形成了“发布视频->窃取账号->用窃取到的账号进一步传播”的攻击流程自动化体系。

用户应提高警惕,避免从未知来源下载软件,若发现感染,应立即进行全面查杀,并及时在安全环境中修改密码。目前,该攻击活动仍在活跃中,安天CERT将会持续跟进分析。

7.IoCs

9C4CE3073F2EA119951BD3226C839504

32DD96906F3E0655768EA09D11EA6150

B53EA3C1D42B72B9C2622488C5FA82ED

1D59F656530B2D362F5D540122FB2D03

6EBE294142D34C0F066E070560A335FB

64B4D93889661F2FF417462E95007FB4

ECFFB7670EE065ED3C806BA618D7210F

A1CD6A64E8F8AD5D4B6C07DC4113C7EC

FE977107B439EA30D2818A1161536B9E

AC56F398A5AD9FB662D8B04B61A1E4C5

2C4E48FCBB4413822EB1A43C4FC0736B

45.150.108.67:80

附录:参考资料

[1]  通过视频网站传播的RedLine窃密木马分析

https://www.antiy.cn/research/notice&report/research_report/20211125.html


封面图.jpeg

1.概述

近期,安天CERT发现一起针对韩国的攻击活动,诱饵文档标题为“Sogang KLEC.docx”(西江大学韩国语言教育中心.docx)。对获取到的样本以及关联到的恶意载荷进行分析研判,最终将其关联到Lazarus组织。

Lazarus组织,又称为HIDDEN COBRA、APT38、Zinc、Guardians of Peace等,是半岛地区最活跃的APT组织之一。该组织的攻击目标涉及波兰、智利、美国、墨西哥、巴西等数十个国家,针对银行、比特币交易所等金融机构及个人实施定向攻击活动,以获取经济利益,堪称全球金融机构的最大威胁之一。此外,该组织还针对航空航天、COVID-19疫苗技术、政府、媒体等机构及企业进行渗透,以窃取重要资料并进行破坏勒索。

2.攻击流程

此次攻击活动的攻击流程大致如下所示:

1. 采用模板注入的方式,等待诱饵文档被打开后将攻击者构造的恶意模板下载到主机执行。

2. 模板中的宏代码请求指定的URL,下载恶意载荷并将其注入到WINWORD.exe中执行。

3. 下载到的恶意载荷主要用于释放下载工具IEUpdate.exe并执行,以及将其添加至注册表RUN中实现持久化。

4. IEUpdate.exe得到执行后发送消息获取后续通信使用的C2,根据回传的信息下载不同恶意载荷执行。

5. 目前已知存在两种载荷hvncengine.dll和shellengine.dll,用于与C2通信以实现远程控制。

2-1.png

图 2‑1 攻击流程示意图

3.样本分析

3.1诱饵文档

表 3‑1诱饵文档

病毒名称

Trojan/Generic.ASHMacro.7D6

原始文件名

Sogang   KLEC.docx

MD5

f1a61ee026eac8583ee840d297792478

文件大小

13.25 MB (13889306   bytes)

文件格式

Office Open XML   Document

利用漏洞

释放手法

远程模板注入

创建时间

2022-04-06   8:40:00 UTC

最后编辑时间

2022-08-05   2:40:00 UTC

创建者

最后保存者

exciting

正文国家语言

ko-KR

VT首次上传时间

2022-08-16   21:05:35 UTC

VT检测结果

16/65


通过公开情报平台的关联功能发现诱饵文档的下载链接,信息说明诱饵文档是在Naver Mail提供的大附件存储站点下载得到,猜测攻击者可能通过Naver Mail发送钓鱼邮件进行攻击。已知Naver Mail是由韩国互联网集团Naver Corporation提供的电子邮件服务。

3-1.jpg

图 3‑1 诱饵文档下载链接

SaniTOX为韩国Jiransecurity公司的一款安全防护软件,诱饵文档仿冒SaniTOX诱导受害者启用宏,恶意文档正文内容如下。

3-2.jpg

图 3‑2 此次攻击活动诱饵文档正文内容

对文档正文内容关联后发现,诱饵文档正文内容并非第一次出现。

3-3.jpg

图 3‑3 以往攻击活动诱饵文档正文内容[1]

攻击者使用Word模板注入的方式,在受害者打开诱饵文档后下载恶意模板执行,模板所在的地址为http://23.106.160.173/temp2.dotm。

3-4.jpg

图 3‑4 远程模板链接

3.2 模板文件

表 3‑2模板文件

病毒名称

Trojan/Generic.ASMacro.36F1B

原始文件名

D5583E63.dotm

MD5

8D7C3F3C56AD3069908901790ADFA826

文件大小

68.12 KB (69755   bytes)

文件格式

Office Open XML   Document

利用漏洞

释放手法

宏文档

创建时间

2022-07-31   2:45:00 UTC

最后编辑时间

2022-08-03   14:48:00 UTC

创建者

exciting

最后保存者

exciting

VT首次上传时间

2022-08-16   21:13:22 UTC

VT检测结果

37/65

 

模板中包含恶意宏代码,当打开文档后自动执行。宏代码主要功能为下载恶意载荷,若成功下载,便将下载到的恶意载荷注入到Winword程序中执行。

3-5.jpg

图 3‑5 下载恶意载荷

此函数将下载的恶意载荷注入到WinWord中执行。

3-6.png

图 3‑6 注入函数

注入到Winword进程中的恶意载荷运行后会在%LocalAppData%\Microsoft\PlayReady下释放IEUpdate.exe和error.log文件,之后通过fodhelper.exe绕过UAC提升IEUpdate.exe权限执行,error.log文件中记录了后续所需要访问的部分URL链接“s/ucnpe74wo87d3mm/server.txt?dl=0”。

3-7.jpg

图 3‑7 恶意载荷释放的文件以及error.log中的内容

修改注册表启动项实现持久化功能。

3-8.png

图 3‑8 将IEUpdate.exe文件添加到注册表RUN中

3.3 IEUpdate.exe 下载工具

表 3‑3二进制可执行文件

病毒名称

Trojan/Generic.ASMalwS.2D

原始文件名

IEUpdate.exe

MD5

c073012bc50b6a4f55f8edcce294a0b4

处理器架构

Intel   386 or later, and compatibles

文件大小

92.00   KB (94208 bytes)

文件格式

Win32   EXE

时间戳

2022-08-03   03:27:06 UTC

数字签名

加壳类型

编译语言

Microsoft   Visual C++ v.11 - 2012

VT首次上传时间

2022-08-16   21:13:22 UTC

VT检测结果

49/72

 首先判断自身所处路径是否包含“:\myapp.exe”,若包含则退出。

3-9.png

图 3‑9 判断自身所处路径

通过sleep设置延迟时间,判断延迟时间是否生效,以此绕过部分修改sleep时间的沙箱。

3-10.png

图 3‑10 沙箱检测

获取主硬盘的设备描述信息,并将其与“VDEVICE”进行拼接,拼接后的字符串通过CRC散列后与“0”进行拼接,格式为“0+CRC散列后的值”。

3-11.png

图 3‑11 获取主机信息并生成主机标识

通过在系统目录下创建目录,判断其是否具有管理员权限。

3-12.png

图 3‑12 权限判断

获取操作系统的版本信息。

3-13.png

图 3‑13 获取操作系统版本信息

获取进程快照,并判断当前运行的进程中,是否包含“v3l4sp.exe”、“AYAgent.aye”、“IEUpdate.exe”。其中“v3l4sp.exe”为韩国AhnLab公司免费杀毒软件V3 Lite的子程序,“AYAgent.aye”为韩国公司ESTsoft的互联网安全套件ALYac的一部分。

3-14.png

图 3‑14 检测指定杀软

如果存在路径为“%LocalAppData%\Microsoft\PlayReady\IEUpdate.exe”且进程ID与当前进程不符,则关闭先前的IEUpdate.exe进程。

3-15.png

图 3‑15 关闭先前进程

根据cmdline的参数中是否包含“/s”、“/a”来设置标记,并根据先前设置的管理员权限标记选择不同分支执行。

3-16.png

图 3‑16 根据参数设置标记

判断先前的提权操作是否成功。如果为管理员权限,则会通过PowerShell命令将自身添加到Windows Defender排除列表中。

3-17.png

图 3‑17 将此文件添加到Windows Defender白名单

如果非管理员权限,创建新线程并循环执行,具体如下所示。

3-18.png

图 3‑18 创建线程

线程创建另一个线程函数,该线程函数用作同C2进行通信。

首先将“dl.dropboxusercontent.com”与从error.log文件中获取到的内容进行拼接,并从拼接后形成的URL中获取接下来通信的C2地址。

3-19.png

图 3‑19 从Dropbox中获取C2地址

然后将操作系统版本信息、是否存在指定的杀软、先前生成的uid作为上线包回传。

3-20.png

图 3‑20 构造上线包

上线包回传函数,将收集到的信息发送到post2.php。

3-21.png

图 3‑21 发送上线包

随后从拼接的URL中接收数据,并对数据进行处理,获取数据中第三个“%”后的内容,并以“\r”、“\n”作为结束符。此内容将作为后续下载URL的资源地址。获取数字0-9的阿拉伯数字,经处理后得到指令ID。

3-22.jpg

图 3‑22 发送请求并接收C2的命令

循环执行下发的命令,并会判断是否重复执行。

3-23.png

图 3‑23 执行C2下发的命令

下载dll文件并选择导出函数执行。

3-24.png

图 3‑24 下载后续载荷执行

通过公开情报平台查找上述样本的信息,在诱饵文档关联的PCAP文件中发现两个文件,应为IEUpdate.exe下载的恶意载荷,它们具有相同的回传数据结构与解密算法。

表 3‑4回传数据结构

到数据头的偏移

长度   (byte)

解释

0x0

0xC

固定数据,解密后为)(*&POIU:LKJ

0xC

0x8

固定数据,按需可替换为接收的数据

0x14

0x4

该部分数据,根据执行的内容决定

0x18

0x4

回传数据的长度(size)

0x1C

size

回传的数据

0x1C+size

0xC

固定数据,解密后为^%$#YTREHGFD

在回传文件的过程中,回传数据结构会有适当调整,具体如下图所示。

表 3‑5文件回传数据结构

到数据头的偏移

长度   (byte)

解释

0x0

0xC

固定数据,解密后为)(*&POIU:LKJ

0xC

0x8

固定数据,按需可替换为接收的数据

0x14

0x8

整体文件大小

0x1C

0x4

文件路径长度

0x20

size1

文件路径(size1)

0x20+size1

0x8

当前文件指针的位置

0x28+size1

0x4

当前读取文件内容的大小(size2)

0x2C+size1

size2

读取的文件内容

0x2C+size1+size2

0xC

固定数据,解密后为^%$#YTREHGFD

 “)(*&POIU:LKJ”与“^%$#YTREHGFD”在键盘上的位置如下图所示。

3-25.png

图 3‑25 回传数据结构中的固定内容在键盘上的位置

3.4 hvncengine.dll hvnc

表 3‑6二进制可执行文件

病毒名称

Trojan/Generic.ASMalwS.2D

原始文件名

hvncengine.dll

MD5

5beade9f8191c6a9c47050d4e3771b80

处理器架构

Intel   386 or later, and compatibles

文件大小

77.00 KB (78848   bytes)

文件格式

Win32 DLL

时间戳

2022-08-03   03:30:53 UTC

数字签名

加壳类型

编译语言

Microsoft   Visual C++ v.7.10 - 11.0 - Visual 2012

VT首次上传时间

2022-08-16   21:15:12 UTC

VT检测结果

48/71

 恶意载荷存在两个导出函数SEEnd和SEStart。SEEnd用于关闭socket连接以及等待线程,SEStart为载荷主要功能,用于与C2通信实现hvnc功能。

