安全路透社
当前位置:安全路透社 > 网络转载 > 正文

黑客是如何对俄罗斯外贸银行实施APT攻击的?

前言:

APT攻击一直以来是企业关注的重点,通常以智能手机、平板电脑和USB等移动设备为目标入侵企业信息系统,其中恶意邮件是APT攻击最常用的攻击手段,因此,瑞星安全研究院为长期跟踪监控各类APT攻击,专门研发了一套监测恶意邮件的“鱼叉攻击”挖掘系统。

最近,瑞星安全研究人员Chao在“鱼叉攻击”挖掘系统中,发现了一封发给俄罗斯外贸银行的邮件,经过多年的经验积累,Chao很快就意识到这是一封钓鱼邮件,也就是说这很可能是一次专门针对俄罗斯外贸银行发起的APT攻击。 果然,经过研究样本分析发现,该邮件附件中存在一个含有病毒的word文档,一旦用户下载并打开此文档,攻击者就可以对受害者的机器进行控制,窃取其中任何信息。 瑞星安全研究人员Chao介绍,该word文档集成了近期流行的office逻辑漏洞CVE-2017-0199,并且还巧妙地使用到了RTF的一个机制来实现攻击。病毒先利用RTF机制释放病毒程序,然后利用CVE-2017-0199漏洞远程下载并执行病毒脚本,最后利用下载的脚本运行病毒程序。

 黑客是如何对俄罗斯外贸银行实施APT攻击的?
黑客是如何对俄罗斯外贸银行实施APT攻击的?

图:APT攻击流程图 

瑞星安全专家根据病毒脚本和服务器通信的网络数据包特征,基本可以确定击者利用了Micorsoft Word Intruder(MWI)发起了此次攻击。MWI是一个漏洞利用攻击平台,由俄罗斯人开发,并在黑市销售。2013年8月,“卡巴斯基”研究人员发现了疑似MWI的早期版本。2015年1月由国外安全研究机构“FireEye”曝光了负责和控制服务器通信的新模块MWISTAT,之后MWI才逐渐进入人们的视线。 MWI作者一直处于活跃状态,每当有新漏洞被发现,作者就把新的漏洞利用代码集成到工具中,再销售给各个犯罪团伙。早在2015年,研究者就发现 MWI攻击平台已经帮助数十个网络犯罪团伙,从多个不同的恶意软件家族中提供数百种不同的恶意软件,涵盖了大多数恶意软件类型。这种MWI漏洞利用攻击平台,投资小,见效快,广受犯罪团伙的欢迎,被广泛用于传播勒索、盗号、远控等软件。由于存在巨大的利益驱使,MWI和其它类似软件的作者们,仍会继续增加对新漏洞利用,所以及时更新补丁至关重要。 此外,如果出于利益需求,这些攻击平台的作者,也是有可能在黑市上购买未知漏洞,添加利用代码到新版本中。安全厂商面临的形式将更加严峻,需要不断提高主动防御能力,结合机器学习等方式,提高对未知病毒的查杀能力。

本次针对俄罗斯外贸银行实施APT攻击分析

瑞星截获到一封发给俄罗斯某银行的钓鱼邮件,邮件附件中有一个doc后缀的RTF文档。 

黑客是如何对俄罗斯外贸银行实施APT攻击的?

图:钓鱼邮件

附件中的doc文档,利用了CVE-2017-0199漏洞 会远程下载并执行hta文件

黑客是如何对俄罗斯外贸银行实施APT攻击的?

图:链接到远程服务器

获取htahta文档的内容是vbs脚本,脚本的可扩展性比较强,可通过修改不同的配置选项,执行不同的功能。例如:通过conf_exec_RunExe选项,判断运行exe还是加载DLL通过conf_exec_IntExt选项,判断有效载荷已经释放还是需要下载 通过conf_exec_RunSct、conf_exec_RunCMD等选项 决定是否运行cmd命令、Powershell脚本、VBS 脚本通过conf_exec_SendData选项决定是否发送日志到攻击者的控制服务器。

黑客是如何对俄罗斯外贸银行实施APT攻击的?

