金睛安全播报 NO.048

本周安全态势

一、本周高级威胁攻击动态

1、新APT组织DarkHydrus，目标为中东政府

DarkHydrus组织近日被paloalto披露，并且指出其自2016年初已经开始进行活动。

此次攻击为该组织利用新文件格式进行鱼叉攻击活动，文件格式为.iqy，该文件默认由Excel打开，并检索文件中的URL的任何对象。Iqy文件也在最近被用来投放FlawdAmmyy等远控。

此次投放的为一个名为credential.rar的压缩包，邮件正文如下，并且告诉收件人密码为123456。

压缩包中含有文件credential.iqy，文件中只有含有一个链接。

但正常情况下，直接打开iqy文件会弹出是否启用的通知框。

若启用，将会下载该txt，尝试执行其中的命令，而默认情况下，Excel不会启动命令cmd，但会在用户同意下执行。

同意启动cmd后，其会下载一个powershell脚本，脚本大致如下，其使用了Invoke-Obfuscation进行混淆，最后释放的是名为RogueRobin的payload。

在执行其任何功能之前，payload会检查它是否在沙箱中执行。其使用WMI查询并检查运行进程，以获取脚本可能在分析环境中执行的证据。具体的沙盒检查包括：

1、使用WMI检查VBOX，bochs，qemu，virtualbox和vm的BIOS版本（SMBIOSBIOSVERSION）。

2、使用WMI检查BIOS制造商是否有XEN。

4、使用WMI检查CPU核心数是否小于或等于1。

5、枚举“Wireshark”和“Sysinternals”的运行流程。

如果确认没有在沙箱中运行，它将尝试将自身安装到系统以维持访问，并创建一个文件％APPDATA％\ OneDrive.bat，内容如下：

powershell.exe -WindowStyle Hidden -exec bypass -File “%APPDATA%\OneDrive.ps1”

然后，该脚本将自身修改后的副本写入％APPDATA％\ OneDrive.ps1，并省略执行此安装的代码。要在系统启动时持续执行，脚本将在Windows启动文件夹中创建以下快捷方式，该文件夹将在每次用户登录时运行OneDrive.ps1脚本：

$env:SystemDrive\Users\$env:USERNAME\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneDrive.lnk

Payload会使用自定义DNS隧道协议与其配置的命令和控制（C2）服务器通信。在此payload内配置的域如下：

Anyconnect[.]stream

Bigip[.]stream

Fortiweb[.]download

Kaspersky[.]science

microtik[.]stream

owa365[.]bid

symanteclive[.]download

windowsdefender[.]win

DNS隧道协议可以使用多种不同的DNS查询类型与C2服务器进行交互。Payload具有它在测试早期调用的功能，以查看哪些DNS查询类型能够成功到达C2服务器。它遍历一个类型列表，第一个从C2服务器接收响应的DNS类型将用于payload和C2服务器之间的所有通信，顺序如下：

1、A

2、AAAA

3、AC

4、CNAME

5、MX

6、TXT

7、SRV

8、SOA

Payload使用具有特定参数的内置Windows nslookup应用程序和特制的子域来与C2通信。为了与C2建立通信，payload将首先获得C2服务器发布的系统特定标识符。有效负载发送以获取系统特定标识符的初始DNS查询使用以下结构，其中包括当前进程标识符（PID）作为C2域的子域：

.

C2服务器将在DNS响应的响应部分内提供系统特定的标识符。下表说明了payload如何根据查询类型从C2服务器的响应中获取系统标识符：

一旦获得系统标识符，payload会收集系统特定信息并将其发送到C2服务器。收集的信息将添加到以下结构中的字符串中：

|||||||||

payload将对此字符串进行base64编码，并使用其DNS隧道协议将数据传输到C2。隧道协议通过发送一系列DNS查询与C2域的子域内的数据来传输数据。每个出站DNS请求的结构如下：

---.

payload将根据其用于与C2通信的DNS请求的类型来查找对这些出站查询的不同响应。以下显示了C2用于传输成功或取消消息的特定IP地址或字符串，具体取决于用于C2通信的DNS查询类型：

在提供系统特定信息之后，payload将与C2服务器交互以获得命令，payload将其称为作业。C2将提供一个字符串，payload将根据其命令处理程序确定要执行的命令。要获取要作为命令处理的字符串，有效内容将发出一系列DNS查询以解析具有以下结构的域：

--.