样本运行后,首先和IEUpdate.exe一样生成带有主机标识的字符串。

3-26.png

图 3‑26 获取主机信息并生成主机标识

每隔十分钟,执行一次恶意功能。

3-27.png

图 3‑27 设置间隔时间

以上述带有主机标识的字符串作为名字创建桌面。

3-28.png

图 3‑28 新建桌面

进入线程函数后,与IEUpdate.exe一样,读取 “error.log”中的内容后与“dl.dropboxusercontent.com”拼接,通过GET请求获取C2地址,而后通过socket尝试连接。

3-29.png

图 3‑29 从Dropbox中获取C2并连接

如果连接成功的话,将通过socket发送先前生成的主机标识符,并设置当先线程与桌面的关联。

3-30.jpg

图 3‑30 发送特定字符串

依次从服务端接收命令,实现hvnc的功能。

3-31.png

图 3‑31 接收命令解析并执行

根据下发的命令,呈现不同的操作,逆向分析命令及对应功能大致如下所示。

表 3‑7命令及对应功能

命令

功能

0x1

持续发送截屏信息

0x2

停止发送截屏信息

0x3

执行下发的命令行

0x5

模拟键盘操作

0x6

模拟鼠标操作

0x7

打开explorer.exe,并设置始终显示任务栏

0x8

启动chrome.exe

 

3.5 shellengine.dll 后门

表 3‑8二进制可执行文件

病毒名称

Trojan/Generic.ASMalwS.2D

原始文件名

shellengine.dll

MD5

edaff44ac5242188d427755d2b2aff94

处理器架构

Intel   386 or later, and compatibles

文件大小

276.50   KB (283136 bytes)

文件格式

Win32   DLL

时间戳

2022-08-03   01:49:57 UTC

数字签名

加壳类型

编译语言

Microsoft   Visual C++ v.7.10 - 11.0 - Visual 2012

VT首次上传时间

2022-08-16   21:15:12 UTC

VT检测结果

42/71

 

收集主机信息并生成主机标识符。

3-32.png

图 3‑32 收集主机信息并生成主机标识符

创建管道用于与cmd.exe子进程通信。

3-33.png

图 3‑33 创建管道

创建线程,并将cmd.exe的返回结果回传到C2。

3-34.png

图 3‑34 获取cmd.exe执行的结果并回传

创建与C2通信并用于实现主要恶意功能的线程。

3-35.png

图 3‑35 实现恶意功能的线程

与之前两个样本相同,依旧是读取 “error.log”中的内容后与“dl.dropboxusercontent.com”拼接,从该地址处获取后续通信的C2,并尝试使用socket连接。

3-36.png

图 3‑36 从Dropbox中获取C2并连接

若可以建立socket连接,则接收服务端命令,根据命令实现不同恶意功能。

3-37.jpg

图 3‑37 根据指令实现不同恶意功能

根据下发的命令,呈现不同的操作,逆向分析命令及对应功能大致如下所示。

表 3‑9 命令及对应功能

命令

功能

0x1

根据接受的数据,改变回传数据结构的偏移0xC处的8个字节

0x2

重启cmd.exe进程或者通过cmd.exe执行命令行

0x4

获取磁盘列表或者获取指定目录下的子目录及文件名称列表

0x6

获取指定文件

0xA

获取截屏信息

0xB

设置标记,停止截屏

0xD

模拟鼠标点击

0xE

模拟鼠标移动

0xF

修改图像转换时的参数

0x14

将回传数据结构的偏移0xC处的8个字节改为样本中存储的数据

0x1E

回传chrome密钥

0x1F

获取指定目录下的文件

 4.溯源分析

通过pdb路径的相似性以及相同的自定义加密函数可以推测出攻击活动中涉及的3个PE文件应归属于同一个攻击者。又根据模板文件中包含的VBA代码以及IEUpdate.exe下载工具代码与Lazarus组织先前攻击活动中相应文件的代码具有很高的相似程度,推测本次攻击活动同样归属于Lazarus组织。

IEUpdate.exe、hvncengine.dll、shellengine.dll三个文件的pdb均在同一个目录下。

4-1.png

图 4‑1 IEUpdate.exe的pdb

4-2.png

图 4‑2 hvncengine.dll的pdb

4-3.png

图 4‑3 shellengine.dll的pdb

hvncengine.dll与shellengine.dll的自定义加密函数完全相同,但所用key不同。IEUpdate.exe和shellengine.dll的key为“LNfYIU”,hvncengine.dll的key为“WhdeEg”。

4-4.png

图 4‑4 自定义加密函数

带有恶意宏的模板文件和IEUpdate.exe下载工具与先前发现Lazarus组织的样本代码大部分相似。

4-5.png

图 4‑5 此次攻击活动涉及的vba代码

4-6.jpg

图 4‑6 以往攻击活动涉及的vba代码[2]

4-7.png

图 4‑7 此次攻击活动涉及的下载工具代码

4-8.jpg

图 4‑8 以往攻击活动中涉及的下载工具代码[2]

5.威胁框架映射

Lazarus组织相关攻击活动的行为技术点的ATT&CK框架图谱如下所示:

5-1.jpg

图 5‑1 Lazarus组织攻击活动对应ATT&CK威胁框架映射图

本次系列活动共涉及ATT&CK框架中11个阶段的28个技术点,具体行为描述如下表:

表 5‑1ATT&CK技术行为描述表

ATT&CK阶段/类别

具体行为

注释

资源开发

获取基础设施

利用DropBox存放后续连接的C2地址

初始访问

网络钓鱼

猜测可能利用钓鱼邮件传播诱饵文件

初始访问

水坑攻击

猜测可能通过水坑攻击传播诱饵文件

执行

利用进程间通信

shellengine.dll后门可通过管道执行cmd命令

执行

诱导用户执行

诱导用户打开攻击者构造的诱饵文档

持久化

利用自动启动执行引导或登录

通过修改注册表启动项实现持久化

提权

滥用提升控制权限机制

通过fodhelper.exe绕过UAC

提权

进程注入

将IEUpdate.exe注入到WINWORD.exe进程

防御规避

滥用提升控制权限机制

通过fodhelper.exe绕过UAC

防御规避

反混淆/解码文件或信息

样本种的关键字符串通过自定义算法加密

防御规避

削弱防御机制

修改Windows Defender的白名单

防御规避

进程注入

将IEUpdate.exe注入到WINWORD.exe进程

防御规避

模板注入

利用模板注入加载远程恶意模板执行

防御规避

虚拟化/沙箱逃逸

通过判断sleep延时是否成功规避部分沙箱

凭证访问

窃取Web会话cookie

窃取chrome cookie

发现

发现应用程序窗口

发现应用程序窗口,便于实现远程桌面控制

发现

发现文件和目录

发现目标机中的文件和目录

发现

发现进程

发现目标机中的进程信息

发现

查询注册表

发现目标机

发现

发现系统信息

发现目标机的系统版本等信息

发现

发现系统所有者/用户

发现目标机的当前用户

发现

发现系统时间

发现目标机当前系统时间

发现

虚拟化/沙箱逃逸

通过判断sleep延时是否成功规避部分沙箱

收集

收集本地系统数据

收集系统版本、用户名、文件列表、文件等数据

收集

输入捕捉

捕获鼠标、键盘消息

收集

获取屏幕截图

获取屏幕截图

命令与控制

使用应用层协议

使用socket同C2通信

数据渗出

使用C2信道回传

数据同通过C2信道回传

 6.总结

Lazarus组织是半岛地区的顶尖黑客团伙,专注于针对特定目标进行长期的持续性网络攻击,以窃取资金和实现政治目的为出发点,是全球金融机构的最大威胁之一。此次攻击活动中Lazarus组织使用多阶段下载工具,并通过Dropbox获取C2地址,加大攻击载荷获取难度,同时样本中存在检测指定的杀软组件以及沙箱的行为,干扰分析。样本还利用fodhelper.exe绕过UAC提升恶意进程的权限,通过进程注入的方式以及更改Windows Defender的排除列表使攻击活动更难被发现。样本中检测的杀软ALyac以及Ahnlab均为韩国流行的杀软,结合诱饵文件的名称“Sogang KLEC.docx”以及诱饵文档正文中的图片可以推测出这是一起针对韩国的攻击活动。

参考资料

[1]     한국인터넷정보센터(KRNIC)를 사칭한 정보수집 악성 이메일 주의!! (변종 내용 추가)

https://blog.alyac.co.kr/4586

[2]     雪虐风饕:疑似Lazarus组织针对韩国企业的攻击活动分析

https://ti.qianxin.com/blog/articles/analysis-of-the-lazarus-group-attacks-on-korean-companies/


封面图.jpeg

1.概述

近期,安天CERT发现一起针对韩国的攻击活动,诱饵文档标题为“Sogang KLEC.docx”(西江大学韩国语言教育中心.docx)。对获取到的样本以及关联到的恶意载荷进行分析研判,最终将其关联到Lazarus组织。

Lazarus组织,又称为HIDDEN COBRA、APT38、Zinc、Guardians of Peace等,是半岛地区最活跃的APT组织之一。该组织的攻击目标涉及波兰、智利、美国、墨西哥、巴西等数十个国家,针对银行、比特币交易所等金融机构及个人实施定向攻击活动,以获取经济利益,堪称全球金融机构的最大威胁之一。此外,该组织还针对航空航天、COVID-19疫苗技术、政府、媒体等机构及企业进行渗透,以窃取重要资料并进行破坏勒索。

2.攻击流程

此次攻击活动的攻击流程大致如下所示:

1. 采用模板注入的方式,等待诱饵文档被打开后将攻击者构造的恶意模板下载到主机执行。

2. 模板中的宏代码请求指定的URL,下载恶意载荷并将其注入到WINWORD.exe中执行。

3. 下载到的恶意载荷主要用于释放下载工具IEUpdate.exe并执行,以及将其添加至注册表RUN中实现持久化。

4. IEUpdate.exe得到执行后发送消息获取后续通信使用的C2,根据回传的信息下载不同恶意载荷执行。

5. 目前已知存在两种载荷hvncengine.dll和shellengine.dll,用于与C2通信以实现远程控制。

2-1.png

图 2‑1 攻击流程示意图

3.样本分析

3.1诱饵文档

表 3‑1诱饵文档

病毒名称

Trojan/Generic.ASHMacro.7D6

原始文件名

Sogang   KLEC.docx

MD5

f1a61ee026eac8583ee840d297792478

文件大小

13.25 MB (13889306   bytes)

文件格式

Office Open XML   Document

利用漏洞

释放手法

远程模板注入

创建时间

2022-04-06   8:40:00 UTC

最后编辑时间

2022-08-05   2:40:00 UTC

创建者

最后保存者

exciting

正文国家语言

ko-KR

VT首次上传时间

2022-08-16   21:05:35 UTC

VT检测结果

16/65


通过公开情报平台的关联功能发现诱饵文档的下载链接,信息说明诱饵文档是在Naver Mail提供的大附件存储站点下载得到,猜测攻击者可能通过Naver Mail发送钓鱼邮件进行攻击。已知Naver Mail是由韩国互联网集团Naver Corporation提供的电子邮件服务。

3-1.jpg

图 3‑1 诱饵文档下载链接

SaniTOX为韩国Jiransecurity公司的一款安全防护软件,诱饵文档仿冒SaniTOX诱导受害者启用宏,恶意文档正文内容如下。

3-2.jpg

图 3‑2 此次攻击活动诱饵文档正文内容

对文档正文内容关联后发现,诱饵文档正文内容并非第一次出现。

3-3.jpg

图 3‑3 以往攻击活动诱饵文档正文内容[1]