图:hta文件内容主要功能有运行CMD命令或者powershell脚本

黑客是如何对俄罗斯外贸银行实施APT攻击的? 

图:运行命令下载运行exe或者DLL 

黑客是如何对俄罗斯外贸银行实施APT攻击的?

图:运行有效载荷

运行javascript/vbscript脚本

黑客是如何对俄罗斯外贸银行实施APT攻击的?

图:运行脚本 

获取并向攻击者发送 系统信息、进程列表、杀软列表等信息。 

黑客是如何对俄罗斯外贸银行实施APT攻击的?

图:获取系统信息

 黑客是如何对俄罗斯外贸银行实施APT攻击的?

图:获取安装的杀软信息 

黑客是如何对俄罗斯外贸银行实施APT攻击的?

图:获取进程列表

向控制服务器,发送日志信息 

黑客是如何对俄罗斯外贸银行实施APT攻击的?

图:发送获取到的信息

根据配置选项conf_exec_IntExt,此样本的有效载荷是内部释放方式,可是CVE-2017-0199漏洞并没有释放文件。 

黑客是如何对俄罗斯外贸银行实施APT攻击的?

图:模式选择

而且就算是修改选项为下载方式,下载地址也是无效的 

黑客是如何对俄罗斯外贸银行实施APT攻击的?

图:下载地址无效 

然而从运行情况来看,打开RTF文档之后,有效载荷释放到临时文件夹下并命名为~WRF{DE1EFD4F-E057-483E-BCCC-C9173EDEDEAD}.tmp

黑客是如何对俄罗斯外贸银行实施APT攻击的?

图:释放了有效载荷

那么文件是如何释放的呢?瑞星发现RTF文档有大量数据 

黑客是如何对俄罗斯外贸银行实施APT攻击的?

图:文档中含有大量数据 

经过分析发现,其实是利用OLE机制来实现的

 黑客是如何对俄罗斯外贸银行实施APT攻击的?

图:文档中含有OLE对象

果然释放的程序就是作者添加进去的 ~WRF{DE1EFD4F-E057-483E-BCCC-C9173EDEDEAD}.tmp  

黑客是如何对俄罗斯外贸银行实施APT攻击的?

图:对象内含有一个可执行程序

那么作者是利用了什么漏洞,才会让有效载荷释放出来的呢?其实这是RTF的一个机制,OLE内嵌的程序会被释放到windows的%tmp%临时目录下,并且名称也相同。在xp系统上并不会出现,在win7及以上系统可以出现。最早于2016年被研究者发现,不过微软并不承认这是一个漏洞。攻击者正式利用了这一点,精心构造RTF文档,RTF的OLE机制负责释放有效载荷,CV-2017-0199漏洞触发后获取的hta脚本,负责运行有效载荷,从而完成这次攻击。 不过后来捕获到的更新版本,作者可能意识到这种方式虽然巧妙,但是部分机器无法实现攻击,又进行了升级,配置选项xnf_exec_IntExt 增加了功能3,如果选项是功能3,则会首先检查是否从RTF文档内部释放有效载荷,如果存在则直接运行,否则再联网下载。这样相对于之前的方法扩大了覆盖面积,攻击成功的概率更大。

 黑客是如何对俄罗斯外贸银行实施APT攻击的?

图:新版本增加了功能

无论是内部释放的版本,还是更新版本,有效载荷都是由.net编写的程序,名字叫做ExecPs功能是解密运行资源中的Powershell脚本。Powershell加密存储在ExecPs程序的资源中

 黑客是如何对俄罗斯外贸银行实施APT攻击的?

图:ExecPs的资源中含有数据 

 黑客是如何对俄罗斯外贸银行实施APT攻击的?

图:资源中存放加密的脚本 解密执行Powershell 的代码 

黑客是如何对俄罗斯外贸银行实施APT攻击的?