C2服务器将提供对这些查询的响应，这些查询包含IPv4或IPv6地址中的答案，具体取决于payload用于与其C2服务器通信的DNS查询的类型。有效负载将使用特定的正则表达式，这取决于用于获取命令字符串的DNS查询的类型，如下表所示：

这些正则表达式用于构建字符串，然后payload将通过这些命令进行操作。下面为各类命令的作用，这些命令提供了各种远程管理功能。如下：

最后，从该组织的域名命名方式出发，可以发现很多与安全厂商相关的命名，如下所示：

Anyconnect[.]stream

Bigip[.]stream

Fortiweb[.]download

Kaspersky[.]science

microtik[.]stream

owa365[.]bid

symanteclive[.]download

windowsdefender[.]win

其中，解析的域名IP均属于中国服务提供商，而ClearSky曾称DarkHydru组织的另一个恶意文档相关联的域名0utl00k.net的解析IP 195.154.41.150 ，关联上了cisc0.net这个域名，而该域名可能与Copy Kittens相关，但根据paloalto所言，两者技术手段和受害者相差过远，因此DarkHydru仍为一个全新的APT组织。

二、本周流行安全事件

1、利用 Microsoft office漏洞分发FELIXROOT后门

近日，国外安全研究机构发现了攻击者使用已知Microsoft office漏洞CVE-2017-0199和CVE-2017-11882在受害者的机器上下载并执行后门文件FELIXROOT。

攻击第一阶段，首先是钓鱼邮件中包含一个声称有关环境保护的研讨会的诱饵文件，诱饵文件中利用CVE-2017-0199从193.23.181.151下载Seminar.rtf文件，Seminar.rtf文件利用CVE-2017-11882下载并执行第二阶段攻击。

第二阶段攻击下载一个可执行文件（MD5：78734CD268E5C9AB4184E1BBE21A6EB9），该文件用于分发和执行FELIXROOT dropper组件，该文件执行后创建两个文件：指向％system32％\ rundll32.exe的LNK文件和FELIXROOT加载程序组件。LNK文件将移动到启动目录，下图显示了LNK文件中用于执行FELIXROOT的加载程序组件的命令。

后门的字符串使用自定义加密算法，该算法用带有4字节秘钥的XOR，用于ascll和Unicode字符串解密逻辑。

网络通信：FELIXROOT通过HTTP和HTTPS POST协议与C2通信。通过网络发送的数据经过加密并以自定义结构排列。所有数据都使用AES加密，并转换为Base64，然后发送到C2服务器。

CVE-2017-0199和CVE-2017-11882是我们目前看到的两个最常被利用的漏洞。恶意攻击者将越来越多地利用这些漏洞进行攻击，直到所有系统都打上补丁，不再能利用。

IOC：

本周升级公告

本周更新事件特征：

HTTP_木马后门_Win32.Zediv_连接

TCP_后门_PoisonIvy_Keepalive_连接3

UDP_木马后门_Plaintee(Rancore)_连接1

UDP_木马后门_Plaintee(Rancore)_连接2

UDP_木马后门_Plaintee(Rancore)_连接3

UDP_木马后门_Plaintee(Rancore)_连接4

UDP_木马后门_Plaintee(Rancore)_连接5

UDP_木马后门_Plaintee(Rancore)_连接6

UDP_木马后门_Plaintee(Rancore)_连接7

UDP_木马后门_Plaintee(Rancore)_连接8

HTTP_木马后门_FusionCore_连接

HTTP_勒索软件_GandCrab_v4

HTTP_Linux命令注入攻击

HTTP_后门_ProRatr_下载恶意代码

TCP_后门_PoisonIvy_Keepalive_连接2