攻击者使用Word模板注入的方式,在受害者打开诱饵文档后下载恶意模板执行,模板所在的地址为http://23.106.160.173/temp2.dotm。

3-4.jpg

图 3‑4 远程模板链接

3.2 模板文件

表 3‑2模板文件

病毒名称

Trojan/Generic.ASMacro.36F1B

原始文件名

D5583E63.dotm

MD5

8D7C3F3C56AD3069908901790ADFA826

文件大小

68.12 KB (69755   bytes)

文件格式

Office Open XML   Document

利用漏洞

释放手法

宏文档

创建时间

2022-07-31   2:45:00 UTC

最后编辑时间

2022-08-03   14:48:00 UTC

创建者

exciting

最后保存者

exciting

VT首次上传时间

2022-08-16   21:13:22 UTC

VT检测结果

37/65

 

模板中包含恶意宏代码,当打开文档后自动执行。宏代码主要功能为下载恶意载荷,若成功下载,便将下载到的恶意载荷注入到Winword程序中执行。

3-5.jpg

图 3‑5 下载恶意载荷

此函数将下载的恶意载荷注入到WinWord中执行。

3-6.png

图 3‑6 注入函数

注入到Winword进程中的恶意载荷运行后会在%LocalAppData%\Microsoft\PlayReady下释放IEUpdate.exe和error.log文件,之后通过fodhelper.exe绕过UAC提升IEUpdate.exe权限执行,error.log文件中记录了后续所需要访问的部分URL链接“s/ucnpe74wo87d3mm/server.txt?dl=0”。

3-7.jpg

图 3‑7 恶意载荷释放的文件以及error.log中的内容

修改注册表启动项实现持久化功能。

3-8.png

图 3‑8 将IEUpdate.exe文件添加到注册表RUN中

3.3 IEUpdate.exe 下载工具

表 3‑3二进制可执行文件

病毒名称

Trojan/Generic.ASMalwS.2D

原始文件名

IEUpdate.exe

MD5

c073012bc50b6a4f55f8edcce294a0b4

处理器架构

Intel   386 or later, and compatibles

文件大小

92.00   KB (94208 bytes)

文件格式

Win32   EXE

时间戳

2022-08-03   03:27:06 UTC

数字签名

加壳类型

编译语言

Microsoft   Visual C++ v.11 - 2012

VT首次上传时间

2022-08-16   21:13:22 UTC

VT检测结果

49/72

 首先判断自身所处路径是否包含“:\myapp.exe”,若包含则退出。

3-9.png

图 3‑9 判断自身所处路径

通过sleep设置延迟时间,判断延迟时间是否生效,以此绕过部分修改sleep时间的沙箱。

3-10.png

图 3‑10 沙箱检测

获取主硬盘的设备描述信息,并将其与“VDEVICE”进行拼接,拼接后的字符串通过CRC散列后与“0”进行拼接,格式为“0+CRC散列后的值”。

3-11.png

图 3‑11 获取主机信息并生成主机标识

通过在系统目录下创建目录,判断其是否具有管理员权限。

3-12.png

图 3‑12 权限判断

获取操作系统的版本信息。

3-13.png

图 3‑13 获取操作系统版本信息

获取进程快照,并判断当前运行的进程中,是否包含“v3l4sp.exe”、“AYAgent.aye”、“IEUpdate.exe”。其中“v3l4sp.exe”为韩国AhnLab公司免费杀毒软件V3 Lite的子程序,“AYAgent.aye”为韩国公司ESTsoft的互联网安全套件ALYac的一部分。

3-14.png

图 3‑14 检测指定杀软

如果存在路径为“%LocalAppData%\Microsoft\PlayReady\IEUpdate.exe”且进程ID与当前进程不符,则关闭先前的IEUpdate.exe进程。

3-15.png

图 3‑15 关闭先前进程

根据cmdline的参数中是否包含“/s”、“/a”来设置标记,并根据先前设置的管理员权限标记选择不同分支执行。

3-16.png

图 3‑16 根据参数设置标记

判断先前的提权操作是否成功。如果为管理员权限,则会通过PowerShell命令将自身添加到Windows Defender排除列表中。

3-17.png

图 3‑17 将此文件添加到Windows Defender白名单

如果非管理员权限,创建新线程并循环执行,具体如下所示。

3-18.png

图 3‑18 创建线程

线程创建另一个线程函数,该线程函数用作同C2进行通信。

首先将“dl.dropboxusercontent.com”与从error.log文件中获取到的内容进行拼接,并从拼接后形成的URL中获取接下来通信的C2地址。

3-19.png

图 3‑19 从Dropbox中获取C2地址

然后将操作系统版本信息、是否存在指定的杀软、先前生成的uid作为上线包回传。

3-20.png

图 3‑20 构造上线包

上线包回传函数,将收集到的信息发送到post2.php。

3-21.png

图 3‑21 发送上线包

随后从拼接的URL中接收数据,并对数据进行处理,获取数据中第三个“%”后的内容,并以“\r”、“\n”作为结束符。此内容将作为后续下载URL的资源地址。获取数字0-9的阿拉伯数字,经处理后得到指令ID。

3-22.jpg

图 3‑22 发送请求并接收C2的命令

循环执行下发的命令,并会判断是否重复执行。

3-23.png

图 3‑23 执行C2下发的命令

下载dll文件并选择导出函数执行。

3-24.png

图 3‑24 下载后续载荷执行

通过公开情报平台查找上述样本的信息,在诱饵文档关联的PCAP文件中发现两个文件,应为IEUpdate.exe下载的恶意载荷,它们具有相同的回传数据结构与解密算法。

表 3‑4回传数据结构

到数据头的偏移

长度   (byte)

解释

0x0

0xC

固定数据,解密后为)(*&POIU:LKJ

0xC

0x8

固定数据,按需可替换为接收的数据

0x14

0x4

该部分数据,根据执行的内容决定

0x18

0x4

回传数据的长度(size)

0x1C

size

回传的数据

0x1C+size

0xC

固定数据,解密后为^%$#YTREHGFD

在回传文件的过程中,回传数据结构会有适当调整,具体如下图所示。

表 3‑5文件回传数据结构

到数据头的偏移

长度   (byte)

解释

0x0

0xC

固定数据,解密后为)(*&POIU:LKJ

0xC

0x8

固定数据,按需可替换为接收的数据

0x14

0x8

整体文件大小

0x1C

0x4

文件路径长度

0x20

size1

文件路径(size1)

0x20+size1

0x8

当前文件指针的位置

0x28+size1

0x4

当前读取文件内容的大小(size2)

0x2C+size1

size2

读取的文件内容

0x2C+size1+size2

0xC

固定数据,解密后为^%$#YTREHGFD

 “)(*&POIU:LKJ”与“^%$#YTREHGFD”在键盘上的位置如下图所示。

3-25.png

图 3‑25 回传数据结构中的固定内容在键盘上的位置

3.4 hvncengine.dll hvnc

表 3‑6二进制可执行文件

病毒名称

Trojan/Generic.ASMalwS.2D

原始文件名

hvncengine.dll

MD5

5beade9f8191c6a9c47050d4e3771b80

处理器架构

Intel   386 or later, and compatibles

文件大小

77.00 KB (78848   bytes)

文件格式

Win32 DLL

时间戳

2022-08-03   03:30:53 UTC

数字签名

加壳类型

编译语言

Microsoft   Visual C++ v.7.10 - 11.0 - Visual 2012

VT首次上传时间

2022-08-16   21:15:12 UTC

VT检测结果

48/71

 恶意载荷存在两个导出函数SEEnd和SEStart。SEEnd用于关闭socket连接以及等待线程,SEStart为载荷主要功能,用于与C2通信实现hvnc功能。

样本运行后,首先和IEUpdate.exe一样生成带有主机标识的字符串。

3-26.png

图 3‑26 获取主机信息并生成主机标识

每隔十分钟,执行一次恶意功能。

3-27.png

图 3‑27 设置间隔时间

以上述带有主机标识的字符串作为名字创建桌面。

3-28.png

图 3‑28 新建桌面

进入线程函数后,与IEUpdate.exe一样,读取 “error.log”中的内容后与“dl.dropboxusercontent.com”拼接,通过GET请求获取C2地址,而后通过socket尝试连接。

3-29.png

图 3‑29 从Dropbox中获取C2并连接

如果连接成功的话,将通过socket发送先前生成的主机标识符,并设置当先线程与桌面的关联。

3-30.jpg

图 3‑30 发送特定字符串

依次从服务端接收命令,实现hvnc的功能。

3-31.png

图 3‑31 接收命令解析并执行

根据下发的命令,呈现不同的操作,逆向分析命令及对应功能大致如下所示。

表 3‑7命令及对应功能

命令

功能

0x1

持续发送截屏信息

0x2

停止发送截屏信息

0x3

执行下发的命令行

0x5

模拟键盘操作

0x6

模拟鼠标操作

0x7

打开explorer.exe,并设置始终显示任务栏

0x8

启动chrome.exe

 

3.5 shellengine.dll 后门

表 3‑8二进制可执行文件

病毒名称

Trojan/Generic.ASMalwS.2D

原始文件名

shellengine.dll

MD5

edaff44ac5242188d427755d2b2aff94

处理器架构

Intel   386 or later, and compatibles

文件大小

276.50   KB (283136 bytes)

文件格式

Win32   DLL

时间戳

2022-08-03   01:49:57 UTC

数字签名

加壳类型

编译语言

Microsoft   Visual C++ v.7.10 - 11.0 - Visual 2012

VT首次上传时间

2022-08-16   21:15:12 UTC

VT检测结果

42/71

 

收集主机信息并生成主机标识符。

3-32.png

图 3‑32 收集主机信息并生成主机标识符

创建管道用于与cmd.exe子进程通信。

3-33.png

图 3‑33 创建管道

创建线程,并将cmd.exe的返回结果回传到C2。

3-34.png

图 3‑34 获取cmd.exe执行的结果并回传

创建与C2通信并用于实现主要恶意功能的线程。

3-35.png

图 3‑35 实现恶意功能的线程

与之前两个样本相同,依旧是读取 “error.log”中的内容后与“dl.dropboxusercontent.com”拼接,从该地址处获取后续通信的C2,并尝试使用socket连接。

3-36.png

图 3‑36 从Dropbox中获取C2并连接

若可以建立socket连接,则接收服务端命令,根据命令实现不同恶意功能。

3-37.jpg

图 3‑37 根据指令实现不同恶意功能

根据下发的命令,呈现不同的操作,逆向分析命令及对应功能大致如下所示。

表 3‑9 命令及对应功能

命令

功能

0x1

根据接受的数据,改变回传数据结构的偏移0xC处的8个字节

0x2

重启cmd.exe进程或者通过cmd.exe执行命令行

0x4

获取磁盘列表或者获取指定目录下的子目录及文件名称列表

0x6

获取指定文件

0xA

获取截屏信息

0xB

设置标记,停止截屏

0xD

模拟鼠标点击

0xE

模拟鼠标移动

0xF

修改图像转换时的参数

0x14

将回传数据结构的偏移0xC处的8个字节改为样本中存储的数据

0x1E

回传chrome密钥

0x1F

获取指定目录下的文件

 4.溯源分析

通过pdb路径的相似性以及相同的自定义加密函数可以推测出攻击活动中涉及的3个PE文件应归属于同一个攻击者。又根据模板文件中包含的VBA代码以及IEUpdate.exe下载工具代码与Lazarus组织先前攻击活动中相应文件的代码具有很高的相似程度,推测本次攻击活动同样归属于Lazarus组织。

IEUpdate.exe、hvncengine.dll、shellengine.dll三个文件的pdb均在同一个目录下。

4-1.png

图 4‑1 IEUpdate.exe的pdb

4-2.png

图 4‑2 hvncengine.dll的pdb

4-3.png

图 4‑3 shellengine.dll的pdb

hvncengine.dll与shellengine.dll的自定义加密函数完全相同,但所用key不同。IEUpdate.exe和shellengine.dll的key为“LNfYIU”,hvncengine.dll的key为“WhdeEg”。

