checkpoint发布安全报告《恶性熊猫:COVID运动》

Check Point Research发现了一项针对蒙古公共部门的新攻击,本次攻击利用了目前的冠状病毒恐慌,目的是向目标发送以前未知的恶意软件植入物。通过对攻击痕迹以及攻击工具进行全面分析,确定为中国官方背景的APT小组。该APT小组进行的其他行动(至少可以追溯到2016年)联系在一起。多年来,这些行动的目标是多个国家/地区的不同部门,例如乌克兰,俄罗斯,和白俄罗斯。但是本次攻击意图尚未可知。

介绍

Check Point Research发现了一项针对蒙古公共部门的新运动,该运动利用了目前的冠状病毒恐慌,目的是向目标发送以前未知的恶意软件植入物。 仔细研究该活动,我们可以将其与同一个匿名团体进行的其他行动(至少可以追溯到2016年)联系在一起。多年来,这些行动的目标是多个国家/地区的不同部门,例如乌克兰俄罗斯,和白俄罗斯。 在本报告中,我们将对整个研究活动中使用的TTP,基础设施以及我们在研究过程中发现的新工具进行全面分析,我们认为这是中国威胁者。

诱饵文件

当我们确定发送给蒙古公共部门的两份可疑RTF文件时,便开始了调查。这些文件用蒙古语写成,据称其中之一来自蒙古外交部:
文件1:关于新的冠状病毒感染流行率的信息
文件2:纪录片项目中的建筑物采购 这些RTF文件使用7.x名为RoyalRoad(aka 8.t)的工具的版本进行了武器处理。 该工具通常被各种中国威胁者使用,它使攻击者可以创建带有嵌入式对象的自定义文档,从而利用Microsoft Word的Equation Editor漏洞。

感染链

受害者打开特制的RTF文档并利用Microsoft Word漏洞后,将名为的文件intel.wll放入Word启动文件夹:中%APPDATA%\Microsoft\Word\STARTUP。 这种持久性技术经常被新版的RoyalRoad使用。每次启动Microsoft Word应用程序时,WLLWord Startup文件夹中带有扩展名的所有DLL文件也将启动,从而触发我们在下面介绍的感染链:
感染链图 这不仅是一种持久性技术,而且还可以防止感染链在沙盒中运行时完全“引爆”,因为要完全执行该恶意软件,必须重新启动Microsoft Word。 加载后,恶意intel.wllDLL继续从威胁参与者的服务器之一下载并解密感染链的下一阶段95.179.242[.]6。 下载的下一个阶段也是DLL文件,它充当攻击者开发的恶意软件框架的主要加载程序。它使用来执行Rundll32,并且与威胁参与者的另一C&C服务器(95.179.242[.]27)通信以接收其他功能。 威胁参与者在有限的每日窗口中操作C&C服务器,每天仅在线几个小时上网,这使得更难分析和访问感染链的高级部分。 在感染链的最后阶段,收到适当的命令后,恶意加载程序会以DLL文件的形式下载并解密RAT模块,并将其加载到内存中。这种类似于插件的体系结构可能暗示我们除了收到的有效载荷外还存在其他模块。 RAT模块似乎是一种自定义且独特的恶意软件,尽管它还包含一些相当通用的核心功能,如下所示:
  • 截屏
  • 列出文件和目录
  • 创建和删除目录
  • 移动和删除文件
  • 下载档案
  • 执行新流程
  • 获取所有服务的列表

