学习
实践
活动
专区
工具
TVP
写文章

金睛安全播报 NO.048

本周安全态势

一、本周高级威胁攻击动态

1、新APT组织DarkHydrus,目标为中东政府

DarkHydrus组织近日被paloalto披露,并且指出其自2016年初已经开始进行活动。

此次攻击为该组织利用新文件格式进行鱼叉攻击活动,文件格式为.iqy,该文件默认由Excel打开,并检索文件中的URL的任何对象。Iqy文件也在最近被用来投放FlawdAmmyy等远控。

此次投放的为一个名为credential.rar的压缩包,邮件正文如下,并且告诉收件人密码为123456。

压缩包中含有文件credential.iqy,文件中只有含有一个链接。

但正常情况下,直接打开iqy文件会弹出是否启用的通知框。

若启用,将会下载该txt,尝试执行其中的命令,而默认情况下,Excel不会启动命令cmd,但会在用户同意下执行。

同意启动cmd后,其会下载一个powershell脚本,脚本大致如下,其使用了Invoke-Obfuscation进行混淆,最后释放的是名为RogueRobin的payload。

在执行其任何功能之前,payload会检查它是否在沙箱中执行。其使用WMI查询并检查运行进程,以获取脚本可能在分析环境中执行的证据。具体的沙盒检查包括:

1、使用WMI检查VBOX,bochs,qemu,virtualbox和vm的BIOS版本(SMBIOSBIOSVERSION)。

2、使用WMI检查BIOS制造商是否有XEN。

4、使用WMI检查CPU核心数是否小于或等于1。

5、枚举“Wireshark”和“Sysinternals”的运行流程。

如果确认没有在沙箱中运行,它将尝试将自身安装到系统以维持访问,并创建一个文件%APPDATA%\ OneDrive.bat,内容如下:

powershell.exe -WindowStyle Hidden -exec bypass -File “%APPDATA%\OneDrive.ps1”

然后,该脚本将自身修改后的副本写入%APPDATA%\ OneDrive.ps1,并省略执行此安装的代码。要在系统启动时持续执行,脚本将在Windows启动文件夹中创建以下快捷方式,该文件夹将在每次用户登录时运行OneDrive.ps1脚本:

$env:SystemDrive\Users\$env:USERNAME\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneDrive.lnk

Payload会使用自定义DNS隧道协议与其配置的命令和控制(C2)服务器通信。在此payload内配置的域如下:

Anyconnect[.]stream

Bigip[.]stream

Fortiweb[.]download

Kaspersky[.]science

microtik[.]stream

owa365[.]bid

symanteclive[.]download

windowsdefender[.]win

DNS隧道协议可以使用多种不同的DNS查询类型与C2服务器进行交互。Payload具有它在测试早期调用的功能,以查看哪些DNS查询类型能够成功到达C2服务器。它遍历一个类型列表,第一个从C2服务器接收响应的DNS类型将用于payload和C2服务器之间的所有通信,顺序如下:

1、A

2、AAAA

3、AC

4、CNAME

5、MX

6、TXT

7、SRV

8、SOA

Payload使用具有特定参数的内置Windows nslookup应用程序和特制的子域来与C2通信。为了与C2建立通信,payload将首先获得C2服务器发布的系统特定标识符。有效负载发送以获取系统特定标识符的初始DNS查询使用以下结构,其中包括当前进程标识符(PID)作为C2域的子域:

.

C2服务器将在DNS响应的响应部分内提供系统特定的标识符。下表说明了payload如何根据查询类型从C2服务器的响应中获取系统标识符:

一旦获得系统标识符,payload会收集系统特定信息并将其发送到C2服务器。收集的信息将添加到以下结构中的字符串中:

|||||||||

payload将对此字符串进行base64编码,并使用其DNS隧道协议将数据传输到C2。隧道协议通过发送一系列DNS查询与C2域的子域内的数据来传输数据。每个出站DNS请求的结构如下:

---.

payload将根据其用于与C2通信的DNS请求的类型来查找对这些出站查询的不同响应。以下显示了C2用于传输成功或取消消息的特定IP地址或字符串,具体取决于用于C2通信的DNS查询类型:

在提供系统特定信息之后,payload将与C2服务器交互以获得命令,payload将其称为作业。C2将提供一个字符串,payload将根据其命令处理程序确定要执行的命令。要获取要作为命令处理的字符串,有效内容将发出一系列DNS查询以解析具有以下结构的域:

--.