4-4.png

图 4‑4 自定义加密函数

带有恶意宏的模板文件和IEUpdate.exe下载工具与先前发现Lazarus组织的样本代码大部分相似。

4-5.png

图 4‑5 此次攻击活动涉及的vba代码

4-6.jpg

图 4‑6 以往攻击活动涉及的vba代码[2]

4-7.png

图 4‑7 此次攻击活动涉及的下载工具代码

4-8.jpg

图 4‑8 以往攻击活动中涉及的下载工具代码[2]

5.威胁框架映射

Lazarus组织相关攻击活动的行为技术点的ATT&CK框架图谱如下所示:

5-1.jpg

图 5‑1 Lazarus组织攻击活动对应ATT&CK威胁框架映射图

本次系列活动共涉及ATT&CK框架中11个阶段的28个技术点,具体行为描述如下表:

表 5‑1ATT&CK技术行为描述表

ATT&CK阶段/类别

具体行为

注释

资源开发

获取基础设施

利用DropBox存放后续连接的C2地址

初始访问

网络钓鱼

猜测可能利用钓鱼邮件传播诱饵文件

初始访问

水坑攻击

猜测可能通过水坑攻击传播诱饵文件

执行

利用进程间通信

shellengine.dll后门可通过管道执行cmd命令

执行

诱导用户执行

诱导用户打开攻击者构造的诱饵文档

持久化

利用自动启动执行引导或登录

通过修改注册表启动项实现持久化

提权

滥用提升控制权限机制

通过fodhelper.exe绕过UAC

提权

进程注入

将IEUpdate.exe注入到WINWORD.exe进程

防御规避

滥用提升控制权限机制

通过fodhelper.exe绕过UAC

防御规避

反混淆/解码文件或信息

样本种的关键字符串通过自定义算法加密

防御规避

削弱防御机制

修改Windows Defender的白名单

防御规避

进程注入

将IEUpdate.exe注入到WINWORD.exe进程

防御规避

模板注入

利用模板注入加载远程恶意模板执行

防御规避

虚拟化/沙箱逃逸

通过判断sleep延时是否成功规避部分沙箱

凭证访问

窃取Web会话cookie

窃取chrome cookie

发现

发现应用程序窗口

发现应用程序窗口,便于实现远程桌面控制

发现

发现文件和目录

发现目标机中的文件和目录

发现

发现进程

发现目标机中的进程信息

发现

查询注册表

发现目标机

发现

发现系统信息

发现目标机的系统版本等信息

发现

发现系统所有者/用户

发现目标机的当前用户

发现

发现系统时间

发现目标机当前系统时间

发现

虚拟化/沙箱逃逸

通过判断sleep延时是否成功规避部分沙箱

收集

收集本地系统数据

收集系统版本、用户名、文件列表、文件等数据

收集

输入捕捉

捕获鼠标、键盘消息

收集

获取屏幕截图

获取屏幕截图

命令与控制

使用应用层协议

使用socket同C2通信

数据渗出

使用C2信道回传

数据同通过C2信道回传

 6.总结

Lazarus组织是半岛地区的顶尖黑客团伙,专注于针对特定目标进行长期的持续性网络攻击,以窃取资金和实现政治目的为出发点,是全球金融机构的最大威胁之一。此次攻击活动中Lazarus组织使用多阶段下载工具,并通过Dropbox获取C2地址,加大攻击载荷获取难度,同时样本中存在检测指定的杀软组件以及沙箱的行为,干扰分析。样本还利用fodhelper.exe绕过UAC提升恶意进程的权限,通过进程注入的方式以及更改Windows Defender的排除列表使攻击活动更难被发现。样本中检测的杀软ALyac以及Ahnlab均为韩国流行的杀软,结合诱饵文件的名称“Sogang KLEC.docx”以及诱饵文档正文中的图片可以推测出这是一起针对韩国的攻击活动。

参考资料

[1]     한국인터넷정보센터(KRNIC)를 사칭한 정보수집 악성 이메일 주의!! (변종 내용 추가)

https://blog.alyac.co.kr/4586

[2]     雪虐风饕:疑似Lazarus组织针对韩国企业的攻击活动分析

https://ti.qianxin.com/blog/articles/analysis-of-the-lazarus-group-attacks-on-korean-companies/


1.概述

近日,安天CERT捕获到了Jester黑客团伙开发售卖的Lilith僵尸网络。该僵尸网络除了具备该团伙开发售卖的窃密木马、剪贴板劫持器、挖矿木马等恶意代码的功能外,还增加了持久化及远控功能,对用户造成机密数据泄露、虚拟财产损失、系统资源耗尽等威胁。

安天CERT曾于2022年5月发布了《活跃的Jester Stealer窃密木马及其背后的黑客团伙分析》[1],报告中详细分析了Jester黑客团伙开发售卖的Jester Stealer窃密木马、Merlynn Cliper剪贴板劫持器等多个恶意代码。结合本次捕获到的Lilith僵尸网络样本,可以看到黑客团伙为了追求利益最大化,正在开发更多类型的恶意代码满足攻击者的需求,并且不断增加新的恶意功能、订阅模式以获取更高收益。在商业化恶意代码竞争激烈的环境下,攻击者发动网络攻击的平均成本和技术门槛被进一步降低,可以预见未来网络攻击的数量仍会不断增加,给网络安全行业带来更加严峻的挑战。

经验证,安天智甲终端防御系统(简称IEP)可实现对该僵尸网络程序的有效查杀,安天探海威胁检测系统(简称PTD)能够实现对该僵尸网络C2通信的精准检测。

2.样本对应的ATT&CK映射图谱

样本对应的技术特点分布图:

2-1.png

图 2‑1技术特点对应ATT&CK的映射

具体ATT&CK技术行为描述表:

ATT&CK阶段/类别

具体行为

注释

资源开发

获取基础设施

搭建C2服务器

能力开发

开发恶意软件

环境整备

利用Github托管文件

初始访问

网络钓鱼

利用网络钓鱼传播

执行

诱导用户执行

诱导用户执行

持久化

利用自动启动执行引导或登录

将自身复制到启动目录下

提权

滥用提升控制权限机制

绕过UAC

防御规避

反混淆/解码文件或信息

解密C2地址配置

隐藏行为

隐藏行为

修改注册表

修改注册表

混淆文件或信息

混淆文件或信息

凭证访问

从存储密码的位置获取凭证

从存储密码的位置获取凭证

操作系统凭证转储

操作系统凭证转储

窃取Web会话Cookie

窃取Web会话Cookie

发现

发现账户

发现当前用户名

发现应用程序窗口

发现应用程序窗口

发现浏览器书签

发现浏览器书签

发现文件和目录

发现文件和目录

发现进程

发现进程

查询注册表

查询注册表

发现软件

发现软件

发现系统信息

发现系统信息

发现系统网络配置

发现系统网络配置

收集

压缩/加密收集的数据

窃密组件将数据打包为ZIP

自动收集

自动收集数据

收集剪贴板数据

读取剪贴板

收集本地系统数据

收集本地系统数据

收集电子邮件

收集电子邮件

获取屏幕截图

获取屏幕截图

命令与控制

使用应用层协议

使用HTTP协议

编码数据

使用Base64编码上线包

使用加密信道

使用AES加密通信数据

使用代理

使用Tor代理

数据渗出

自动渗出数据

自动渗出数据

使用C2信道回传

使用与C2相同信道回传

影响

操纵数据

修改剪贴板

网络侧拒绝服务(DoS)

发起DDoS攻击

资源劫持

执行挖矿程序

3.防护建议

为有效防御此类恶意代码,提升安全防护水平,安天建议企业采取如下防护措施:

3.1 提升主机安全防护能力

(1)安装终端防护系统:安装反病毒软件,建议安装安天智甲终端防御系统;

(2)加强口令强度:避免使用弱口令,建议使用16位或更长的密码,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令;

(3)部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对恶意代码的发现与追踪溯源。安天探海威胁检测系统(PTD)以网络流量为检测分析对象,能精准检测出已知海量恶意代码和网络攻击活动,有效发现网络可疑行为、资产和各类未知威胁;

3.2 提高网络安全防护意识

(1)接收邮件时要确认发送来源是否可靠,避免打开可疑邮件中的网址和附件;

(2)建议使用沙箱环境执行可疑的文件,在确保安全的情况下再使用主机执行。安天追影威胁分析系统(PTA)采用深度静态分析与沙箱动态加载执行的组合机理,可有效检出分析鉴定各类已知与未知威胁。

3.3 遭受攻击及时发起应急响应

联系应急响应团队:若遭受恶意软件攻击,建议及时隔离被攻击主机,并保护现场等待安全工程师对计算机进行排查;安天7*24小时服务热线:400-840-9234。

经验证,安天智甲终端防御系统(简称IEP)可实现对该僵尸网络的有效查杀。

3-1.jpg

图 3‑1 安天智甲为用户终端提供有效防护

4.Lilith僵尸网络分析

4.1 样本标签

表 4‑1二进制可执行文件

病毒名称

Trojan/Win32.Botnet

原始文件名

EXPLORER.EXE

MD5

1CAE8559447370016FF20DA8F717DB53

处理器架构

Advanced Micro Devices X86-64

文件大小

492.20 KB (504,008字节)

文件格式

BinExecute/Microsoft.EXE[:X64]

时间戳

2089-09-02 08:22:23 UTC(伪造)

数字签名

无效

加壳类型

编译语言

.NET

VT首次上传时间

2022-06-21 19:16:14 UTC

VT检测结果

46/71

4.2 详细分析

生成GUID作为被感染设备的用户ID并以此创建互斥量。

4-1.png

图 4‑1生成用户ID

将用户ID加密存储在注册表中。

4-2.png

图 4‑2将用户ID存储于注册表中

解密配置信息,获取C2地址、通信密钥和僵尸网络代号。

4-3.png图 4‑3解密配置信息

将自身复制到“启动”目录下,实现持久化。

4-4.png

图 4‑4设置持久化启动

C2服务器返回的信息均采用AES-256-CBC加密,其AES加密密钥由密钥派生算法PBKDF2(Password-Based Key Derivation Function 2)生成,具体在算法中采用的安全散列算法为SHA-512,口令(Passphrase)为样本中硬编码的“c4d8c7f433c1e79afe4eff3a4b05c7c9”,盐值(Salt)为用户ID,迭代轮数(Iterations)为1000轮。

4-5.png

图 4‑5生成通信密钥

循环检查网络连接,可联网后向C2服务器http://45.9.148.203:4545/gate/

4-6.png

图 4‑6发送上线包

连接http://45.9.148.203:4545/gate/

4-7.png

图 4‑7获取到的配置信息

根据配置信息每间隔一段时间连接http://45.9.148.203:4545/gate/

4-8.png

图 4‑8解析远控指令的相关代码

Lilith僵尸网络具备DDoS攻击、视频“刷数据”、窃密、挖矿、内网扫描、远程控制等功能,详细的控制指令如下。

DDoS攻击

表 4‑2 DDoS攻击指令

指令

说明

DDOS:HttpGET:链接

生成随机请求参数,发起HTTP GET泛洪攻击

DDOS:HttpPOST:链接

生成随机数据包,发起HTTP POST泛洪攻击

DDOS:TCPFlood:主机\:端口

向指定主机端口发起TCP泛洪攻击,未指定端口时默认为80

DDOS:UDPFlood:主机\:端口

向指定主机端口发起UDP泛洪攻击,未指定端口时默认为80

DDOS:StopAttacks

停止正在进行的DDoS攻击

视频“刷数据”