打开窗户

在研究开始之初,攻击者的一台服务器(用于下一阶段的恶意软件)在限定时间内启用了目录列表。这样一来,我们就可以下载所有托管文件,并深入了解操作时间表和攻击者的工作时间。
打开目录95.179.242 [。] 6 即使它们可供下载,服务器上的所有文件都已加密。 幸运的是,通过使用感染链中相同的加密方案,我们能够解密服务器上存储的大多数文件。
  1. 键= “ VkvX7CK7X7 * t $ x&hssLR6fOyFSaKrFJKx&@#AK * Fnukj @ J9J40f1mKaN $ nsCNKPe”
  2. def 解密(enc,offset ):
  3. 解密= “”
  4. 对于范围(len个(ENC )):
  5. 解密+ = chr ((ord (enc [ i ] )^ ord (key [ (i + offset )&0x3f ] ))))
  6. 返回解密
源自“ intel.wll”的解密方案 我们能够解密的十二个文件可以分为四个主要的恶意软件加载程序家族集群。它们的嵌入式内部名称和核心功能如下所述:
http_dll.dll(Intel.wll) 上面描述的第一级装载机。解密C&C地址,然后下载并解密下一阶段的DLL,然后通过执行它Rundll32
ppdown.dll 充当攻击者服务器上存储的.rar文件的下载器和解密器。access.txt从服务器读取文件,对其解密并将结果分为3部分: 1)下一个要下载的阶段的名称。 2)调用下一个导出功能。 3)下一阶段的解密密钥。
Rundll32Templete.dll 此变体用作下一级有效载荷的加载器和解密器。有效负载在.sect节中加密。
Minisdllpub.dll 第二阶段的加载器,将在下面进行详细介绍。加载其他DLL插件。此有效负载的类似版本称为minisdllpublog.dll,包含一些其他调试打印功能。
在服务器上找到的有效载荷类型

连接到其他样品

获得其他解密文件的访问权限后,我们便可以寻找类似的样本。 搜索由内部名称相似的文件(http_dllRundll32Templete minisdllpub),独特的导出函数(EngdicWSSetMSCheck)和代码的相似性(解密方法,通信方式等),使我们能够找到相关的攻击者更多的样本:
5560644578a6bcf1ba79f380ca8bdb2f9a4b40b7 http_dll.dll
207477076d069999533e0150be06a20ba74d5378 http_dll.dll
b942e1d1a0b5f0e66da3aa9bbd0fb46b8e16d71d http_dll.dll
9ef97f90dcdfe123ccb7d9b45e6fa9eceb2446f0 hcc_dll.dll
cf5fb4017483cdf1d5eb659ebc9cd7d19588d935 Rundll32Templete.dll
92de0a807cfb1a332aa0d886a6981e7dee16d621 Rundll32Templete.dll
cde40c325fcf179242831a145fd918ca7288d9dc minisdllpublog.dll
2426f9db2d962a444391aa3ddf75882faad0b67c IrmonSvc.dll
9eda00aae384b2f9509fa48945ae820903912a90 IrmonSvc.dll
2e50c075343ab20228a8c0c094722bbff71c4a2a IrmonSvc.dll
2f80f51188dc9aea697868864d88925d64c26abc NWCWorkstation.dll
新发现相关样品 发现的一个样本(92de0a807cfb1a332aa0d886a6981e7dee16d621)使我们找到了一篇涉及类似初始感染链的文章,该文章似乎是在乌克兰目标之后。 另一个样本(9ef97f90dcdfe123ccb7d9b45e6fa9eceb2446f0)最初是由RTF 文档删除的,该文档似乎是针对俄罗斯联邦的实体的,早在2018年末。

基础设施

分析新发现的样本后,我们发现了威胁参与者使用的大部分基础架构以及一个通用的TTP:所有C&C服务器都托管在Vultr服务器上,而域则通过GoDaddy注册服务商进行了注册。
基础架构概述 在分析此活动时,除了使用的基础结构之外,我们还注意到攻击者的一种有趣行为 在某个时候,C&C服务器95.179.242[.]6停止为打开的目录列表提供服务。几天后dw.adyboh[.]com成为一个打开的目录:
在dw.adyboh [。] com上打开目录列表 这可能表明攻击者在其中一台有效负载交付服务器处于活动状态时正在启用目录列表。

