该起攻击行动样本技术特点分布图如下:
图 2‑1 该事件对应ATT&CK的技术特点映射图谱
表2‑1 该事件对应ATT&CK的技术行为描述表
|
ATT&CK阶段/类别 |
具体行为 |
注释 |
|
资源开发 |
获取基础设施 |
注册域名、设立服务器、建立钓鱼网站 |
|
初始访问 |
网络钓鱼 |
利用钓鱼网站传播 |
|
执行 |
利用命令和脚本解释器 |
使用cmd、powershell执行命令 |
|
执行 |
利用API |
利用Win32 API创建进程 |
|
执行 |
利用共享模块执行 |
使用公开的dll库文件 |
|
执行 |
利用第三方软件部署工具 |
使用安装包生成工具制作载荷 |
|
执行 |
诱导用户执行 |
伪装为盗版软件诱导用户执行 |
|
防御规避 |
执行签名的二进制文件代理 |
使用已签名的二进制工具收集数据 |
|
防御规避 |
虚拟化/沙箱逃逸 |
检测虚拟化/沙箱环境并改变行为 |
|
防御规避 |
进程注入 |
注入svchost进程 |
|
凭证访问 |
从存储密码的位置获取凭证 |
获取浏览器保存的密码 |
|
凭证访问 |
窃取Web会话Cookie |
获取浏览器Cookie |
|
发现 |
发现账户 |
发现本地系统用户名 |
|
发现 |
发现应用程序窗口 |
发现自身窗口 |
|
发现 |
发现浏览器书签 |
发现浏览器数据 |
|
发现 |
发现文件和目录 |
发现数据文件 |
|
发现 |
查询注册表 |
从注册表获取计算机识别码 |
|
发现 |
发现软件 |
发现浏览器、Telegram等软件 |
|
发现 |
发现系统信息 |
发现系统计算机名 |
|
发现 |
发现系统网络配置 |
发现系统MAC地址、IP地址等 |
|
发现 |
发现系统所有者/用户 |
发现系统当前用户名 |
|
发现 |
虚拟化/沙箱逃逸 |
检测虚拟化/沙箱环境 |
|
发现 |
发现系统地理位置 |
通过IP获取系统地理位置 |
|
收集 |
压缩/加密收集的数据 |
压缩收集的数据文件 |
|
收集 |
自动收集 |
自动收集各类数据文件 |
|
收集 |
数据暂存 |
将收集到的数据文件暂存在%ProgramData%目录 |
|
收集 |
获取屏幕截图 |
根据C2指令截取屏幕 |
|
命令与控制 |
使用应用层协议 |
使用HTTP协议下发指令 |
|
命令与控制 |
编码数据 |
使用gzip压缩控制指令 |
|
命令与控制 |
利用合法Web服务 |
使用faceit网站下发指令 |
|
数据渗出 |
自动渗出数据 |
自动将收集的数据回传给黑产组织 |
|
数据渗出 |
限制传输数据大小 |
限制收集用户文件的大小 |
|
数据渗出 |
使用非C2协议回传 |
将收集的数据发送到其他信道 |
|
数据渗出 |
使用C2信道回传 |
将收集的数据发送回C2信道 |
|
数据渗出 |
使用Web服务回传 |
使用iplogger.org获取数据 |
图3‑1 黑产组织伪装的盗版软件下载页面
图3‑2 黑产组织攻击行动整体运行流程
(2)部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对恶意代码的发现与追踪溯源。安天探海威胁检测系统(PTD)以网络流量为检测分析对象,能精准检测出已知海量恶意代码和网络攻击活动,有效发现网络可疑行为、资产和各类未知威胁;
(1)尽量不打开来历不明的网页链接;
(2)在威胁情报分析系统中查询URL是否具有威胁;
(3)建议使用官方网站下载的正版软件。如无官方网站建议使用可信来源进行下载,下载后使用反病毒软件进行扫描。
表5‑1 样本标签
|
病毒名称 |
Trojan/Win32.Stealer |
|
原始文件名 |
x86_x64_setup.exe |
|
MD5 |
4FDF5B107EC717E52FF69DFE28BA0383 |
|
处理器架构 |
Intel 386 or later, and compatibles |
|
文件大小 |
3.74 MB (3,917,782字节) |
|
文件格式 |
BinExecute/Microsoft.EXE[:X86] |
|
时间戳 |
2020-08-01 02:45:20 |
|
数字签名 |
无 |
|
加壳类型 |
无 |
|
编译语言 |
Nullsoft Scriptable Install System |
|
VT首次上传时间 |
2021-05-31 07:35:50 |
|
VT检测结果 |
42/ 70 |
表5‑2 释放的文件
|
文件名 |
说明 |
|
x86_x64_setup.exe |
黑产组织投放的样本 |
|
setup_installer.exe |
样本释放的自解压文件 |
|
setup_install.exe |
模块加载器 |
|
metina_1.exe |
注入svchost窃取浏览器数据 |
|
metina_2.exe |
暂未发现实际功能 |
|
metina_3.exe |
窃取机密信息 |
|
metina_4.exe |
窃取账户内数据 |
|
metina_5.exe |
释放广告插件 |
|
metina_6.exe |
窃取IP |
|
metina_7.exe |
伪装,窃取IP、浏览器等数据 |
|
libcurl.dll |
自解压释放的库文件,用于网络访问、建立进程等 |
|
libcurlpp.dll |
|
|
libgcc_s_dw2-1.dll |
|
|
libstdc++-6.dll |
|
|
libwinpthread-1.dll |
图5‑1 释放的文件及自解压配置信息
图5‑2 加载器连接指定URL
图5‑3 依次执行模块
将加载器版本、已执行模块的编号、数量等信息回传至http://estrix.xyz/addInstall.php,该样本中出现的加载器版本号为“31MAY1110AM”,意为“5月31日上午11时10分”。
图5‑4 回复的模块执行结果
