資源共享吧|易語(yǔ)言論壇|逆向破解教程|輔助開(kāi)發(fā)教程|網(wǎng)絡(luò)安全教程|rigasin.com|我的開(kāi)發(fā)技術(shù)隨記

標(biāo)題: 網(wǎng)絡(luò)釣魚(yú)-魚(yú)叉攻擊 [打印本頁(yè)]

作者: 1366875557 時(shí)間: 2019-5-20 14:22
標(biāo)題: 網(wǎng)絡(luò)釣魚(yú)-魚(yú)叉攻擊
本帖最后由 1366875557 于 2019-5-20 14:24 編輯

三天前，Morphisec實(shí)驗(yàn)室的研究人員發(fā)現(xiàn)一波針對(duì)多個(gè)國(guó)家的大范圍網(wǎng)絡(luò)攻擊活動(dòng)。Morphisec的研究人員稱之為“Pied Piper”，主要的攻擊方式是通過(guò)向多個(gè)國(guó)家實(shí)施網(wǎng)絡(luò)釣魚(yú)來(lái)投送遠(yuǎn)控木馬程序（RAT）。

此次攻擊活動(dòng)中傳播的一個(gè)木馬程序版本為“FlawedAmmyy RAT”。該木馬使攻擊者可以完全控制受害者的PC系統(tǒng)，可以竊取系統(tǒng)文件、登錄憑證，以及實(shí)現(xiàn)遠(yuǎn)程截屏、控制攝像頭及麥克風(fēng)。此外，它還為攻擊者開(kāi)展橫向滲透攻擊打下了基礎(chǔ)，可以作為主要供應(yīng)鏈攻擊的潛在入口點(diǎn)。

如下文所述，如果該攻擊活動(dòng)順利實(shí)施的話，將對(duì)會(huì)Godiva Chocolates，Yogurtland和Pinkberry在內(nèi)的多家知名食品連鎖企業(yè)供應(yīng)商產(chǎn)生潛在影響。如果不禁用C＆C服務(wù)器的話，我們可以假設(shè)其他人很快也會(huì)受到此網(wǎng)絡(luò)攻擊活動(dòng)的影響。

近幾個(gè)月來(lái)，F(xiàn)lawinAmmyy遠(yuǎn)控木馬程序的使用量激增，上個(gè)月它已躋身Checkpoint全球威脅指數(shù)前十名。正如Proofpoint研究人員去年3月份所透露的那樣，此次攻擊活動(dòng)所使用的FlawinAmmyy遠(yuǎn)控木馬程序是基于已泄露的AmmyyAdmin遠(yuǎn)控木馬程序的源代碼程序開(kāi)發(fā)的變種程序。

隨著對(duì)該活動(dòng)的深入調(diào)查掌握，基于元數(shù)據(jù)和其他指標(biāo)，同一個(gè)攻擊活動(dòng)參與者正在交付另一個(gè)版本的遠(yuǎn)控木馬程序，該版本以遠(yuǎn)程操控器（RMS）RAT作為有效載荷。RMS RAT是建立在一個(gè)隨時(shí)可用的非商業(yè)庫(kù)之上的，該庫(kù)有助于分析代碼中出現(xiàn)的異常。

此攻擊活動(dòng)的所有版本都以網(wǎng)絡(luò)釣魚(yú)作為攻擊起點(diǎn)，欺騙受害者啟用宏功能。攻擊活動(dòng)會(huì)分多個(gè)階段進(jìn)行，最終將會(huì)提供一個(gè)完全簽名的可執(zhí)行RAT。

基于元數(shù)據(jù)分析，我們懷疑發(fā)起這次攻擊活動(dòng)的幕后黑手為Proofpoint所描述的TA505。截至本文發(fā)表時(shí)，攻擊活動(dòng)仍在繼續(xù)。Morphisec已向有關(guān)當(dāng)局報(bào)告了這次攻擊活動(dòng)的細(xì)節(jié)，以便對(duì)攻擊活動(dòng)所使用的C&C服務(wù)器采取措施。

本文我們將重點(diǎn)介紹Ammyy RAT的攻擊鏈，并指出其與RMS RAT攻擊鏈的區(qū)別。

技術(shù)介紹網(wǎng)絡(luò)釣魚(yú)