表 4‑3视频“刷数据”功能指令

指令

说明

Advertising:YouTube_ViewVideo:视频链接

通过后台无声播放指定网络视频,给视频刷播放量

Advertising:YouTube_ViewStream:直播链接

通过后台无声播放指定网络直播,给直播刷浏览量

Advertising:YouTube_Subscribe:频道链接

利用用户浏览器Cookie的登录信息订阅指定视频频道,刷订阅量

Advertising:YouTube_Like:视频链接

利用用户浏览器Cookie的登录信息为指定的网络视频点赞

Advertising:YouTube_Dislike:视频链接

利用用户浏览器Cookie的登录信息为指定的网络视频点踩

挖矿、窃密、远控、扫描

表 4‑4挖矿、窃密、远控、扫描功能指令

指令

说明

Miner:StartMiner

启动挖矿程序

Miner:StopMiner

停止挖矿程序

Stealer:RecoverCredentials:开启增强模式

窃取并回传系统中的密码凭据及数字资产等,增强模式会窃取浏览器书签

HVNC:Start:参数1:参数2

下载并使用参数启动HVNC远程控制工具

NetDiscover:ScanNetwork

内网主机扫描

程序下发、自更新、卸载等

表 4‑5 程序下发及维护指令

指令

说明

Dropper:DownloadExecute:下载链接:开启管理员权限:开启绕过UAC功能

下载并执行程序,后两个参数值为true或false,表示对应功能开启或关闭

Dropper:ExecuteScript:脚本内容:脚本类型

将脚本内容写入%Temp%并执行,脚本类型可为BAT或PS1

Lilith:UpdateConfiguration

重新获取配置信息

Lilith:UpdateClient:链接

下载并更新僵尸网络程序

Lilith:ExitClient

结束僵尸网络程序

Lilith:DeleteClient

卸载僵尸网络程序

5.关联分析

通过对样本的关联分析发现,本次分析的Lilith僵尸网络是由此前安天跟踪分析的Jester黑客团伙开发售卖。该黑客团伙将开发的所有恶意软件进行功能整合,以较高的价格打包售卖,形成了Lilith僵尸网络。

5-1.png

图 5‑1 Jester黑客团伙发布的Lilith僵尸网络售卖广告页面

Jester黑客团伙后续因多次被其他黑客冒充实施诈骗而被多个黑客论坛封禁,因此Jester黑客团伙于2022年2月更名为Eternity继续进行恶意软件售卖,同时还改变了运营策略,使僵尸网络程序只包含远控、DDoS等功能,其他功能单独购买再下发执行,而非必须捆绑购买。

5-2.jpg

图 5‑2 Jester组织改名为Eternity

6.总结

Lilith僵尸网络除了具备持久化、远程控制等功能,还集成了Jester黑客团伙开发的窃密木马、剪贴板劫持器、挖矿木马等恶意代码的全部恶意功能,对用户系统安全造成极大的威胁。Jester黑客团伙为了追求更大利益,在持续开发更多恶意功能的同时,还在不断调整运营策略,未来可能会演进为更具威胁的黑客团伙。

安天CERT将会继续追踪该黑客团伙的相关技术变化和特点,并提供相应的解决方案。安天智甲终端防御系统(IEP)不仅具备病毒查杀、主动防御等功能,而且提供终端管控、网络管控等能力,能够有效防御此类威胁攻击,保障用户数据安全。

7.IoCs

1CAE8559447370016FF20DA8F717DB53

45.9.148.203:4545

附录:参考资料

[1]      活跃的Jester Stealer窃密木马及其背后的黑客团伙分析

https://www.antiy.cn/research/notice&report/research_report/20220510.html

 

1.概述

近日,安天CERT捕获到了Jester黑客团伙开发售卖的Lilith僵尸网络。该僵尸网络除了具备该团伙开发售卖的窃密木马、剪贴板劫持器、挖矿木马等恶意代码的功能外,还增加了持久化及远控功能,对用户造成机密数据泄露、虚拟财产损失、系统资源耗尽等威胁。

安天CERT曾于2022年5月发布了《活跃的Jester Stealer窃密木马及其背后的黑客团伙分析》[1],报告中详细分析了Jester黑客团伙开发售卖的Jester Stealer窃密木马、Merlynn Cliper剪贴板劫持器等多个恶意代码。结合本次捕获到的Lilith僵尸网络样本,可以看到黑客团伙为了追求利益最大化,正在开发更多类型的恶意代码满足攻击者的需求,并且不断增加新的恶意功能、订阅模式以获取更高收益。在商业化恶意代码竞争激烈的环境下,攻击者发动网络攻击的平均成本和技术门槛被进一步降低,可以预见未来网络攻击的数量仍会不断增加,给网络安全行业带来更加严峻的挑战。

经验证,安天智甲终端防御系统(简称IEP)可实现对该僵尸网络程序的有效查杀,安天探海威胁检测系统(简称PTD)能够实现对该僵尸网络C2通信的精准检测。

2.样本对应的ATT&CK映射图谱

样本对应的技术特点分布图:

2-1.png

图 2‑1技术特点对应ATT&CK的映射

具体ATT&CK技术行为描述表:

ATT&CK阶段/类别

具体行为

注释

资源开发

获取基础设施

搭建C2服务器

能力开发

开发恶意软件

环境整备

利用Github托管文件

初始访问

网络钓鱼

利用网络钓鱼传播

执行

诱导用户执行

诱导用户执行

持久化

利用自动启动执行引导或登录

将自身复制到启动目录下

提权

滥用提升控制权限机制

绕过UAC

防御规避

反混淆/解码文件或信息

解密C2地址配置

隐藏行为

隐藏行为

修改注册表

修改注册表

混淆文件或信息

混淆文件或信息

凭证访问

从存储密码的位置获取凭证

从存储密码的位置获取凭证

操作系统凭证转储

操作系统凭证转储

窃取Web会话Cookie

窃取Web会话Cookie

发现

发现账户

发现当前用户名

发现应用程序窗口

发现应用程序窗口

发现浏览器书签

发现浏览器书签

发现文件和目录

发现文件和目录

发现进程

发现进程

查询注册表

查询注册表

发现软件

发现软件

发现系统信息

发现系统信息

发现系统网络配置

发现系统网络配置

收集

压缩/加密收集的数据

窃密组件将数据打包为ZIP

自动收集

自动收集数据

收集剪贴板数据

读取剪贴板

收集本地系统数据

收集本地系统数据

收集电子邮件

收集电子邮件

获取屏幕截图

获取屏幕截图

命令与控制

使用应用层协议

使用HTTP协议

编码数据

使用Base64编码上线包

使用加密信道

使用AES加密通信数据

使用代理

使用Tor代理

数据渗出

自动渗出数据

自动渗出数据

使用C2信道回传

使用与C2相同信道回传

影响

操纵数据

修改剪贴板

网络侧拒绝服务(DoS)

发起DDoS攻击

资源劫持

执行挖矿程序

3.防护建议

为有效防御此类恶意代码,提升安全防护水平,安天建议企业采取如下防护措施:

3.1 提升主机安全防护能力

(1)安装终端防护系统:安装反病毒软件,建议安装安天智甲终端防御系统;

(2)加强口令强度:避免使用弱口令,建议使用16位或更长的密码,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令;

(3)部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对恶意代码的发现与追踪溯源。安天探海威胁检测系统(PTD)以网络流量为检测分析对象,能精准检测出已知海量恶意代码和网络攻击活动,有效发现网络可疑行为、资产和各类未知威胁;

3.2 提高网络安全防护意识

(1)接收邮件时要确认发送来源是否可靠,避免打开可疑邮件中的网址和附件;

(2)建议使用沙箱环境执行可疑的文件,在确保安全的情况下再使用主机执行。安天追影威胁分析系统(PTA)采用深度静态分析与沙箱动态加载执行的组合机理,可有效检出分析鉴定各类已知与未知威胁。

3.3 遭受攻击及时发起应急响应

联系应急响应团队:若遭受恶意软件攻击,建议及时隔离被攻击主机,并保护现场等待安全工程师对计算机进行排查;安天7*24小时服务热线:400-840-9234。

经验证,安天智甲终端防御系统(简称IEP)可实现对该僵尸网络的有效查杀。

3-1.jpg

图 3‑1 安天智甲为用户终端提供有效防护

4.Lilith僵尸网络分析

4.1 样本标签

表 4‑1二进制可执行文件

病毒名称

Trojan/Win32.Botnet

原始文件名

EXPLORER.EXE

MD5

1CAE8559447370016FF20DA8F717DB53

处理器架构

Advanced Micro Devices X86-64

文件大小

492.20 KB (504,008字节)

文件格式

BinExecute/Microsoft.EXE[:X64]

时间戳

2089-09-02 08:22:23 UTC(伪造)

数字签名

无效

加壳类型

编译语言

.NET

VT首次上传时间

2022-06-21 19:16:14 UTC

VT检测结果

46/71

4.2 详细分析

生成GUID作为被感染设备的用户ID并以此创建互斥量。

4-1.png

图 4‑1生成用户ID

将用户ID加密存储在注册表中。

4-2.png

图 4‑2将用户ID存储于注册表中

解密配置信息,获取C2地址、通信密钥和僵尸网络代号。

4-3.png图 4‑3解密配置信息

将自身复制到“启动”目录下,实现持久化。

4-4.png

图 4‑4设置持久化启动

C2服务器返回的信息均采用AES-256-CBC加密,其AES加密密钥由密钥派生算法PBKDF2(Password-Based Key Derivation Function 2)生成,具体在算法中采用的安全散列算法为SHA-512,口令(Passphrase)为样本中硬编码的“c4d8c7f433c1e79afe4eff3a4b05c7c9”,盐值(Salt)为用户ID,迭代轮数(Iterations)为1000轮。

4-5.png

图 4‑5生成通信密钥

循环检查网络连接,可联网后向C2服务器http://45.9.148.203:4545/gate/

4-6.png

图 4‑6发送上线包

连接http://45.9.148.203:4545/gate/

4-7.png

图 4‑7获取到的配置信息

根据配置信息每间隔一段时间连接http://45.9.148.203:4545/gate/

4-8.png

图 4‑8解析远控指令的相关代码

Lilith僵尸网络具备DDoS攻击、视频“刷数据”、窃密、挖矿、内网扫描、远程控制等功能,详细的控制指令如下。

DDoS攻击

表 4‑2 DDoS攻击指令

指令

说明

DDOS:HttpGET:链接

生成随机请求参数,发起HTTP GET泛洪攻击

DDOS:HttpPOST:链接

生成随机数据包,发起HTTP POST泛洪攻击

DDOS:TCPFlood:主机\:端口

向指定主机端口发起TCP泛洪攻击,未指定端口时默认为80

DDOS:UDPFlood:主机\:端口

向指定主机端口发起UDP泛洪攻击,未指定端口时默认为80

DDOS:StopAttacks

停止正在进行的DDoS攻击

视频“刷数据”

表 4‑3视频“刷数据”功能指令

指令

说明

Advertising:YouTube_ViewVideo:视频链接

通过后台无声播放指定网络视频,给视频刷播放量

Advertising:YouTube_ViewStream:直播链接

通过后台无声播放指定网络直播,给直播刷浏览量

Advertising:YouTube_Subscribe:频道链接

利用用户浏览器Cookie的登录信息订阅指定视频频道,刷订阅量

Advertising:YouTube_Like:视频链接

利用用户浏览器Cookie的登录信息为指定的网络视频点赞

Advertising:YouTube_Dislike:视频链接

利用用户浏览器Cookie的登录信息为指定的网络视频点踩

挖矿、窃密、远控、扫描

表 4‑4挖矿、窃密、远控、扫描功能指令

指令

说明

Miner:StartMiner

启动挖矿程序

Miner:StopMiner

停止挖矿程序

Stealer:RecoverCredentials:开启增强模式

窃取并回传系统中的密码凭据及数字资产等,增强模式会窃取浏览器书签

HVNC:Start:参数1:参数2

下载并使用参数启动HVNC远程控制工具

NetDiscover:ScanNetwork

内网主机扫描

程序下发、自更新、卸载等

表 4‑5 程序下发及维护指令

指令

说明

Dropper:DownloadExecute:下载链接:开启管理员权限:开启绕过UAC功能

下载并执行程序,后两个参数值为true或false,表示对应功能开启或关闭

Dropper:ExecuteScript:脚本内容:脚本类型

将脚本内容写入%Temp%并执行,脚本类型可为BAT或PS1

Lilith:UpdateConfiguration

重新获取配置信息

Lilith:UpdateClient:链接

下载并更新僵尸网络程序

Lilith:ExitClient

结束僵尸网络程序

Lilith:DeleteClient

卸载僵尸网络程序

5.关联分析

通过对样本的关联分析发现,本次分析的Lilith僵尸网络是由此前安天跟踪分析的Jester黑客团伙开发售卖。该黑客团伙将开发的所有恶意软件进行功能整合,以较高的价格打包售卖,形成了Lilith僵尸网络。

