安全路透社
当前位置:安全路透社 > 网络转载 > 正文

“潜盗者”APT渗透攻击揭秘

最近,哈勃流量引擎捕获了一起潜盗者的渗透攻击事件,此次攻击事件是以钓鱼邮件的形式来诱骗用户点击附件的。根据我们的分析,这是一起针对欧美企业公司财务人员的APT攻击,潜盗者潜伏到用户电脑后,会长期接受云端的控制,威胁用户的隐私安全。目前每日大概有几千左右的用户中招。通过详细的分析,病毒与服务端的交互过程,既有正常的会话密钥协商后加密通信内容的方式,也有自有加密方式的保护。由此推测幕后制作者是一个成熟的黑客团伙。

背景

此类邮件所携带JS脚本是一类远控木马的下载 整个木马运行流程如下:

图片1.png

JS脚本会从云端请求一个可执行文件fzxjnwr1.exefzxjnwr 1在进行逻辑判断自身移动到特定的文件 ,并命名为一个新的名字AppidWebCam .exe。随后AppidWebCam通过导入云端DH算法 公钥与C&C协商一个会话密钥,此AppidWebCam 端的交互数据都会经过会话密钥的加密保护最终 云端会具备各种恶意功能的shellcodeAppidWebCam在内存 将其解密后加载运行,接受云端控制,并窃取用户隐私, 操控用户电脑产生极大的风险

下面分两部分来介绍,第一部分首先针对样本各个阶段产生的流量进行分析,第二部分针对样本本身进行分析。

流量分析:

邮件流量

通过分析网络流量,可以感知到疑似恶意的邮件内容

图片2.png

第一个文件SMTP.eml邮件的正文

图片3.png

第二个Invoice-00961-Apr-25-2017-US-613327.js邮件的附件,该附件是一个恶意脚本  

样本流量

运行附件中的JS后,后续的网络流量情况 下图所示JS脚本会不的去尝试连接C&C服务器 其中部分URLIP命中了以前入库的病毒样本所连接的恶意 C&C服务器记录。

图片4.png

下图中的sample hashC&C返回的文件MD5 ,可以看到JS请求的文件是一个恶意文件 落地后命名fzxjnwr1.exe随后这个 可执行文件会被Wscript.exe加载运行

图片5.png

Shellcode流量

落地后fzxjnwr1.exe释放AppidWebCam.exe 文件此文件又尝试连接C&C服务器 最终成功下载具备窃取隐私等功能的ShellCode (上图中最后一个文件威胁用户电脑。下图 展示的是shellcode与服务端的交互过程。端口信息看到,这个shellcode是通过 smtp协议来窃取用户信息 发送到云端的。

图片6.png

样本分析

fzxjnwr1.exe进程

fzxjnwr1.exe运行后,会解密数据段的一 内存,并将属性改为可执行后运行此段代码如下图所示。

图片7.png

解密的代码会将系统关键函数如CreateProcessWriteProcessMemory等地 解析到一内存中,随后会调用这些函数挂起的方式加载一个新的进程称为傀儡 fzxjnwr1.exe进程

图片8.png

傀儡fzxjnwr1.exe进程

新的进程会对父进程的运行路径进行判断, 判断路径是否为C:\Documents and Settings\Administrator\Local Settings\Application Data\****\****.exe,****的命名规则是一些可读 字符串的拼接。以下可读字符串找两个进行拼接作为 新的名字

Alaska,Another,Appid,Assessment,Auth,Bold,Brush,Character,Cpl,Createan,Dfs,Dhcp,Disabled,Dsui,Enclosure,Executor,Fltr,Fluid,Generalize,Glossary,Grammar,Group,Hash,Header,Ifra,Instancing,Isvc,Itha,Key,Kor,Lang,Latn,License,Msmq,Mspthrd,Multimedia,Natural,Npapi,Otp,Overview,Params,Pdl,Playingona,Programs,Quota,Reason,Scroll,Secret,Simple,Sms,Source,Step,Teal,Tsd,Users,Vdm,Volume,Vsip,Wake,Wallpaper,Webcam,Workflow,Xian,Zone