归因

从恶意文档的角度来看,我们认为,命名方案intel.wll-这是由版本下降7.xRoyalRoad是不足以使一个明确的归属,正如我们观察到的下降不同的恶意软件系列,如各种威胁者使用相同的名称BisonalPoison Ivy。 另一方面,从有效载荷的角度来看,一旦我们找到了上面“狩猎”部分提到的其他相关样本,便能够将其连接到已知的威胁组。在上述NWCWorkstation.dll示例中,我们观察到一个唯一的字符串作为日志记录功能的一部分:“ V09SS010”。这使我们想到了Palo Alto Networks在2017年发表的一篇文章,标题为“ 威胁行动者是白俄罗斯的目标政府”,其中描述了利用名为RAT的攻击BYEBY。 该文章本身还与上一篇可追溯到2016年的文章相关,该文章在针对蒙古政府的攻击中使用了相同的工具。本文还探讨了这些攻击与以前与该Enfal特洛伊木马有关的攻击之间的联系。 通过将2017年攻击中的IOC与我们的竞选活动进行比较,我们观察到了一些相似之处:
基础架构相似
2017年出版物中的服务器与我们在调查中发现的所有其他示例都设置在相同的基础架构上,并利用VultrGoDaddy服务。
代码相似
分析来自打开目录(bf9ef96b9dc8bdbc6996491d8167a8e1e63283fe)的文件之一时,我们注意到该文件解密并加载了名为的DLL wincore.dll。通过调查这个删除的文件,我们能够对BYEBY2017年以来的样本进行一些关联:
  1. 字符串相似度:
“ BYEBY”琴弦
“ wincore.dll”字符串
  1. 功能相似-在这两个重要的功能BYEBY,并wincore.dll具有几乎相同的实现。有效载荷的主线程功能就是这样一种功能。
恶意软件实施的相似性
  1. 全局调用图和X-Ref图–即使两个示例中都存在混淆,我们仍然能够验证它们具有相似的调用图和参考图,这意味着可执行文件的核心功能是相同的。

有效负载–深度分析

概括地说,攻击链中的第二阶段有效载荷是名为的加密DLL文件minisdllpub.dll。从下载的DLL 95.179.242[.]6是用于其他有效负载的下载器。在下一节中,我们将介绍其实现,并重点介绍此有效负载特有的特性。 Minisdllpub.dll首先创建一个名为的互斥量Afx:DV3ControlHost。这是一个独特的指标,以后可以用来在野外寻找更多样本。然后,它定义了一个大小结构0x5f8来存储系统和环境信息,例如正在运行的计算机的名称,IP地址,用户名和OS版本。接下来,0x3FC创建另一个大小结构,这次将存储指向加载的DLL和API函数以及命令和控制IP地址(95.179.242[.]27)和端口(443)的指针。 设置好这些结构后,流程继续,并创建一个新线程。首先,它获取API函数的多个列表,并动态加载它们。从下图中可以看出,每个列表都由一个库的名称组成,然后是要从该库加载的一系列API函数。然后将这些函数的指针添加到先前的结构中,该结构用于在需要时动态调用它们。
以逗号分隔的API函数列表,带库名 然后,第二阶段有效负载建立HTTP或HTTPS通信,取决于几次检查,并开始在新线程中与其远程控制进行通信。服务器回复后,会使用密钥将XOR编码的DLL发送给恶意软件0x51Minisdllpub.dll然后解码给定的有效负载并将新的PE动态加载到内存。 加载后,它将搜索名称为e的导出函数。然后,该恶意软件会继续侦听来自服务器的命令,并在收到命令后将其传递给"e"新加载的负载功能。这样,第二阶段就充当了C&C和最终有效载荷(一种远程访问工具)之间的中间人。
恶意软件正在搜索导出功能“ e”,以便对其进行调用 至此,我们在受害者计算机上加载了模块的唯一布局。首先,是Minisdllpub.dll使用初始时Rundll32http_dll.dllintel.wll已执行Microsoft Office应用程序时)。接下来,我们有RAT有效负载本身,它不直接从C&C接收它的控制命令,而是通过Minisdllpub.dll它充当中介者。
加载程序执行流程 有趣的是,除了要执行的命令外,Minisdllpub.dll还将几种结构传递给最终的有效负载。RAT现在使用以前构建和填充的结构来动态调用API函数并将数据传递到C&C服务器。重复使用先前模块中加载的功能指针的独特方法也使得在没有上一阶段的情况下很难进行RAT分析。 最终有效负载的支持功能及其接收和发送的相应命令在附录A的表中进行了描述。

