本周安全态势
一、本周高级威胁攻击动态
1、新APT组织DarkHydrus,目标为中东政府
DarkHydrus组织近日被paloalto披露,并且指出其自2016年初已经开始进行活动。
此次攻击为该组织利用新文件格式进行鱼叉攻击活动,文件格式为.iqy,该文件默认由Excel打开,并检索文件中的URL的任何对象。Iqy文件也在最近被用来投放FlawdAmmyy等远控。
此次投放的为一个名为credential.rar的压缩包,邮件正文如下,并且告诉收件人密码为123456。
压缩包中含有文件credential.iqy,文件中只有含有一个链接。
但正常情况下,直接打开iqy文件会弹出是否启用的通知框。
若启用,将会下载该txt,尝试执行其中的命令,而默认情况下,Excel不会启动命令cmd,但会在用户同意下执行。
同意启动cmd后,其会下载一个powershell脚本,脚本大致如下,其使用了Invoke-Obfuscation进行混淆,最后释放的是名为RogueRobin的payload。
在执行其任何功能之前,payload会检查它是否在沙箱中执行。其使用WMI查询并检查运行进程,以获取脚本可能在分析环境中执行的证据。具体的沙盒检查包括:
1、使用WMI检查VBOX,bochs,qemu,virtualbox和vm的BIOS版本(SMBIOSBIOSVERSION)。
2、使用WMI检查BIOS制造商是否有XEN。
4、使用WMI检查CPU核心数是否小于或等于1。
5、枚举“Wireshark”和“Sysinternals”的运行流程。
如果确认没有在沙箱中运行,它将尝试将自身安装到系统以维持访问,并创建一个文件%APPDATA%\ OneDrive.bat,内容如下:
powershell.exe -WindowStyle Hidden -exec bypass -File “%APPDATA%\OneDrive.ps1”
然后,该脚本将自身修改后的副本写入%APPDATA%\ OneDrive.ps1,并省略执行此安装的代码。要在系统启动时持续执行,脚本将在Windows启动文件夹中创建以下快捷方式,该文件夹将在每次用户登录时运行OneDrive.ps1脚本:
$env:SystemDrive\Users\$env:USERNAME\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneDrive.lnk
Payload会使用自定义DNS隧道协议与其配置的命令和控制(C2)服务器通信。在此payload内配置的域如下:
Anyconnect[.]stream
Bigip[.]stream
Fortiweb[.]download
Kaspersky[.]science
microtik[.]stream
owa365[.]bid
symanteclive[.]download
windowsdefender[.]win
DNS隧道协议可以使用多种不同的DNS查询类型与C2服务器进行交互。Payload具有它在测试早期调用的功能,以查看哪些DNS查询类型能够成功到达C2服务器。它遍历一个类型列表,第一个从C2服务器接收响应的DNS类型将用于payload和C2服务器之间的所有通信,顺序如下:
1、A
2、AAAA
3、AC
4、CNAME
5、MX
6、TXT
7、SRV
8、SOA
Payload使用具有特定参数的内置Windows nslookup应用程序和特制的子域来与C2通信。为了与C2建立通信,payload将首先获得C2服务器发布的系统特定标识符。有效负载发送以获取系统特定标识符的初始DNS查询使用以下结构,其中包括当前进程标识符(PID)作为C2域的子域:
.
C2服务器将在DNS响应的响应部分内提供系统特定的标识符。下表说明了payload如何根据查询类型从C2服务器的响应中获取系统标识符:
一旦获得系统标识符,payload会收集系统特定信息并将其发送到C2服务器。收集的信息将添加到以下结构中的字符串中:
|||||||||
payload将对此字符串进行base64编码,并使用其DNS隧道协议将数据传输到C2。隧道协议通过发送一系列DNS查询与C2域的子域内的数据来传输数据。每个出站DNS请求的结构如下:
---.
payload将根据其用于与C2通信的DNS请求的类型来查找对这些出站查询的不同响应。以下显示了C2用于传输成功或取消消息的特定IP地址或字符串,具体取决于用于C2通信的DNS查询类型:
在提供系统特定信息之后,payload将与C2服务器交互以获得命令,payload将其称为作业。C2将提供一个字符串,payload将根据其命令处理程序确定要执行的命令。要获取要作为命令处理的字符串,有效内容将发出一系列DNS查询以解析具有以下结构的域:
--.