此次的“Pied Piper”攻擊活動(dòng)與之前的網(wǎng)絡(luò)釣魚(yú)攻擊活動(dòng)相似，之前的網(wǎng)絡(luò)釣魚(yú)所使用的遠(yuǎn)控木馬程序?yàn)锳mmyy Admin RAT。這些武器化的文檔采用了相同的彩色圖像，誘使受害者啟用宏功能來(lái)瀏覽Microsoft Office文檔。在此次攻擊活動(dòng)中，攻擊者使用了weaponized .pub (Microsoft Publisher)文檔以及更標(biāo)準(zhǔn)的.doc文件。Morphisec研究人員檢查了多個(gè)不同文件名的文檔。有些文件名為invoice_<random number>.pub，更多的則為invoice_laspinasfoods.doc。根據(jù)文件的元數(shù)據(jù)來(lái)分析，這些文檔似乎是在最近幾天創(chuàng)建的，目前還在繼續(xù)創(chuàng)建其他類似文件。

(, 下載次數(shù): 66)

(, 下載次數(shù): 64)

圖為西班牙語(yǔ)的釣魚(yú)Word文檔

(, 下載次數(shù): 62)

圖為德語(yǔ)的釣魚(yú)Word文檔

宏代碼分析

當(dāng)宏代碼被執(zhí)行時(shí)，將會(huì)在Windows計(jì)劃任務(wù)中添加一項(xiàng)計(jì)劃任務(wù)，該任務(wù)將在下一個(gè)攻擊階段被執(zhí)行。這是惡意程序作者為規(guī)避殺軟系統(tǒng)而設(shè)計(jì)的，同時(shí)也是打破攻擊鏈的一種常見(jiàn)做法，而不是直接去執(zhí)行下一階段的Word程序進(jìn)程。在Ammyy RAT和RMS RAT兩種攻擊方式中，已添加的計(jì)劃任務(wù)會(huì)執(zhí)行PowerShell命令，該命令會(huì)對(duì)從一個(gè)指定域名下載的MSI程序進(jìn)行相同的解密（所有域名都會(huì)在附錄中記載）。

(, 下載次數(shù): 65)

(, 下載次數(shù): 63)

(, 下載次數(shù): 61)

在已分析出的大多數(shù)情況下，MSI的名稱是“WpnUserService”。在所有情況下，MSI都包含一個(gè)可執(zhí)行文件MYEXE，該文件會(huì)根據(jù)它傳遞的RAT類型而進(jìn)行不同的簽名。這個(gè)可執(zhí)行文件只是用于下一個(gè)階段的下載者程序，而不是RAT本身。在下面的圖示中，我們對(duì)與Ammyy RAT程序相關(guān)的MYEXE進(jìn)行了逆向分析（這是最近編譯的一個(gè)變種程序）。

(, 下載次數(shù): 58)

通過(guò)截圖，我們可以清楚地看到可執(zhí)行文件會(huì)檢測(cè)一些常見(jiàn)的病毒查殺系統(tǒng)，如果檢測(cè)到其中一個(gè)，它將會(huì)使用一個(gè)不同的路徑（通過(guò)Svchost.exe來(lái)執(zhí)行）。如果沒(méi)有找到病毒查殺系統(tǒng)，它將從下一臺(tái)IP服務(wù)器（仍然不是C2服務(wù)器）下載一個(gè)臨時(shí)文件。此臨時(shí)文件是Ammyy RAT加密文件，將在后面的階段進(jìn)行解密。從下面的截圖可以看出，可執(zhí)行文件編寫(xiě)了一個(gè)自定義的GetProcAddress函數(shù)，并根據(jù)在程序運(yùn)行時(shí)計(jì)算的哈希值（SHIFT 7 + xor）加載內(nèi)存中的所有函數(shù)地址。

(, 下載次數(shù): 67)

GetProcAddress自定義函數(shù)還會(huì)接收一個(gè)參數(shù)，該參數(shù)會(huì)告訴它將需要哪些模塊，并根據(jù)參數(shù)來(lái)計(jì)算出導(dǎo)出表查找的相關(guān)偏移量（一種非標(biāo)準(zhǔn)的實(shí)現(xiàn)方法）。

(, 下載次數(shù): 58)

我們還可以看到針對(duì)kernel32模塊的標(biāo)準(zhǔn)查找，在迭代初始化順序模塊列表時(shí)只搜索后綴。

(, 下載次數(shù): 64)