5-1.png

图 5‑1 Jester黑客团伙发布的Lilith僵尸网络售卖广告页面

Jester黑客团伙后续因多次被其他黑客冒充实施诈骗而被多个黑客论坛封禁,因此Jester黑客团伙于2022年2月更名为Eternity继续进行恶意软件售卖,同时还改变了运营策略,使僵尸网络程序只包含远控、DDoS等功能,其他功能单独购买再下发执行,而非必须捆绑购买。

5-2.jpg

图 5‑2 Jester组织改名为Eternity

6.总结

Lilith僵尸网络除了具备持久化、远程控制等功能,还集成了Jester黑客团伙开发的窃密木马、剪贴板劫持器、挖矿木马等恶意代码的全部恶意功能,对用户系统安全造成极大的威胁。Jester黑客团伙为了追求更大利益,在持续开发更多恶意功能的同时,还在不断调整运营策略,未来可能会演进为更具威胁的黑客团伙。

安天CERT将会继续追踪该黑客团伙的相关技术变化和特点,并提供相应的解决方案。安天智甲终端防御系统(IEP)不仅具备病毒查杀、主动防御等功能,而且提供终端管控、网络管控等能力,能够有效防御此类威胁攻击,保障用户数据安全。

7.IoCs

1CAE8559447370016FF20DA8F717DB53

45.9.148.203:4545

附录:参考资料

[1]      活跃的Jester Stealer窃密木马及其背后的黑客团伙分析

https://www.antiy.cn/research/notice&report/research_report/20220510.html

 

1.概述

近期,畅捷通T+软件的0day漏洞,被“魔笛”黑客组织利用进行勒索攻击活动,引起较大社会影响。安天积极跟进支持主管部门工作,在事件、样本分析和漏洞机理复现等工作提供技术支撑,并呈报相关产品漏洞。与此同时,协助客户排查软件资产,第一时间自测AVL SDK反病毒引擎、智甲云主机防护、智甲端点防护、青竹WAF等产品对威胁防护的有效性,快速进行规则部署和能力升级等工作,协助客户防患于未然。

根据加密文件后缀、赎金金额、勒索信等关联信息,推测攻击者使用的勒索软件属于Tellyouthepass勒索软件家族。该勒索软件采用“AES+RSA”加密算法,在被加密文件原文件后追加“.locked”的后缀,在桌面和所有含有被加密文件的路径下创建名为“READ_ME.html”的勒索信,向受害者索要0.2 BTC的赎金。

安天CERT使用安天威胁情报综合分析平台对该事件的IoC进行分析,发现了该组织的历史活动以及本次活动使用的更多IoC。结合该组织的攻击手法、攻击技术、工具信息和攻击目的,推测该组织为来自国内的黑产组织。在历史活动中,该组织以挖矿攻击为主,以谋取金钱为攻击目的,主要使用Gh0st远控对目标进行控制,并善于使用各类黑客工具,安天将该组织命名为“魔笛”。由于网上关联信息追溯显示,由于此前出现过攻击者售卖国内部分企业SaaS服务攻击入口等信息。因此在本次攻击活动,可能存在上下游协作关系,不排除“魔笛”黑客组织可能从其他攻击者或攻击组织获知/购买了畅捷通T+的漏洞和利用方式,以及存在漏洞的主机清单等信息,并依此投放勒索程序进行攻击。

经验证,安天智甲终端防御系统(EPP)的勒索软件防护模块,在不进行升级的情况下,依然可以有效阻止攻击者所投放的Tellyouthepass勒索软件的加密行为;安天智甲云主机安全系统(CWPP)能够从资产和漏洞两个维度进行威胁检测,可以有效加固服务器、云主机及容器,提升SaaS化软件的威胁感知能力,用户可升级到最新的规则库版本检测防范对应威胁;安天青竹应用防火墙(WAF)对任意文件上传漏洞和恶意shellcode的加载有一定广谱拦截能力,用户可升级到最新的规则库版本,即使在畅捷通软件没有升级到最新补丁的情况下,通过在服务器前端部署安天青竹防火墙也可以实现对相关漏洞利用的拦截。

攻击者利用任意文件上传漏洞,上传后门到畅捷通Web服务后端特定路径。当后门接收到“/Load.aspx”路径的HTTP请求时,使用AES算法解密请求内容中的远程代码并加载执行,实现在未经授权的情况下远程访问畅捷通T+的Web服务端口,实现加密勒索的攻击目的。根据加密文件后缀、赎金金额、勒索信等关联信息,推测攻击者使用的勒索软件属于Tellyouthepass勒索软件家族。该勒索软件采用“AES+RSA”加密算法,在被加密文件原文件后追加“.locked”的后缀,在桌面和所有含有被加密文件的路径下创建名为“READ_ME.html”的勒索信,向受害者索要0.2 BTC的赎金。

2.事件对应的ATT&CK映射图谱

安天CERT梳理得到本次攻击事件对应的ATT&CK映射图谱,如下图所示:

2-1.png

图 2‑1技术特点对应ATT&CK的映射

本次事件中攻击者使用的技术点如下表所示:

表 2‑1 ATT&CK技术行为描述表

ATT&CK阶段/类别

具体行为

注释

资源开发

获取基础设施

获取C2服务器

环境整备

搭建C2环境

初始访问

利用外部远程服务

利用公开Web服务

执行

利用主机软件漏洞执行

利用漏洞执行

提权

利用漏洞提权

利用漏洞提权

防御规避

反混淆/解码文件或信息

解密载荷

隐藏行为

后台执行

混淆文件或信息

加密载荷

发现

发现文件和目录

发现待加密文件

影响

造成恶劣影响的数据加密

对数据进行加密

3.漏洞机理分析

畅捷通T+是一款基于互联网的企业管理软件,协助企业提升办公效率。通过对攻击链路进行复盘,确认攻击者利用了畅捷通T+存在的任意文件上传漏洞。该漏洞允许未经身份认证的远程攻击者通过构造特定请求,可上传恶意文件(如WebShell)至目标系统,从而执行任意代码。漏洞影响范围为畅捷通T+ <= v17.0。

造成漏洞的原因是Upload.aspx文件对用户上传的内容验证不足,攻击者可借此直接绕过权限认证,从而实现任意文件上传。安天CERT已对漏洞进行复现,具体利用细节暂不公开。

3-1.jpg

图 3‑1 漏洞复现

4.样本分析

4.1 样本标签

表 4‑1二进制可执行文件

病毒名称

Trojan[Backdoor]/Win32.loader

原始文件名

App_Web_load.aspx.cdcab7d2.dll

MD5

45625D6092A287284CD71AF690C5C393

处理器架构

Intel 386 or later, and compatibles

文件大小

5.50 KB (5632字节)

文件格式

BinExecute/Microsoft.EXE[:X86]

时间戳

2022-08-27 14:51:15 UTC

数字签名

加壳类型

编译语言

ASP.NET

VT首次上传时间

2022-08-29 13:23:16 UTC

VT检测结果

13/68

4.2 详细分析

监听HTTP请求路径“/Load.aspx”,将对应请求交由Load.aspx模块处理。

4-1.png

图 4‑1加载Load.aspx模块

对应的xml配置文件中,将自身文件配置为了Load.aspx虚拟路径,用于处理上述请求。

4-2.png

图 4‑2配置文件

处理函数会使用AES算法解密载荷并加载,创建其中类名为“U”的类的实例,执行请求中的代码。

4-3.png

图 4‑3解密载荷并加载执行

5.关联分析

根据友商跟踪入侵日志披露的攻击域名llw0.com[3],安天基于TID威胁情报综合分析平台对该事件的IoC进行分析,发现了该组织的历史活动以及本次活动使用的更多IoC。结合“魔笛”组织的攻击手法、攻击技术、工具信息和攻击目的,推测该组织为来自国内的黑产组织。通过目前关联到的最早的C2分析,该组织可能最早于2017年就开始相关活动。在历史活动中,该组织以挖矿攻击为主,以谋取金钱为攻击目的,主要使用Gh0st远控对目标进行控制,并善于使用各类黑客工具。在本次攻击活动中,“魔笛”组织可能从某处获知了某国产财务软件的漏洞后,利用既往经验和资源继续发动攻击投放勒索程序以谋取钱财。

5-1.png

图 5‑1TID威胁情报综合分析平台

基于关联分析梳理该组织历史攻击活动时间轴如下:

5-2.png

图 5‑2 该组织历史攻击活动时间轴

5.1 本次勒索事件域名llw0.com

用来进行样本传播的域名llw0.com于2019年注册,当前的解析地址为222.101.150.248,从域名解析情况分析此IP是一个虚拟主机。

5-3.png

图 5‑3 llw0.com域名注册信息

该域名下挂载大量恶意文件,主要包括Gh0st远控木马、挖矿木马、勒索软件和提权工具。根据文件名显示,该组织可能曾利用log4j的漏洞进行攻击。

5-4.png

图 5‑4llw0.com域名关联信息

该域名拥有大量子域名,其中域名xd.llw0.com和up.llw0.com曾解析到两个IP43.129.68.31,51.81.145.78,两台服务器下直接挂有漏洞利用载荷(CVE-2017-0213)以供下载。

5-5.png

图 5‑5 llw0.com子域名信息

5.2 关联2019年的挖矿攻击活动

多个llw0.com的子域名历史曾解析到61.132.226.130,该服务器为攻击者所有。而mdzz2022.msns.cn、mdzz2023.msns.cn也曾解析到该IP,并且多个Gh0st远控木马与两个域名进行通信,因此mdzz的两个域名极大概率也属于该组织。

5-6.png

图 5‑6 61.132.226.130关联信息

除此之外,在对这两个mdzz子域名分析时,发现其兄弟域名mdzz2018.msns.cn出现在相关报告中,报告中披露的攻击事件同样为挖矿事件,该域名相关的恶意代码也是大量挖矿木马和Gh0st远控,因此该以上mdzz相关域名很可能也是该组织的C2资产。

5-7.png

图 5‑7 公开报告提及mdzz2018.msns.cn域名与挖矿攻击相关

5.3 关联2019年利用永恒之蓝SMB漏洞投放Gh0stRAT变种木马

up.llw0.com子域名在2020年7月曾解析至61.183.237.30,而mdzz2020.noip.cn同年8月也解析到61.183.237.30。mdzz2020.noip.cn相关的文件同样多数为远控木马,结合上节mdzz域名命名特点,mdzz2020.noip.cn很可能同为攻击组织资产。

5-8.png

图 5‑8 61.183.237.30IP解析域名

同样对mdzz2020.noip.cn域名分析,我们发现其存在兄弟域名mdzz2019.noip.cn,该域名曾被国外安全机构在2019年的分析报告中披露,该域名是变种Gh0st远控的C2地址。