拼接原则则是根据计算机的系统信息决定的。此次 分析的时候,拼接的就是AppidWebCam.exe新进程判断发现fzxjnwr 1.exeAppidWebCam.exe不一致,会进行以下三个操作。

1. 调用SHFileOperationW移动文件,将fzxjnwbr1.exe文件,移动到C:\Documents and Settings\Administrator\Local Settings\Application Data\AppidWebcam 目录下,并命名为AppidWebcam.exe

2. 在开始菜单的程序启动中创建快捷方式,并指向第一步中的AppidWebcam.exe文件, 修改开机自启注册表。

3. 创建进程,路径是第一步移动 AppidWebCam目录下AppidWebCam.exe

图片9.png

AppidWebCam进程

AppidWebCam.exe文件fzxjnwr1.exe文件 是同一个,所以也会进行内存解密,解关键函数地址,随后运行CreateProcessGetThreadContextWriteProcessMemorySetThreadContext 加载一个傀儡AppidWebCam.exe进程

傀儡AppidWebCam进程

进程同样会判断父进程路径是否是C:\Documents and Settings\Administrator\Local Settings\Application Data\AppidWebcam \AppidWebCam.exe这次判断结果为真,所以傀儡fzxjnwr 1.exe所执行的操作AppidWebCam就不会再次 执行。这次主要分为个步骤

1. 解密advapi32.dllshell32.dlluser32.dllkernel32.dll下的关键函数地址例如CryptAcquireContextWCryptImportKey等。

2. 调用crypt32.dllCertAddCTLLinkToStore等函数,安装新的证书。为后续链接C&C服务器做准备。遍历当前进程获取计算机的信息并把这些信息存储起来

3. 通过Crypto API导入DH非对称算法的公钥,为后续网络签名数据的验证做准备,同会生成会话密钥,后续会话密钥会被服务端的公钥加密并发送云端。下面详细介绍木马的加密解密以及通信方式。

木马通过CryptImportKey,CryptGenKeyCryptCreateHash三个方法分别生成服务端公钥对象,会话密钥对象和一个hash对象

图片10.png

0x418c1c-0x4181FDWORD是通过CryptImportKey 导入的DH非对称加密算法的公钥,目的有两个1:加密随后生成的会话密钥2 验证下发数据的数据签名。而生成公钥 需要的key blob是云端事先生成存入到木马数据段中。

图片11.png

0x418c20-0x418c23DWORD则是客户端生成128 bit的AES对称加密算法的会话密sessionkey,木马之后 会调用CryptExportKey,并通过0×418c1c的服务端 公钥来加密此会话密钥。生成key blob会被 木马倒叙之后存储

0x418c24-0x418c27DWORD是生成的Hash对象 后续会经CryptDuplicateHash复制用于加密和验证数据 签名

木马随后调用CryptGetHashParam获取加密算法的信息。并且调用CryptEncrypt对第2步 获取的当前进程和计算机信息进行加密

图片12.png

目前生成了三部分关键数据如下图所示

1,通过CryptExportKey函数使用公钥进行加密的会话密钥key blob

2,加密算法的信息;

3,进程及计算机的加密信息

图片13.png

4. 在生成好这些数据后,木马就尝试连接C&C服务器链接C&C服务器时,木马会将第三步生成好的信息发送给云端。这样云端就可以拿到对称加密的密钥以及使用的算法同时也获取到了用户的部分信息。木马通过每三个字节为一组,进行6位运算,每个6位是0×0-0x3F,对应了0-63情况,木马对这63个情况进行映射,最终生成发往云端的cookie

图片14.png

图片15.png

数据通过cookie发送到云端后,云端用私钥解密出木马生成的会话密钥, 并使用此会话密钥加密要下发的数据。下图展示的是数据流量引擎抓取到的 下发的数据,这是其中成功连接时读到的云端 加密数据。数据总长度为0xB1EA4 其中前0×60字节是云端的一 hash后私钥进行签名的数据,后续木马会 公钥对这段数据进行验证,以判断数据在传输过程中是否被篡改。0x74长度 0xB1E30数据则是需要通过前面的sessionkey来解密的数据。