如上所述，臨時(shí)文件會(huì)被解密為成一個(gè)名為wsus.exe新的可執(zhí)行文件。該可執(zhí)行文件即是Ammyy RAT自身的程序。如果當(dāng)前用戶不是Admin權(quán)限，則會(huì)立即執(zhí)行該過(guò)程，如下所示，該程序會(huì)添加稍后在登錄系統(tǒng)時(shí)執(zhí)行的一項(xiàng)計(jì)劃任務(wù)，從而獲得持久控制權(quán)限。

(, 下載次數(shù): 70)

如果當(dāng)前用戶是管理員權(quán)限，則會(huì)在系統(tǒng)中創(chuàng)建一個(gè)名為“foundation”的服務(wù)項(xiàng)。

(, 下載次數(shù): 62)

(, 下載次數(shù): 65)

(, 下載次數(shù): 61)

證書(shū)

Ammyy RAT和下載者程序使用了相同的證書(shū)“AWAY PARTNERS LIMITED”進(jìn)行簽名，而遠(yuǎn)程控制器RAT則使用了名為“DIGITAL DR”的證書(shū)進(jìn)行簽名。根據(jù)上面的證書(shū)和識(shí)別出的攻擊者相關(guān)信息，進(jìn)而通過(guò)Yara搜索出了更多的樣本，發(fā)現(xiàn)攻擊者使用RMS RAT程序發(fā)動(dòng)網(wǎng)絡(luò)攻擊活動(dòng)已有近一個(gè)多月時(shí)間，而使用的其他的遠(yuǎn)程木馬程序則已經(jīng)有數(shù)年了。

(, 下載次數(shù): 58)

當(dāng)執(zhí)行wsus.exe程序以后，RAT會(huì)將用戶相關(guān)的信息發(fā)送給C2服務(wù)器。發(fā)送的信息包括計(jì)算機(jī)的名稱、所在域、權(quán)限等（基本上屬于標(biāo)準(zhǔn)的Ammyy協(xié)議）。

(, 下載次數(shù): 68)

RAT的指針與wsus.exe可執(zhí)行文件中的字符串匹配：

(, 下載次數(shù): 58)

Morphisec實(shí)驗(yàn)室截獲了來(lái)自同一攻擊方的另一起攻擊行為。在一天之內(nèi)，攻擊方通過(guò)修改MSI打包內(nèi)容的方式，改變了Ammyy攻擊鏈原來(lái)的方式。

• Document (.doc) – 3f8a1922c7dc7df83bf1e7c130d306ef2d2a39fa

• MSI – 60971C1C1BC046D082E413D5CC2F9B38177F494E

攻擊者還更改了下載服務(wù)的IP地址: 195.123.240[.]220 New Ammyy RAT: A3C4AADDBE4AC319ACD181A6C6790EE40836F4EF (wsus.exe) 新的域名當(dāng)前已經(jīng)投入使用并指向相同的C&C服務(wù)器。

IOC

文檔哈希:

5740a465eea3b4c0d754bb22943b0d93ce95857d <.pub file>bb85526faa8de4941d8d884fc6818c898c1004ff <.pub file>d2a2557f35a34a21d8d7adf43eec8da2392595ec <.doc file>`

安裝程序 (WpnUserService):

078E4FAC0DADE6F7C8FBA11C5BE27CBF015E4E3108BF6E06811C7B43AF281C6C48E0A8197A24A252

MYEXE:

7BBDF72CFED063F3AB5D9EF3480FE3E5465A7006AA699F08DCD38A45C7509383B07A298B2D2F6C748B10CEBD3C24E80D62DBB06F989AF43CF732448CAmmy RAT (Wsus)4C4F2BBE3F49B17B04440C60F31293CB1431A8679B54BBB0730FD50789E13F1968043074EF30836C

域名:

hxxp://office365homedep[.]com/localdatahxxp://office365id[.]com/WpnUserServicehxxp://213.183.63[.]122/date1.dathxxp://185.68.93[.]117/date1.dat

C2服務(wù)器

185.99.133[.]83

RAT更多信息:

21347afa7af3b6c9cd0646ba4644c5b65ecaeb6c (.doc file)hxxp://idoffice365[.]com/camsvcB79D3D2410D75DFB0E58DE7C8EF9C38FCE33DDF3 (MSI)8B10CEBD3C24E80D62DBB06F989AF43CF732448C (MYEXE Downloader)651B8D1377910E4728E85DCD231E269313AB9E1D (RAT)89.144.25[.]164a026651e048174202501bc33cdb7d013517348d (09112018_281_29.doc - German)12e94fdb61f866e0f402c48f71a24d19bf2e8c32 (comprobante.doc - Spanish)