TAG:V**、Sangfor、远控
TLP:白(报告使用及转发不受限制)
日期:2020-04-06
摘要
自1月下旬起,微步情报局捕获多个伪装成深信服V**升级程序SangforUD.exe的恶意样本,经核实发现:
事件概要
攻击目标 | 东北亚地区、中国 |
---|---|
攻击时间 | 2020年1月至今 |
攻击向量 | 利用SSL V**服务器投递恶意升级文件 |
攻击复杂度 | 中 |
最终目的 | 远程控制、信息窃取 |
事件详情
自2020年1月下旬起,微步在线安全云捕获到多个伪装成深信服V**升级程序SangforUD.exe的恶意样本。分析发现,投递的恶意样本具备木马下载器功能,将内置加密的配置信息写入任务计划达到持久化攻击的效果,通过HTTP请求方式回传加密后的主机信息,包括:网络配置信息、whoami、进程信息、域控信息、主机名、用户信息、环境变量、系统信息等,最后通过HTTP获取C2服务器的数据等待下阶段载荷运行。
1.样本大体流程如下:
2.解密出字符串“Chinese (Simplified)_People's Republic of China”。
3.查找“%APPDATA%目录下的"\Sangfor\SSL\Log\”和“\Sangfor\SSL\Dump\”路径带“.”字符串的文件并且删除,该文件储存了HTTP请求中的” _ga”值,代码如下:
4.拷贝自身文件到“\AppData\Roaming\Sangfor\SSL”目录,代码如下:
5.通过系统命令“whoami.exe /all”、“tasklist.exe /V”、“net.exe group /domain”、“HOSTNAME.EXE”、“net.exe user”、“cmd.exe /c set”、“ipconfig.exe /all”和“systeminfo.exe”获取主机信息,并且加密回传到C2服务器,代码如下:
6.其中HTTP提交的具备一定的特征,如固定的“----974767299852498929531610575”字符串,HTTP请求代码如下:
7.信息回传的数据动态调试截图如下:
8.然后判断是否管理员权限,如果是则解密自身携带的配置文件,配置包括持久化攻击信息、命令等,配置信息如下:
9.利用任务计划写入持久化相关的信息,代码如下:
10.写入的任务计划项如下,其中启动程序路径指向“%AppData% \Sangfor\SSL\SangforUPD.exe”:
11.恶意文件最终循环从C2服务器获取数据,并且保存文件到” \AppData\Roaming\Sangfor\SSL”目录下,然后通过CreateProcess命令执行下载的载荷,其中代码如下:
12.相关C2服务器的信息如下:
行动建议
1、排查是否已被入侵
附录-IOC
103.216.221.19:80
103.216.221.19:8080
103.216.221.19:8081
参考链接
https://x.threatbook.cn/nodev4/ip/103.216.221.19
https://s.threatbook.cn/report/file/65495d173e305625696051944a36a031ea94bb3a4f13034d8be740982bc4ab75/?env=win7_sp1_enx86_office2013
https://s.threatbook.cn/report/file/93e9383ae8ad2371d457fc4c1035157d887a84bbfe66fbbb3769c5637de59c75/?sign=history&env=win7_sp1_enx64_office2013
文由微步在线