若没有模块可以执行则发送错误信息到http://estrix.xyz/report_error.php。
图5‑5 回复的错误信息
该样本共有7个攻击模块,主要功能包括窃取浏览器Cookie、保存的密码、历史记录,收集系统信息、网络配置信息,释放广告插件等。
图5‑6 加载shellcode
表5‑3 shellcode采用的对抗方法
|
方法 |
说明 |
|
IsProcessorFeaturePresent函数 |
检测CPU支持的功能特性(反虚拟机) |
|
xgetbv指令 |
检测CPU支持的功能特性(反虚拟机) |
|
cpuid指令 |
检测CPU型号等(反虚拟机) |
|
QueryPerformanceCounter函数 |
检测程序运行时间(反调试) |
图5‑7 部分窃密规则
从公共网站接口https://api.faceit.com/core/v1/nicknames/pavel23puef/获取C2服务器地址,然后连接该C2(http://162.55.189.141/706)获取指令,根据指令收集受害者信息保存到%Program Data%目录内。
图5‑8 C2控制指令
图5‑9 C2控制指令释义
图5‑10 发送的信息
表5‑4 获取的用户信息
|
网站 |
获取的信息 |
|
|
云同步历史记录(时间线) |
|
|
账号ID、使用API授权登录、 交易订单、商业广告订单、 商业广告收入、信用卡等支付信息 |
图5‑11 发送数据
图5‑12 广告软件插件
图5‑13 广告弹窗插件
图5‑14 广告弹窗示例
该模块为.net程序,并使用了混淆以干扰分析,主要功能为浏览器数据窃取。目前,该模块相关服务器已失效,执行后仅会访问iplogger.org,收集受害者的IP等信息。
该模块伪装成Browzar浏览器,实为释放7Fdzc9CuQ6cn.exe。释放文件的功能为数据窃取,收集IP地址、设备信息、网络配置、浏览器数据等信息后将其发送至http://ullerolaru.xyz//。
图5‑15 伪装成Browzar浏览器
图5‑16 网络下发攻击模块列表
图5‑17 执行下载的模块
图5‑18 权限提升操作部分截图
本次攻击行动中,黑产组织通过钓鱼网站投放多种载荷达到窃取信息的目的,对用户的数据安全造成了极大的威胁。用户应提高安全意识,避免从未知来源下载软件,一旦发现被感染,应立即进行全面检查并修改相关账号密码。目前,黑产组织仍在对其攻击模块进行更新,未来可能会出现更复杂的功能,安天CERT将会持续跟进分析。
|
MD5 |
|
4FDF5B107EC717E52FF69DFE28BA0383 (x86_x64_setup.exe) |
|
9EB1B26D0F103C383D39E097CFD11CF3 (setup_installer.exe) |
|
BD106E2E71369CC46067380EF107424A (setup_install.exe) |
|
59ACDDD147ACC633E78900F50D2C2762 (metina_1.exe) |
|
D382852AFCBB9594F1347D12B4A17D56 (metina_2.exe) |
|
28266E5C98198571C49A5B20F8BAC90B (metina_3.exe) |
|
D62F03E94E1780C5462435B408573F76 (metina_4.exe) |
|
6D1CF9900CC168D371B43751ADA0E3FE (metina_5.exe) |
|
93BF1C22AD689CCD01BE41ACEE0F0779 (metina_6.exe) |
|
FED34A0106A0099C48776385CD3FBC7B (metina_7.exe) |
|
A99440929912B197E425966E1B7B3E67 (7Fdzc9CuQ6cn.exe) |
|
URL |
|
http://limesfile.com/Ea42LhC7KVL6GEpzgxwW/C_Net_8Rpjkd5GEqRYJq87/UltraMediaBurner.exe |
|
http://reportyuwt4sbackv97qarke3.com/sCTMqVJusfff2DEP/eYzrrbN8esV7bvgC |
|
http://limesfile.com/Ea42LhC7KVL6GEpzgxwW/C_Net_8Rpjkd5GEqRYJq87/f3kmkuwbdpgytdc5.exe |
|
http://uyg5wye.2ihsfa.com/api/fbtime |
|
http://estrix.xyz/addInstallImpression.php?key=125478824515ADNxu2ccbwe&ip=&oid=139 |
|
http://estrix.xyz/addInstall.php?key=125478824515ADNxu2ccbwe&ip=&oid=139&oname[]=31MAY1110AM&oname[]=7&oname[]=1&oname[]=2&oname[]=3&oname[]=4&oname[]=5&oname[]=6&cnt=7 |
|
http://estrix.xyz/report_error.php |
|
http://162.55.189.141/706 |
|
http://reportyuwt4sbackv97qarke3.com/ |
|
http://ullerolaru.xyz// |
|
http://ww.hackacademy.me/ |
|
http://212.192.241.136/ |
|
up2crack.com |
本文作者:AntiyLab
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/161750.html
必填 您当前尚未登录。 登录? 注册
必填(保密)