C2服务器将提供对这些查询的响应,这些查询包含IPv4或IPv6地址中的答案,具体取决于payload用于与其C2服务器通信的DNS查询的类型。有效负载将使用特定的正则表达式,这取决于用于获取命令字符串的DNS查询的类型,如下表所示:

这些正则表达式用于构建字符串,然后payload将通过这些命令进行操作。下面为各类命令的作用,这些命令提供了各种远程管理功能。如下:

最后,从该组织的域名命名方式出发,可以发现很多与安全厂商相关的命名,如下所示:

Anyconnect[.]stream

Bigip[.]stream

Fortiweb[.]download

Kaspersky[.]science

microtik[.]stream

owa365[.]bid

symanteclive[.]download

windowsdefender[.]win

其中,解析的域名IP均属于中国服务提供商,而ClearSky曾称DarkHydru组织的另一个恶意文档相关联的域名0utl00k.net的解析IP 195.154.41.150 ,关联上了cisc0.net这个域名,而该域名可能与Copy Kittens相关,但根据paloalto所言,两者技术手段和受害者相差过远,因此DarkHydru仍为一个全新的APT组织。

二、本周流行安全事件

1、利用 Microsoft office漏洞分发FELIXROOT后门

近日,国外安全研究机构发现了攻击者使用已知Microsoft office漏洞CVE-2017-0199和CVE-2017-11882在受害者的机器上下载并执行后门文件FELIXROOT。

攻击第一阶段,首先是钓鱼邮件中包含一个声称有关环境保护的研讨会的诱饵文件,诱饵文件中利用CVE-2017-0199从193.23.181.151下载Seminar.rtf文件,Seminar.rtf文件利用CVE-2017-11882下载并执行第二阶段攻击。

第二阶段攻击下载一个可执行文件(MD5:78734CD268E5C9AB4184E1BBE21A6EB9),该文件用于分发和执行FELIXROOT dropper组件,该文件执行后创建两个文件:指向%system32%\ rundll32.exe的LNK文件和FELIXROOT加载程序组件。LNK文件将移动到启动目录,下图显示了LNK文件中用于执行FELIXROOT的加载程序组件的命令。

后门的字符串使用自定义加密算法,该算法用带有4字节秘钥的XOR,用于ascll和Unicode字符串解密逻辑。

网络通信:FELIXROOT通过HTTP和HTTPS POST协议与C2通信。通过网络发送的数据经过加密并以自定义结构排列。所有数据都使用AES加密,并转换为Base64,然后发送到C2服务器。

CVE-2017-0199和CVE-2017-11882是我们目前看到的两个最常被利用的漏洞。恶意攻击者将越来越多地利用这些漏洞进行攻击,直到所有系统都打上补丁,不再能利用。

IOC:

本周升级公告

本周更新事件特征:

HTTP_木马后门_Win32.Zediv_连接

TCP_后门_PoisonIvy_Keepalive_连接3

UDP_木马后门_Plaintee(Rancore)_连接1

UDP_木马后门_Plaintee(Rancore)_连接2

UDP_木马后门_Plaintee(Rancore)_连接3

UDP_木马后门_Plaintee(Rancore)_连接4

UDP_木马后门_Plaintee(Rancore)_连接5

UDP_木马后门_Plaintee(Rancore)_连接6

UDP_木马后门_Plaintee(Rancore)_连接7

UDP_木马后门_Plaintee(Rancore)_连接8

HTTP_木马后门_FusionCore_连接

HTTP_勒索软件_GandCrab_v4

HTTP_Linux命令注入攻击

HTTP_后门_ProRatr_下载恶意代码

TCP_后门_PoisonIvy_Keepalive_连接2

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180729G159FJ00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

同媒体快讯

关注

腾讯云开发者公众号
10元无门槛代金券
洞察腾讯核心技术
剖析业界实践案例
腾讯云开发者公众号二维码

扫码关注腾讯云开发者

领取腾讯云代金券