Kwampirs RAT针对软件供应链公司进行攻击活动分析报告

介绍

在过去的几年中,恶意软件威胁已越来越多地针对工业控制系统。这些威胁变得越来越令人担忧,以至于联邦调查局最近不得不发布特别是针对某人的公开警告。正如ZDNET报道的那样,美国私营部门被警告针对供应链软件提供商的恶意软件活动。该报告引用的恶意软件是Kwampirs RAT-Orangeworm组选择的恶意工具。 考虑到该活动可能带来的影响,我们决定利用Titanium平台对其内部工作进行研究。从威胁分析的角度来看,此恶意软件最重要的部分是其配置(控制服务器,它使用的互斥量,它创建的注册表项……),因为它实际上是一个远程访问木马(RAT)。 遵循网络配置中剩下的面包屑,恶意软件的演变可以映射到该组织开展的活动。通过调查该恶意软件与新恶意软件报告的联系,可以独立确认其活动。但是更重要的是,记录恶意软件网络基础结构可以帮助防御者更有效地保护组织免受正在进行的攻击。

扩大图片

每个研究都基于已经公开的内容,因此我们通过查找以前的出版物来开始我们的研究。正如引用的ZDNET文章所报道的那样,该小组自2015年以来就使用了该恶意软件,因此可以安全地假设已经存在对该威胁的技术分析。本文中引用了两个此类技术报告:第一个来自Symantec,第二个来自Lab52。赛门铁克的报告较旧,提供了一些技术细节,但主要针对的是IOC。另一方面,Lab52的报告对恶意软件进行了更深入的技术分析,列出了使用过的模块,并详细描述了丢弃和感染阶段。该报告还包括一个鸣叫链接包含可用于检测Kwampirs的YARA规则。 我们研究中的下一个逻辑步骤是获取样本。公开可用的YARA规则是一个完美的起点,因为它们很容易部署到ReversingLabs A1000威胁分析平台。Retro Hunt功能提供了一种快速的方法,可以将这些YARA规则与最近90天内Titanium Platform看到的所有样本进行匹配。通过使用这些规则的Retro Hunting,我们找到了以下示例。
ReversingLabs A1000的Retro Hunt结果
ReversingLabs A1000的Retro Hunt结果 正如前面提到的Lab52技术分析所描述的那样,主要的RAT功能可以在安装程序的DLL负载中找到。

有效负载分析

RAT DLL导出的功能
RAT DLL导出的功能 Titanium平台分析与参考技术分析中描述的事实相符。DLL仅导出一个名为ControlTrace的函数。此外,相似性分析还显示,该样本与ReversingLabs TitaniumCloud中的726个其他样本具有相同的功能,并通过RHA1相似性算法分组。这些发现大大扩展了分析样本集。
与RAT示例关联的威胁名称
与RAT示例关联的威胁名称 为了完成任务,我们选择了另一个关键点-检测到的威胁名称;在这种情况下,Win32.Trojan.Kwampirs。搜索具有该威胁名称的DLL文件类型的所有样本都会得到更多匹配。 按其“首次看到”属性排序时,此搜索查询的结果显示出甚至更有趣的数据点。按“首次看到时间”排序自然会根据文件大小将这些样本分组。这种枢转不仅有助于分组,而且还有助于发现其他Kwampirs RAT版本。
搜索结果按首次出现并根据威胁名称和文件类型排序
搜索结果按首次出现并根据威胁名称和文件类型排序 对代码模式进行调查后发现,现有技术报告中描述的530 KB样本和255 KB样本之间存在很大的相似性。它们之间的主要区别是在资源中找到的BMP映像,它实际上是一个加密的PE32可执行文件。这仅在255 KB样本的删除器中找到。第二个重要区别是C2主机以明文形式存储。 148 KB示例的代码模式与其他示例略有不同。但是,配置解密密钥和算法仍然相同。另外,导出的函数名称不是ControlTrace-它是MyDllMain,并且在编译期间的原始DLL名称不是wmiax.dll,而是Actuator.dll
新发现的样本导出的函数
新发现的样本导出的函数 绕过原始DLL名称,发现了另一个有趣的示例,该示例未像其他示例一样归属于Win32.Trojan.Kwampirs
透视新的导出名称
透视新的导出名称 分析此样本并将其与上一个样本进行比较,可以发现它们实际上是相同的。最终的样本在某些地方具有稍微简单的逻辑,但是提取的域是相同的。两者之间最有趣的区别是用户代理字符串。Kwampirs的大多数示例都将User Agent字符串设置为“ Mozilla /…”,但此示例将其设置为“ ItIsMe”。这些事实与我们云中首次出现的日期相结合,得出的结论是,这是RAT开发过程中的早期版本。
用户代理字符串差异
用户代理字符串差异 收集样本不仅仅是数据ho积活动。必须编写可靠的恶意软件配置解析器,以从收集的样本(主要是C2 URL)中提取网络配置。这些URL很有趣,因为此RAT查找活动C2服务器的方式。每个样本都带有200个URL的硬编码列表,它将尝试按顺序访问。C2位置可以采用域名或IP地址的形式。该恶意软件使用它找到的第一个活动URL作为C2服务器。 由于恶意软件配置隐藏在将DLL拖放到系统上的安装程序中,因此需要在解析器旁边创建一个解压缩程序。此解包程序分解安装组件并提取DLL,从而使解析器可以收集必要的C2信息。 使用提取和解析的这种组合,大约收集了1600个URL。列表中有些重复,因为在多个样本中发现了一些URL。对这些数据进行重复数据删除后,URL的数量减少到1586个URL。 分析提取结果后发现,即使它们的哈希值不同,某些吸管也使用相同的有效载荷。这些样本之间的唯一区别是,用于随机文件名生成的64字节字符串是其执行逻辑的一部分。这表明,即使它们使用旧的DLL负载,实际上在云中最近看到的新的Dropper样本也是经过重新编译的。