结论

在这次活动中,我们观察到了针对中国各地长期以来针对政府和组织的长期运作的最新动态。此特定运动利用了COVID-19大流行来诱使受害者触发感染链。 攻击者从带有宏和较旧的RTF漏洞的文档中更新了工具集,使其在野外观察到的“ RoyalRoad” RTF漏洞生成器的最新版本。 这个中国APT小组的全部意图仍然是个谜,但是显然他们会留下来,并将更新他们的工具,并尽一切努力吸引新的受害者加入他们的网络。 Check Point SandBlast Agent可以抵御这种APT攻击,并从一开始就阻止它。 附录A:RAT模块–支持的命令
命令ID(从C&C发送) 子命令ID(从C&C发送) 描述 响应ID(从Bot发送)
0x21 将文件写入指定的路径。将写入文件的时间戳设置为本地kernel32.dll的时间戳。 0x22
0x23 获取文件内容。 0x24
0x25 列出目录中的文件。 0x26
0x2E 在新线程中执行命令。 0x31
0x2F 执行命令。 0x30
0x32 0x00 通过给定路径创建目录。 0x33
0x32 0x01 删除给定路径中的目录。 0x33
0x32 0x02 将文件从给定路径移动到给定目录。 0x33
0x32 0x03 删除给定路径中的文件。 0x33
0x32 0x04 将文件从给定路径移动到给定目录。(与子命令0x02相同) 0x33
0x34 0x07 获取所有服务的列表。 0x35
0x34 0x08 使用WinExec执行新过程。 0x35
0x34 0x09 执行一个新的过程。(与子命令0x08相同) 0x35
0x34 0x0A 截屏。 0x35
0x34 0x15 设置注册表项值。 0x35
0x34 0x16 从URL下载文件。 0x3A或0x3B
0x34 0x17 从URL下载文件。(与子命令0x16相同) 0x3A或0x3B
0x34 0x18 创建管道并执行新过程。 0x3D或0x3B
0x34 0x19 创建管道并执行一个新进程(与0x18相同)。 0x3D或0x3B
0x36 复制扩展名为“ .t”的当前进程的文件,然后修改注册表。 0x37
附录B:服务器上的文件
内部文件名 SHA-1 服务器位置                                                     出口产品
http_dll.dll dde7dd81eb9527b7ef99ebeefa821b11581b98e0 img \ 0115 \ WRql7X 英格迪克
http_dll.dll fc9c38718e4d2c75a8ba894352fa2b3c9348c3d7 bin \ 0612wy3 \ KFuGrS-code MS检查
ppdown.dll 601a08e77ccb83ffcd4a3914286bb00e9b192cd6 bin \ 0612wy3 \ KFuGrS MS检查
ppdown.dll 27a029c864bb39910304d7ff2ca1396f22aa32a2 bin \ 0612wy3 \ KFuGrS-ppd-bak MS检查
Rundll32Templete.dll 8b121bc5bd9382dfdf1431987a5131576321aefb img \ 0115 \ CYMi0Y-bak img \ 0115 \ R7pEFv WSSet
Rundll32Templete.dll(x64) bf9ef96b9dc8bdbc6996491d8167a8e1e63283fe bin \ test0625 \ CmlN0i MS检查
minisdllpub.dll fcf75e7cad45099bf977fe719a8a5fc245bd66b8 img \ 0115 \ CYMi0Y img \ 0120 \ VIdALQ img \ 1224 \ AF9i1i WSSet
minisdllpublog.dll 0bedd80bf62417760d25ce87dea0ce9a084c163c bin \ 0612wy3 \ KFuGrS-www bin \ 0617wy3 \ LX5sG1 MS检查
gg.dll 5eee7a65ae5b5171bf29c329683aacc7eb99ee0c bin \ 0612wy3 \ TTXk1U.rar MS检查
minisdllpub.dll 3900054580bd4155b4b72ccf7144c6188987cd31 由 8b121bc5bd9382dfdf1431987a5131576321aefb删除 WSSet