5-9.png

图 5‑9 mdzz2019.noip.cn被披露是变种Gh0st远控的C2

5.4 关联2020年MSSQL服务器爆破挖矿事件

多个llw0.com子域名还曾解析到116.255.235.123,且存在大量相关恶意代码与该IP通信,该地址为攻击者所有。

5-10.png

图 5‑10 116.255.235.123 IP关联信息

5-11.png

图 5‑11 与116.255.235.123 IP通信的恶意代码

该IP在2020年解析域名bjcptj.com,域名为2021年注册。在域名上挂载,与该域名通信的相关恶意文件很多,多为后门和提权工具。

5-12.png

图 5‑12 bjcptj.com域名注册信息

该域名在2020年曾被国内安全团队披露,是针对MS SQL服务器进行爆破投放的挖矿木马的C2。

5-13.png

图 5‑13 公开报告披露该域名与挖矿事件相关

6.勒索软件概览

表 6‑1勒索软件概览

出现时间

2019年

加密算法

AES+RSA

加密系统

Windows、Linux

加密文件命名方式

原文件名+.locked

联系方式

通过勒索信中的邮箱与攻击者进行联系([email protected]

加密文件类型

加密指定格式的文件(特定格式包括*.docx、*.doc、*.docm、*.pdf、*.xlsx等)

勒索币种与金额

0.2 BTC(目前约合27,439元人民币)

是否有针对性

能否解密

是否内网传播

勒索信界面

6-1表格里的勒索信界面.png6-1表格里的勒索信界面.png

通过查询攻击者在勒索信中留下的比特币地址,目前可能已有受害企业向黑客支付赎金。

6-1.png

图 6‑1 已有受害企业支付0.2btc的赎金

7.相应措施与防护建议

7.1 受影响设备

应先将受影响主机断网,避免影响扩大;

如本地数据文件未备份,建议联系技术人员查找是否存在备份文件;

如使用自有云服务器,可通过管理后台先将受影响设备进行镜像备份,再联系技术人员查找是否存在备份文件;

检查SQL数据库文件是否被加密,如没有被加密,请尽快备份;

查看“Chanjet\TPlusStd\DBServer\data” 目录下zip格式的备份文件和mdf数据库文件是否被加密,如未被加密,可重新部署建账,恢复备份或数据库文件;

如zip备份及数据库文件均被加密,可查找是否存在其他备份文件;

部分被加密文件大小为1K,这种情况可能存在未加密成功,此时可检查是否存在原始文件。

7.2 未受影响设备

检查当前设备是否开启自动备份功能,如已开启,将备份文件通过移动介质、NAS、网盘等多种方式进行转储;

官方已更新补丁,请及时安装官方漏洞补丁,下载链接如下。

https://www.chanjetvip.com/product/goods

7-1.png

图 7‑1 畅捷通T+官方漏洞补丁

8.产品防护

8.1安天智甲终端防御系统

安天智甲终端防御系统为管理人员提供统一管理内网Windows、Linux和国产化终端,可对威胁安全事件的详细信息进行展示,包含资产信息、文件信息、行为事件信息、处置结果等。安全运维人员使用管理中心可实现对勒索软件相关安全事件的集中查看、分析和处置,无需终端操作,极大提高此类事件的响应速度,并持续提升安全运维工作效率。

8-1.jpg

图 8‑1 安天智甲终端防御系统-扫描日志

8-2.png

图 8‑2 安天智甲终端防御系统-终端日志

8-3.png

图 8‑3 安天智甲终端防御系统-文件释放防御日志

8.2 安天智甲云主机安全系统

安天智甲云主机安全系统可通过资产清点功能扫描出该软件应用信息(软件名称、版本信息、主机视图)和漏洞检测功能检测出此次0day漏洞相关信息(风险等级、漏洞名称、漏洞类型、风险特征等)。

安天智甲云主机安全系统web界面-资产中心-Windows主机-全部软件应用-资产视图,可查看到畅捷通T+(Chanjet+)软件相关信息。

8-4.png

图 8‑4 资产清点

安天智甲云主机安全系统web界面-风险发现-漏洞检测-风险视图,可查看此次0day漏洞相关信息。

8-5.png

图 8‑5漏洞检测

8.3 安天青竹WAF

安天下一代Web应用防护系统以积极防御为安全理念,克服传统 WAF被动防护所存在的先天不足,从用户自身安全出发,通过对用户网站的关键业务和数据进行动态变换和封装,对客户端运行环境进行安全增强和加固,不仅能有效防护此漏洞利用攻击,更结合实时的人机识别技术,有效应对当前互联网日趋严重的机器人和上层业务相关的安全威胁。

8.3.1 特征数据库实时升级

特征数据库支持在线实时升级和离线手动升级。通过在线实时升级功能,用户的特征数据库能得到及时的更新。

对于存在网络访问限制的用户,可以通过手动升级的方式对WAF特征数据库进行升级。对于高危漏洞,青竹WAF团队会及时向用户发送告警通知,用户可以自行下载升级包进行手动升级。

8-6.png

图 8‑6 手动上传升级包

8.3.2 文件上传防护

如果无法升级特征库,可以使用WAF的文件上传功能来拦截攻击。

WAF的文件上传功能可以对上传的文件类型、大小、WebShell特征做检查,在该攻击阶段中,用户的上传环境基本只用于上传图片,所以可以通过设置上传文件类型白名单拦截攻击。

8-7.png

图 8‑7 设置上传文件类型白名单

URL:/tplus/SM/SetupAccount/Upload.aspx

类型检查方式:白名单

文件类型:图片文件

8.3.3 URL访问控制

如果由于未升级特征库或者未有效设置文件上传策略导致可能已经被植入恶意文件,可以通过拦截shellcode的上传路径来缓解威胁。

8-8.png

图 8‑8 拦截shellcode的上传路径

9.IoCs

45625D6092A287284CD71AF690C5C393

966A5A6B8054827E1462AA91AD2F2F7C

bc1q22xcf2667tjq9ug0fgsmxmfm2kmz32lwtn4m7v

xd.llw0.com

up.llw0.com

xdx.llw0.com

a.llw0.com

zy.llw0.com

dark.llw0.com

mm.llw0.com

hk.llw0.com

yk.llw0.com

ups.llw0.com

gh0st.llw0.com

mdzz2018.msns.cn

mdzz2019.msns.cn

mdzz2020.msns.cn

mdzz2021.msns.cn

mdzz2022.msns.cn

mdzz2023.msns.cn

mdzz2019.noip.cn

mdzz2020.noip.cn

bjcptj.com

43.129.68.31

51.81.145.78

116.255.235.123

附录:参考资料

[1] 关于畅捷通T+软件严重安全漏洞造成勒索攻击隐患的网络安全风险提示

https://mp.weixin.qq.com/s/Y4sd7vwOGhQe0S3XM5wgWw

[2] 安天智甲有效防护 Tellyouthepass 勒索软件

https://www.antiy.cn/research/notice&report/frontier_tech/2020243.html

[3] 利用某财务软件漏洞进行勒索攻击的事件技术分析

https://mp.weixin.qq.com/s/Fw3IRSUbf1gS5EruR5Gjxw

[4] 记一次应急中发现的诡异事件

https://cloud.tencent.com/developer/article/1449219

[5] 警惕BasedMiner挖矿木马爆破SQL弱口令入侵挖矿

https://s.tencent.com/research/report/1052.html

[6] The odd case of a Gh0stRAT variant

https://cybersecurity.att.com/blogs/labs-research/the-odd-case-of-a-gh0strat-variant


1.概述

近期,畅捷通T+软件的0day漏洞,被“魔笛”黑客组织利用进行勒索攻击活动,引起较大社会影响。安天积极跟进支持主管部门工作,在事件、样本分析和漏洞机理复现等工作提供技术支撑,并呈报相关产品漏洞。与此同时,协助客户排查软件资产,第一时间自测AVL SDK反病毒引擎、智甲云主机防护、智甲端点防护、青竹WAF等产品对威胁防护的有效性,快速进行规则部署和能力升级等工作,协助客户防患于未然。

根据加密文件后缀、赎金金额、勒索信等关联信息,推测攻击者使用的勒索软件属于Tellyouthepass勒索软件家族。该勒索软件采用“AES+RSA”加密算法,在被加密文件原文件后追加“.locked”的后缀,在桌面和所有含有被加密文件的路径下创建名为“READ_ME.html”的勒索信,向受害者索要0.2 BTC的赎金。

安天CERT使用安天威胁情报综合分析平台对该事件的IoC进行分析,发现了该组织的历史活动以及本次活动使用的更多IoC。结合该组织的攻击手法、攻击技术、工具信息和攻击目的,推测该组织为来自国内的黑产组织。在历史活动中,该组织以挖矿攻击为主,以谋取金钱为攻击目的,主要使用Gh0st远控对目标进行控制,并善于使用各类黑客工具,安天将该组织命名为“魔笛”。由于网上关联信息追溯显示,由于此前出现过攻击者售卖国内部分企业SaaS服务攻击入口等信息。因此在本次攻击活动,可能存在上下游协作关系,不排除“魔笛”黑客组织可能从其他攻击者或攻击组织获知/购买了畅捷通T+的漏洞和利用方式,以及存在漏洞的主机清单等信息,并依此投放勒索程序进行攻击。

经验证,安天智甲终端防御系统(EPP)的勒索软件防护模块,在不进行升级的情况下,依然可以有效阻止攻击者所投放的Tellyouthepass勒索软件的加密行为;安天智甲云主机安全系统(CWPP)能够从资产和漏洞两个维度进行威胁检测,可以有效加固服务器、云主机及容器,提升SaaS化软件的威胁感知能力,用户可升级到最新的规则库版本检测防范对应威胁;安天青竹应用防火墙(WAF)对任意文件上传漏洞和恶意shellcode的加载有一定广谱拦截能力,用户可升级到最新的规则库版本,即使在畅捷通软件没有升级到最新补丁的情况下,通过在服务器前端部署安天青竹防火墙也可以实现对相关漏洞利用的拦截。

攻击者利用任意文件上传漏洞,上传后门到畅捷通Web服务后端特定路径。当后门接收到“/Load.aspx”路径的HTTP请求时,使用AES算法解密请求内容中的远程代码并加载执行,实现在未经授权的情况下远程访问畅捷通T+的Web服务端口,实现加密勒索的攻击目的。根据加密文件后缀、赎金金额、勒索信等关联信息,推测攻击者使用的勒索软件属于Tellyouthepass勒索软件家族。该勒索软件采用“AES+RSA”加密算法,在被加密文件原文件后追加“.locked”的后缀,在桌面和所有含有被加密文件的路径下创建名为“READ_ME.html”的勒索信,向受害者索要0.2 BTC的赎金。

2.事件对应的ATT&CK映射图谱

安天CERT梳理得到本次攻击事件对应的ATT&CK映射图谱,如下图所示:

2-1.png

图 2‑1技术特点对应ATT&CK的映射

本次事件中攻击者使用的技术点如下表所示:

表 2‑1 ATT&CK技术行为描述表

ATT&CK阶段/类别

具体行为

注释

资源开发

获取基础设施

获取C2服务器

环境整备

搭建C2环境

初始访问

利用外部远程服务

利用公开Web服务

执行

利用主机软件漏洞执行

利用漏洞执行

提权

利用漏洞提权

利用漏洞提权

防御规避

反混淆/解码文件或信息

解密载荷

隐藏行为

后台执行

混淆文件或信息

加密载荷

发现

发现文件和目录

发现待加密文件

影响

造成恶劣影响的数据加密

对数据进行加密

3.漏洞机理分析

畅捷通T+是一款基于互联网的企业管理软件,协助企业提升办公效率。通过对攻击链路进行复盘,确认攻击者利用了畅捷通T+存在的任意文件上传漏洞。该漏洞允许未经身份认证的远程攻击者通过构造特定请求,可上传恶意文件(如WebShell)至目标系统,从而执行任意代码。漏洞影响范围为畅捷通T+ <= v17.0。

造成漏洞的原因是Upload.aspx文件对用户上传的内容验证不足,攻击者可借此直接绕过权限认证,从而实现任意文件上传。安天CERT已对漏洞进行复现,具体利用细节暂不公开。