将样本分组到广告系列中

恶意操作通常是在浪潮(或活动)中执行的,这些浪潮通常共享相同的控制服务器基础结构。我们收集的每个Kwampirs示例都带有一组200个控制服务器URL。由于这些网址中有1586个是唯一的,因此可以安全地假设它们是多个广告系列的残余。由于提取的URL的数量不是200的倍数,因此网络基础结构的某些部分可能会被多个广告系列重用。 将样本分组到活动中是一个挑战。拆分数据集的一种方法是在发现时进行,但这可能不是最佳方法。在这种情况下,一些样本已经通过大小和发现时间的组合很好地分组在一起。但是,这仍然留下了600多个大小为255 KB的文件样本。 由于样本收集量太大,无法进行人工检查,因此我们依靠静态分析来提供帮助。使用我们的Titanium平台处理样品并将结果插入ELK堆栈可以帮助我们找到合适的分组标准。 立即,最让我们感到惊讶的是两个元数据字段-丰富的标头信息和文件编译时间戳。富标头是一种结构,通常会在PE签名之前出现在PE文件中。它包含有关编译和链接过程的信息,例如工具链版本工件。在这种情况下,Rich标头显示所有示例都是使用Visual Studio 2010编译的。它们的时间戳与它们在2015年5月及之后在云中的首次出现并不相关。实际上,它们看上去都好像在云出现之前几年就已经编译过了。有了关于该组操作的已知信息,这可能意味着样本是在虚拟机上编译的,故意造成了错误的时间。
丰富的标头和时间戳分组
丰富的标头和时间戳分组 根据这些标准对样本进行分组,可以为从中提取的域提供更清晰的结果。每组样本在其配置中都有一组或两组URL,这些URL重复了相同的次数。这样,分组就完成了,它提供了以下有关样本与广告系列关系的见解。
样品的最终分组
样品的最终分组

版本关联

为了可视化,将提取的数据加载到Maltego中,该数据创建了一个图表,显示了样本与跨不同活动使用的域之间的相关性。这证实了大多数活动是通过一个或多个控制域互连的。
广告活动相关性和连通性
广告活动相关性和连通性 处理从最近看到的样本中提取的某个域的历史DNS解析数据,发现更有趣的数据。正如RiskIQ的Passivetotal所示,域dswmain.org这是在看到CampaignC解决,在过去的两个主机。
dswmian.org网站的历史DNS解析
dswmian.org网站的历史DNS解析 当前,它重定向到IP地址为172.105.123.10的污水池服务器。查看已解决该主机的域名列表,我们可以看到更多属于Kwampirs广告系列的域名-不是全部,而是一小部分。大部分提取的域还无法解析任何内容,因此当活动控制域受到破坏或出现故障时,它们可以用作备份域。由于这是一个漏洞服务器,因此该信息无法确认这些广告系列共享基础架构的假设,但确实显示了过去使用了哪些域以及何时使用它们。
透视解析的IP地址
透视解析的IP地址 有趣的是,尚未从任何遇到的样本中提取该列表中的几个域。但是,它们看起来确实像Kwampirs可以使用的域,因为它们由几个重复的随机字母组成。这可能意味着还有一些尚待收集样本的活动。但是,根据被动DNS服务首次看到这些域的时间安排,它们很可能已被一些较早的示例使用,并且属于已经映射的活动的一部分。

结论

防止供应链攻击有两个方面。组织必须保护其开发环境,并确保其供应商不受影响。Kwampirs RAT代表针对安全软件供应链的有针对性的攻击,因此需要密切监视其新活动。 联邦调查局发出的警告在这里提出的研究中得到了证实。攻击者仍在使用相同的感染方法,工具和网络基础结构,这表明其活动是恒定的。 使用ReversingLabs Titanium平台可以轻松地将开源威胁情报转换为可操作的数据。它从庞大的数据存储库中提取数据,使防御者能够收集必要的样本并提取有价值的IOC,这些IOC可用于保护组织免受过去和正在进行的攻击。

国际奥委会名单

以下链接包含从收集的样本中提取的数据。这些IOC可通过创建阻止防火墙和入侵检测系统规则来提高组织的安全性。它们还可以用于在SIEM日志中搜索受感染的端点。IOC按本文前面的描述进行分组。 SHA1: https://blog.reversinglabs.com/hubfs/Blog/IOC%20list/SHA1_LIST.txt Campaign 0: https://blog.reversinglabs.com/hubfs/Blog/IOC%20list/Campaign_0_IOC.txt Campaign 1: https://blog.reversinglabs.com/hubfs/Blog/IOC%20list/Campaign_1_IOC.txt Campaign A: https://blog.reversinglabs.com/hubfs/Blog/IOC%20list/Campaign_A_IOC.txt Campaign B: https://blog.reversinglabs.com/hubfs/Blog/IOC%20list/Campaign_B_IOC.txt Campaign C: https://blog.reversinglabs.com/hubfs/Blog/IOC%20list/Campaign_C_IOC.txt Campaign D: https://blog.reversinglabs.com/hubfs/Blog/IOC%20list/Campaign_D_IOC.txt Campaign E: https://blog.reversinglabs.com/hubfs/Blog/IOC%20list/Campaign_E_IOC.txt Campaign F: https://blog.reversinglabs.com/hubfs/Blog/IOC%20list/Campaign_F_IOC.txt
0 0 vote
Article Rating

未经允许不得转载:x-sec » Kwampirs RAT针对软件供应链公司进行攻击活动分析报告

赞 (0) 打赏
Subscribe
Notify of
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x