C2服务器将提供对这些查询的响应,这些查询包含IPv4或IPv6地址中的答案,具体取决于payload用于与其C2服务器通信的DNS查询的类型。有效负载将使用特定的正则表达式,这取决于用于获取命令字符串的DNS查询的类型,如下表所示:
这些正则表达式用于构建字符串,然后payload将通过这些命令进行操作。下面为各类命令的作用,这些命令提供了各种远程管理功能。如下:
最后,从该组织的域名命名方式出发,可以发现很多与安全厂商相关的命名,如下所示:
Anyconnect[.]stream
Bigip[.]stream
Fortiweb[.]download
Kaspersky[.]science
microtik[.]stream
owa365[.]bid
symanteclive[.]download
windowsdefender[.]win
其中,解析的域名IP均属于中国服务提供商,而ClearSky曾称DarkHydru组织的另一个恶意文档相关联的域名0utl00k.net的解析IP 195.154.41.150 ,关联上了cisc0.net这个域名,而该域名可能与Copy Kittens相关,但根据paloalto所言,两者技术手段和受害者相差过远,因此DarkHydru仍为一个全新的APT组织。
二、本周流行安全事件
1、利用 Microsoft office漏洞分发FELIXROOT后门
近日,国外安全研究机构发现了攻击者使用已知Microsoft office漏洞CVE-2017-0199和CVE-2017-11882在受害者的机器上下载并执行后门文件FELIXROOT。
攻击第一阶段,首先是钓鱼邮件中包含一个声称有关环境保护的研讨会的诱饵文件,诱饵文件中利用CVE-2017-0199从193.23.181.151下载Seminar.rtf文件,Seminar.rtf文件利用CVE-2017-11882下载并执行第二阶段攻击。
第二阶段攻击下载一个可执行文件(MD5:78734CD268E5C9AB4184E1BBE21A6EB9),该文件用于分发和执行FELIXROOT dropper组件,该文件执行后创建两个文件:指向%system32%\ rundll32.exe的LNK文件和FELIXROOT加载程序组件。LNK文件将移动到启动目录,下图显示了LNK文件中用于执行FELIXROOT的加载程序组件的命令。
后门的字符串使用自定义加密算法,该算法用带有4字节秘钥的XOR,用于ascll和Unicode字符串解密逻辑。
网络通信:FELIXROOT通过HTTP和HTTPS POST协议与C2通信。通过网络发送的数据经过加密并以自定义结构排列。所有数据都使用AES加密,并转换为Base64,然后发送到C2服务器。
CVE-2017-0199和CVE-2017-11882是我们目前看到的两个最常被利用的漏洞。恶意攻击者将越来越多地利用这些漏洞进行攻击,直到所有系统都打上补丁,不再能利用。
IOC:
本周升级公告
本周更新事件特征:
HTTP_木马后门_Win32.Zediv_连接
TCP_后门_PoisonIvy_Keepalive_连接3
UDP_木马后门_Plaintee(Rancore)_连接1
UDP_木马后门_Plaintee(Rancore)_连接2
UDP_木马后门_Plaintee(Rancore)_连接3
UDP_木马后门_Plaintee(Rancore)_连接4
UDP_木马后门_Plaintee(Rancore)_连接5
UDP_木马后门_Plaintee(Rancore)_连接6
UDP_木马后门_Plaintee(Rancore)_连接7
UDP_木马后门_Plaintee(Rancore)_连接8
HTTP_木马后门_FusionCore_连接
HTTP_勒索软件_GandCrab_v4
HTTP_Linux命令注入攻击
HTTP_后门_ProRatr_下载恶意代码
TCP_后门_PoisonIvy_Keepalive_连接2
领取专属 10元无门槛券
私享最新 技术干货