wincore.dll e7826f5d9a9b08e758224ef34e2212d7a8f1b728 由 bf9ef96b9dc8bdbc6996491d8167a8e1e63283fe删除 加载内核
附录C:其他IOC 服务器:
95.179.242 [。] 6
95.179.242 [。] 27
199.247.25 [。] 102
95.179.210 [。] 61
95.179.156 [。] 97
dw.adyboh [。] com
wy.adyboh [。] com
feb.kkooppt [。] com
compdate.my03 [。] com
jocoly.esvnpe [。] com
bmy.hqoohoa [。] com
bur.vueleslie [。] com
wind.windmilldrops [。] com
RTF:
234a10e432e0939820b2f40bf612eda9229db720
751155c42e01837f0b17e3b8615be2a9189c997a
ae042ec91ac661fdc0230bdddaafdc386fb442a3
d7f69f7bd7fc96d842fcac054e8768fd1ecaa88a
dba2fa756263549948fac6935911c3e0d4d1fa1f
DLL:
0e0b006e85e905555c90dfc0c00b306bca062e7b
dde7dd81eb9527b7ef99ebeefa821b11581b98e0
fc9c38718e4d2c75a8ba894352fa2b3c9348c3d7
601a08e77ccb83ffcd4a3914286bb00e9b192cd6
27a029c864bb39910304d7ff2ca1396f22aa32a2
8b121bc5bd9382dfdf1431987a5131576321aefb
bf9ef96b9dc8bdbc6996491d8167a8e1e63283fe
fcf75e7cad45099bf977fe719a8a5fc245bd66b8
0bedd80bf62417760d25ce87dea0ce9a084c163c
5eee7a65ae5b5171bf29c329683aacc7eb99ee0c
3900054580bd4155b4b72ccf7144c6188987cd31
e7826f5d9a9b08e758224ef34e2212d7a8f1b728
a93ae61ce57db88be52593fc3f1565a442c34679
5ff9ecc1184c9952a16b9941b311d1a038fcab56
36e302e6751cc1a141d3a243ca19ec74bec9226a
080baf77c96ee71131b8ce4b057c126686c0c696
c945c9f4a56fd1057cac66fbc8b3e021974b1ec6
5560644578a6bcf1ba79f380ca8bdb2f9a4b40b7
207477076d069999533e0150be06a20ba74d5378
b942e1d1a0b5f0e66da3aa9bbd0fb46b8e16d71d
9ef97f90dcdfe123ccb7d9b45e6fa9eceb2446f0
cf5fb4017483cdf1d5eb659ebc9cd7d19588d935
92de0a807cfb1a332aa0d886a6981e7dee16d621
cde40c325fcf179242831a145fd918ca7288d9dc
2426f9db2d962a444391aa3ddf75882faad0b67c
9eda00aae384b2f9509fa48945ae820903912a90
2e50c075343ab20228a8c0c094722bbff71c4a2a
2f80f51188dc9aea697868864d88925d64c26abc
RAT:
238a1d2be44b684f5fe848081ba4c3e6ff821917
0 0 vote
Article Rating

未经允许不得转载:x-sec » checkpoint发布安全报告《恶性熊猫:COVID运动》

赞 (0) 打赏
Subscribe
Notify of
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x