图片16.png

收到数据后,进程调用CryptVerifySignature数据的前0×60 个字节进行签名验证

图片17.png

验证通过后调用Cryptdecrypt来解密数据,使用的密钥就是前面sessionkey 解密后可以看到这是一段长度为0xB 1E30数据,其中含有PE头。

图片18.png

PE部分dump出来后可以发现,这是一个高风险的dll

图片19.png

来到代码中PE之前的0x1FE0020-0x1FE002D之间的数据 进程会对其进行处理进而判断payload数据类型,以及数据的启动点偏移

图片20.png

之后就会调用CreateThread来启动恶意进程,通过对这次与云端交互的exe进行分析,发现此dll的主要能力与木马主体类似,也是继续尝试连接C&C服务器, 接受云端的指令。

之后的分析过程中,曾经遇到过云端下发了类似于远控木马 的shellcode,通过静态查看,发现涉及的功能有

复制屏幕

图片21.png

控制鼠标

图片22.png

指定文件删除与上传

图片23.png

并最终通过邮件的方式发送给服务器

图片24.png

这种远程下发shellcode的方式危害性非常大,黑客可以通过下发 各类shellcode来达到自己不同的目的。

服务端每次连接不一定成功,并且每次传输时候使用的会话密钥对不相同,所以想把云端所有的shellcode获取到 并分析并不现实。下图是开启进程12小时后连接情况, 从这里也看到同一个ip,每次返回的数据并不相同有趣的,病毒是通过 404来下发数据的,所以如果不注意,会误以为数据没有成功下发。

图片25.png

5. 通过以上四个进程的分析木马的流程可以用下图展示

其中通过网络流量,可以清晰的展现C&C服务器交互的过程, 帮助我们更快准确的掌握样本的目的 提升样本的分析效率和查杀精度

泳道流程图(垂直) (1).jpg

影响范围及情报

借助哈勃流量分析系统对已知恶意样本的同源查询,在两周的时间内,我们 每日可捕获近千个md5以及 百个C&C服务器这对于我们及时查杀 样本和封锁C&C服务器起了非常重要的作用。

图片27.png

图片28.png

本次攻击涉及的部分IoT信息如下:

SHA1

5cfe4bc399f6c738642599e501ff9045fc0f111b
92673dd0e5f4a094fa6cd57bb301f884f2289f6c
f5a171c879b90e77861daf19741b373646d791ff
a6ded1a1d5ecb4dc1b6fe2f288d7b9f64232f394
df3cc8cdc962de4f0624a927fcda16f84eb804db
af9e791fc8718628190529976b63abc4bfec53c3
2b625e30c28befb05d1dce9c40ef702095f8cc24
f81f3fbc7d07346d5299bb557863855699e4ebfb
7f1379b6897abdd4c5fbb3bbaec6e39b6837c314
a33a949cb1cf5f6d84334de35db0346fa743bf50
463fc5d9526f20181153e7c402d1a6a8082ec715
d051287b5b264317ee5170bbfd88b1af91c5345d
4566ea5bde120157505add7dba1d4edcde69f481
ce61f8bbf7d2df20d92db969a9a3f86807187c3e
9412a211297041a6f6cb338415ac9f9c80795993
d2cf59397e8905d1f0e45768ea3d7ddcb12edfbf
4b6724422423311ce3e28fb08c157ab0ed18196a
727cdae953b77cd87e1e861948eddb0245acd5f7
2be83e992946e5b0cf4d2f7cd401b20dc87a0565
62a4efb90f9a0111a21214d59e26d724db4ff157

url

http://dns-56504.xarxacomputech.com:8080

https://www.rdqinc.com

https://unassigned.psychz.net

http://mail.tuahinfiniti.com:7080

http://plesk.banana-network.fr:8080

http://ns212674.ip-188-165-220.eu:8080

http://47149.simplecloud.club:7080

http://apache.easydomaine.com:8080

https://s15415495.onlinehome-server.info

* 本文作者:腾讯电脑管家(企业账号)

未经允许不得转载:安全路透社 » “潜盗者”APT渗透攻击揭秘

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册