图:解密运行powershell

这两个版本的有效载荷,运行之后访问同一个下载服务器

http://198.50.179.97/DdbR 下载了一个DLL

然后使用反射DLL注入技术内存加载此DLL。下载的DLL是一个Cobalt Strike攻击平台生成的木马。木马文件不落地,直接调用导出函数ReflectiveLoader 就可以实现加载并运行。

黑客是如何对俄罗斯外贸银行实施APT攻击的?

图:反射DLL注入的导出函数解密控制服务器IP地址198.50.179.97 

黑客是如何对俄罗斯外贸银行实施APT攻击的?

图:解密的IP地址获取当前计算机信

 黑客是如何对俄罗斯外贸银行实施APT攻击的?

图:获取当前计算机信息

控制指令包含创建服务、运行shell、上传文件、下载文件、修改文件时间等

 黑客是如何对俄罗斯外贸银行实施APT攻击的?

图:控制指令 

至此攻击者就可以对受害者的机器进行控制,窃取信息。从关联样本的控制服务器,位置分布来看。新一波攻击,也有可能是由多个不同的团伙发起的。

 黑客是如何对俄罗斯外贸银行实施APT攻击的?

图:新一波攻击控制服务器分布 

MWI历史回顾

2013年8月利用CVE-2012-0158 传播Gimemo 勒索软件,攻击者IP在德国,受害者分布在说俄语的国家,这次攻击被认为是捕获到的最早利用MWI进行的攻击。

紧接着没过多久就发现了添加了CVE-2010-3333漏洞的版本。

2013年12月,研究人员捕获到新的版本,新版本引入了第三个漏洞CVE-2013-3906。

2014年6月8日增加了第四个漏洞CVE-2014-1761。

2014年12月,“FireEye”发现了MWI增加了与服务器通信的模块,被称为MWISTAT。

2016年7月,研究人员发现,新版本增加了CVE-2015-1641漏洞。2016年7月中旬,MWI在黑市的广告中,宣称新版本集成了CVE-2016-4117漏洞(Adobe Flash Player)。

2016年8月底 发布了MWI8,同时支持以下漏洞。

CVE-2010-3333
CVE-2012-0158
CVE-2013-3906
CVE-2014-1761
CVE-2015-1641
CVE-2015-2545
CVE-2016-4117

表:MWI8支持漏洞MWI曾经投递的恶意软件家族

Andromeda Fsysna Sopinar
Badur Gamarue SpyGate
Bandok Kasidet Staser
Buhtrap Limitail Throwback
Carberp NetWiredRC Tinba
Corkow Omaneat Toshliph
Cromptui Peaac Trontoz
CryptoWall Ransom Vawtrak
Dofoil Repezor VBSFlood
Dyreza Rovnix Wauchos
Dyzap Sekur Zbot
Evotob Sheldor  

表:恶意软件家族

后来MWI软件持续升级,杀软持续查杀,在这种对抗中,软件作者开始限制此软件的使用,要求购买MWI的用户只用在小规模的针对性攻击中,而不能大范围投递恶意邮件。减小被捕获的概率,增加生存时间。

由于只是小规模针对性投放,外界看来MWI好像是销声匿迹了。然而直到近期又捕获到一个利用了最近比较流行的漏洞CVE-2017-0199的版本,进一步证明了MWI的作者一直在持续迭代更新,犯罪团伙仍在利用此工具进行攻击活动。

参考文献

https://www.fireeye.com/blog/threat-research/2015/04/a_new_word_document.html

https://news.sophos.com/en-us/2015/09/02/microsoft-word-intruder-revealed-new-sophoslabs-research-goes-inside-a-malware-creation-kit/

https://securelist.com/the-curious-case-of-a-cve-2012-0158-exploit/37158/

http://www.securityweek.com/year-old-office-vulnerabilities-most-popular-current-attacks

https://www.proofpoint.com/uk/threat-insight/post/microsoft-word-intruder-8-adds-support-for-flash-vulnerability

*本文作者:瑞星;转载请注明来自 FreeBuf.COM

未经允许不得转载:安全路透社 » 黑客是如何对俄罗斯外贸银行实施APT攻击的?

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册