3-1.jpg

图 3‑1 漏洞复现

4.样本分析

4.1 样本标签

表 4‑1二进制可执行文件

病毒名称

Trojan[Backdoor]/Win32.loader

原始文件名

App_Web_load.aspx.cdcab7d2.dll

MD5

45625D6092A287284CD71AF690C5C393

处理器架构

Intel 386 or later, and compatibles

文件大小

5.50 KB (5632字节)

文件格式

BinExecute/Microsoft.EXE[:X86]

时间戳

2022-08-27 14:51:15 UTC

数字签名

加壳类型

编译语言

ASP.NET

VT首次上传时间

2022-08-29 13:23:16 UTC

VT检测结果

13/68

4.2 详细分析

监听HTTP请求路径“/Load.aspx”,将对应请求交由Load.aspx模块处理。

4-1.png

图 4‑1加载Load.aspx模块

对应的xml配置文件中,将自身文件配置为了Load.aspx虚拟路径,用于处理上述请求。

4-2.png

图 4‑2配置文件

处理函数会使用AES算法解密载荷并加载,创建其中类名为“U”的类的实例,执行请求中的代码。

4-3.png

图 4‑3解密载荷并加载执行

5.关联分析

根据友商跟踪入侵日志披露的攻击域名llw0.com[3],安天基于TID威胁情报综合分析平台对该事件的IoC进行分析,发现了该组织的历史活动以及本次活动使用的更多IoC。结合“魔笛”组织的攻击手法、攻击技术、工具信息和攻击目的,推测该组织为来自国内的黑产组织。通过目前关联到的最早的C2分析,该组织可能最早于2017年就开始相关活动。在历史活动中,该组织以挖矿攻击为主,以谋取金钱为攻击目的,主要使用Gh0st远控对目标进行控制,并善于使用各类黑客工具。在本次攻击活动中,“魔笛”组织可能从某处获知了某国产财务软件的漏洞后,利用既往经验和资源继续发动攻击投放勒索程序以谋取钱财。

5-1.png

图 5‑1TID威胁情报综合分析平台

基于关联分析梳理该组织历史攻击活动时间轴如下:

5-2.png

图 5‑2 该组织历史攻击活动时间轴

5.1 本次勒索事件域名llw0.com

用来进行样本传播的域名llw0.com于2019年注册,当前的解析地址为222.101.150.248,从域名解析情况分析此IP是一个虚拟主机。

5-3.png

图 5‑3 llw0.com域名注册信息

该域名下挂载大量恶意文件,主要包括Gh0st远控木马、挖矿木马、勒索软件和提权工具。根据文件名显示,该组织可能曾利用log4j的漏洞进行攻击。

5-4.png

图 5‑4llw0.com域名关联信息

该域名拥有大量子域名,其中域名xd.llw0.com和up.llw0.com曾解析到两个IP43.129.68.31,51.81.145.78,两台服务器下直接挂有漏洞利用载荷(CVE-2017-0213)以供下载。

5-5.png

图 5‑5 llw0.com子域名信息

5.2 关联2019年的挖矿攻击活动

多个llw0.com的子域名历史曾解析到61.132.226.130,该服务器为攻击者所有。而mdzz2022.msns.cn、mdzz2023.msns.cn也曾解析到该IP,并且多个Gh0st远控木马与两个域名进行通信,因此mdzz的两个域名极大概率也属于该组织。

5-6.png

图 5‑6 61.132.226.130关联信息

除此之外,在对这两个mdzz子域名分析时,发现其兄弟域名mdzz2018.msns.cn出现在相关报告中,报告中披露的攻击事件同样为挖矿事件,该域名相关的恶意代码也是大量挖矿木马和Gh0st远控,因此该以上mdzz相关域名很可能也是该组织的C2资产。

5-7.png

图 5‑7 公开报告提及mdzz2018.msns.cn域名与挖矿攻击相关

5.3 关联2019年利用永恒之蓝SMB漏洞投放Gh0stRAT变种木马

up.llw0.com子域名在2020年7月曾解析至61.183.237.30,而mdzz2020.noip.cn同年8月也解析到61.183.237.30。mdzz2020.noip.cn相关的文件同样多数为远控木马,结合上节mdzz域名命名特点,mdzz2020.noip.cn很可能同为攻击组织资产。

5-8.png

图 5‑8 61.183.237.30IP解析域名

同样对mdzz2020.noip.cn域名分析,我们发现其存在兄弟域名mdzz2019.noip.cn,该域名曾被国外安全机构在2019年的分析报告中披露,该域名是变种Gh0st远控的C2地址。

5-9.png

图 5‑9 mdzz2019.noip.cn被披露是变种Gh0st远控的C2

5.4 关联2020年MSSQL服务器爆破挖矿事件

多个llw0.com子域名还曾解析到116.255.235.123,且存在大量相关恶意代码与该IP通信,该地址为攻击者所有。

5-10.png

图 5‑10 116.255.235.123 IP关联信息

5-11.png

图 5‑11 与116.255.235.123 IP通信的恶意代码

该IP在2020年解析域名bjcptj.com,域名为2021年注册。在域名上挂载,与该域名通信的相关恶意文件很多,多为后门和提权工具。

5-12.png

图 5‑12 bjcptj.com域名注册信息

该域名在2020年曾被国内安全团队披露,是针对MS SQL服务器进行爆破投放的挖矿木马的C2。

5-13.png

图 5‑13 公开报告披露该域名与挖矿事件相关

6.勒索软件概览

表 6‑1勒索软件概览

出现时间

2019年

加密算法

AES+RSA

加密系统

Windows、Linux

加密文件命名方式

原文件名+.locked

联系方式

通过勒索信中的邮箱与攻击者进行联系([email protected]

加密文件类型

加密指定格式的文件(特定格式包括*.docx、*.doc、*.docm、*.pdf、*.xlsx等)

勒索币种与金额

0.2 BTC(目前约合27,439元人民币)

是否有针对性

能否解密

是否内网传播

勒索信界面

6-1表格里的勒索信界面.png6-1表格里的勒索信界面.png

通过查询攻击者在勒索信中留下的比特币地址,目前可能已有受害企业向黑客支付赎金。

6-1.png

图 6‑1 已有受害企业支付0.2btc的赎金

7.相应措施与防护建议

7.1 受影响设备

应先将受影响主机断网,避免影响扩大;

如本地数据文件未备份,建议联系技术人员查找是否存在备份文件;

如使用自有云服务器,可通过管理后台先将受影响设备进行镜像备份,再联系技术人员查找是否存在备份文件;

检查SQL数据库文件是否被加密,如没有被加密,请尽快备份;

查看“Chanjet\TPlusStd\DBServer\data” 目录下zip格式的备份文件和mdf数据库文件是否被加密,如未被加密,可重新部署建账,恢复备份或数据库文件;

如zip备份及数据库文件均被加密,可查找是否存在其他备份文件;

部分被加密文件大小为1K,这种情况可能存在未加密成功,此时可检查是否存在原始文件。

7.2 未受影响设备

检查当前设备是否开启自动备份功能,如已开启,将备份文件通过移动介质、NAS、网盘等多种方式进行转储;

官方已更新补丁,请及时安装官方漏洞补丁,下载链接如下。

https://www.chanjetvip.com/product/goods

7-1.png

图 7‑1 畅捷通T+官方漏洞补丁

8.产品防护

8.1安天智甲终端防御系统

安天智甲终端防御系统为管理人员提供统一管理内网Windows、Linux和国产化终端,可对威胁安全事件的详细信息进行展示,包含资产信息、文件信息、行为事件信息、处置结果等。安全运维人员使用管理中心可实现对勒索软件相关安全事件的集中查看、分析和处置,无需终端操作,极大提高此类事件的响应速度,并持续提升安全运维工作效率。

8-1.jpg

图 8‑1 安天智甲终端防御系统-扫描日志

8-2.png

图 8‑2 安天智甲终端防御系统-终端日志

8-3.png

图 8‑3 安天智甲终端防御系统-文件释放防御日志

8.2 安天智甲云主机安全系统

安天智甲云主机安全系统可通过资产清点功能扫描出该软件应用信息(软件名称、版本信息、主机视图)和漏洞检测功能检测出此次0day漏洞相关信息(风险等级、漏洞名称、漏洞类型、风险特征等)。

安天智甲云主机安全系统web界面-资产中心-Windows主机-全部软件应用-资产视图,可查看到畅捷通T+(Chanjet+)软件相关信息。

8-4.png

图 8‑4 资产清点

安天智甲云主机安全系统web界面-风险发现-漏洞检测-风险视图,可查看此次0day漏洞相关信息。

8-5.png

图 8‑5漏洞检测

8.3 安天青竹WAF

安天下一代Web应用防护系统以积极防御为安全理念,克服传统 WAF被动防护所存在的先天不足,从用户自身安全出发,通过对用户网站的关键业务和数据进行动态变换和封装,对客户端运行环境进行安全增强和加固,不仅能有效防护此漏洞利用攻击,更结合实时的人机识别技术,有效应对当前互联网日趋严重的机器人和上层业务相关的安全威胁。

8.3.1 特征数据库实时升级

特征数据库支持在线实时升级和离线手动升级。通过在线实时升级功能,用户的特征数据库能得到及时的更新。

对于存在网络访问限制的用户,可以通过手动升级的方式对WAF特征数据库进行升级。对于高危漏洞,青竹WAF团队会及时向用户发送告警通知,用户可以自行下载升级包进行手动升级。

8-6.png

图 8‑6 手动上传升级包

8.3.2 文件上传防护

如果无法升级特征库,可以使用WAF的文件上传功能来拦截攻击。

WAF的文件上传功能可以对上传的文件类型、大小、WebShell特征做检查,在该攻击阶段中,用户的上传环境基本只用于上传图片,所以可以通过设置上传文件类型白名单拦截攻击。

8-7.png

图 8‑7 设置上传文件类型白名单

URL:/tplus/SM/SetupAccount/Upload.aspx

类型检查方式:白名单

文件类型:图片文件

8.3.3 URL访问控制

如果由于未升级特征库或者未有效设置文件上传策略导致可能已经被植入恶意文件,可以通过拦截shellcode的上传路径来缓解威胁。

8-8.png

图 8‑8 拦截shellcode的上传路径

9.IoCs

45625D6092A287284CD71AF690C5C393

966A5A6B8054827E1462AA91AD2F2F7C

bc1q22xcf2667tjq9ug0fgsmxmfm2kmz32lwtn4m7v

xd.llw0.com

up.llw0.com

xdx.llw0.com

a.llw0.com

zy.llw0.com

dark.llw0.com

mm.llw0.com

hk.llw0.com

yk.llw0.com

ups.llw0.com

gh0st.llw0.com

mdzz2018.msns.cn

mdzz2019.msns.cn

mdzz2020.msns.cn

mdzz2021.msns.cn

mdzz2022.msns.cn

mdzz2023.msns.cn

mdzz2019.noip.cn

mdzz2020.noip.cn

bjcptj.com

43.129.68.31

51.81.145.78

116.255.235.123

附录:参考资料

[1] 关于畅捷通T+软件严重安全漏洞造成勒索攻击隐患的网络安全风险提示

https://mp.weixin.qq.com/s/Y4sd7vwOGhQe0S3XM5wgWw

[2] 安天智甲有效防护 Tellyouthepass 勒索软件

https://www.antiy.cn/research/notice&report/frontier_tech/2020243.html

[3] 利用某财务软件漏洞进行勒索攻击的事件技术分析

https://mp.weixin.qq.com/s/Fw3IRSUbf1gS5EruR5Gjxw

[4] 记一次应急中发现的诡异事件

https://cloud.tencent.com/developer/article/1449219

[5] 警惕BasedMiner挖矿木马爆破SQL弱口令入侵挖矿

https://s.tencent.com/research/report/1052.html

[6] The odd case of a Gh0stRAT variant

https://cybersecurity.att.com/blogs/labs-research/the-odd-case-of-a-gh0strat-variant