近期,畅捷通T+软件的0day漏洞,被“魔笛”黑客组织利用进行勒索攻击活动,引起较大社会影响。安天积极跟进支持主管部门工作,在事件、样本分析和漏洞机理复现等工作提供技术支撑,并呈报相关产品漏洞。
事件对应的技术特点分布图:
图2‑1 技术特点对应ATT&CK的映射
表2‑1 ATT&CK技术行为描述表
ATT&CK阶段/类别 |
具体行为 |
注释 |
资源开发 |
获取基础设施 |
获取C2服务器 |
环境整备 |
搭建C2环境 |
|
初始访问 |
利用外部远程服务 |
利用公开Web服务 |
执行 |
利用主机软件漏洞执行 |
利用漏洞执行 |
提权 |
利用漏洞提权 |
利用漏洞提权 |
防御规避 |
反混淆/解码文件或信息 |
解密载荷 |
隐藏行为 |
后台执行 |
|
混淆文件或信息 |
加密载荷 |
|
发现 |
发现文件和目录 |
发现待加密文件 |
影响 |
造成恶劣影响的数据加密 |
对数据进行加密 |
畅捷通T+是一款基于互联网的企业管理软件,协助企业提升办公效率。通过对攻击链路进行复盘,确认攻击者利用了畅捷通T+存在的任意文件上传漏洞。该漏洞允许未经身份认证的远程攻击者通过构造特定请求,可上传恶意文件(如WebShell)至目标系统,从而执行任意代码。漏洞影响范围为畅捷通T+ <= v17.0。
造成漏洞的原因是Upload.aspx文件对用户上传的内容验证不足,攻击者可借此直接绕过权限认证,从而实现任意文件上传。安天CERT已对漏洞进行复现,具体利用细节暂不公开。
表4‑1 二进制可执行文件
病毒名称 |
Trojan[Backdoor]/Win32.loader |
原始文件名 |
App_Web_load.aspx.cdcab7d2.dll |
MD5 |
45625D6092A287284CD71AF690C5C393 |
处理器架构 |
Intel 386 or later, and compatibles |
文件大小 |
5.50 KB (5632字节) |
文件格式 |
BinExecute/Microsoft.EXE[:X86] |
时间戳 |
2022-08-27 14:51:15 UTC |
数字签名 |
无 |
加壳类型 |
无 |
编译语言 |
ASP.NET |
VT首次上传时间 |
2022-08-29 13:23:16 UTC |
VT检测结果 |
13/68 |
监听HTTP请求路径“/Load.aspx”,将对应请求交由Load.aspx模块处理。
对应的xml配置文件中,将自身文件配置为了Load.aspx虚拟路径,用于处理上述请求。
处理函数会使用AES算法解密载荷并加载,创建其中类名为“U”的类的实例,执行请求中的代码。
根据友商跟踪入侵日志披露的攻击域名llw0.com[3],安天基于TID威胁情报综合分析平台对该事件的IoC进行分析,发现了该组织的历史活动以及本次活动使用的更多IoC。结合“魔笛”组织的攻击手法、攻击技术、工具信息和攻击目的,推测该组织为来自国内的黑产组织。通过目前关联到的最早的C2分析,该组织可能最早于2017年就开始相关活动。在历史活动中,该组织以挖矿攻击为主,以谋取金钱为攻击目的,主要使用Gh0st远控对目标进行控制,并善于使用各类黑客工具。在本次攻击活动中,“魔笛”组织可能从某处获知了某国产财务软件的漏洞后,利用既往经验和资源继续发动攻击投放勒索程序以谋取钱财。
基于关联分析梳理该组织历史攻击活动时间轴如下:
用来进行样本传播的域名llw0.com于2019年注册,当前的解析地址为222.101.150.248,从域名解析情况分析此IP是一个虚拟主机。
图5‑3 llw0.com域名注册信息
该域名下挂载大量恶意文件,主要包括Gh0st远控木马、挖矿木马、勒索软件和提权工具。根据文件名显示,该组织可能曾利用log4j的漏洞进行攻击。
该域名拥有大量子域名,其中域名xd.llw0.com和up.llw0.com曾解析到两个IP43.129.68.31,51.81.145.78,两台服务器下直接挂有漏洞利用载荷(CVE-2017-0213)以供下载。
多个llw0.com的子域名历史曾解析到61.132.226.130,该服务器为攻击者所有。而mdzz2022.msns.cn、mdzz2023.msns.cn也曾解析到该IP,并且多个Gh0st远控木马与两个域名进行通信,因此mdzz的两个域名极大概率也属于该组织。
图5‑6 61.132.226.130关联信息
除此之外,在对这两个mdzz子域名分析时,发现其兄弟域名mdzz2018.msns.cn出现在相关报告中,报告中披露的攻击事件同样为挖矿事件,该域名相关的恶意代码也是大量挖矿木马和Gh0st远控,因此该以上mdzz相关域名很可能也是该组织的C2资产。
up.llw0.com子域名在2020年7月曾解析至61.183.237.30,而mdzz2020.noip.cn同年8月也解析到61.183.237.30。mdzz2020.noip.cn相关的文件同样多数为远控木马,结合上节mdzz域名命名特点,mdzz2020.noip.cn很可能同为攻击组织资产。
同样对mdzz2020.noip.cn域名分析,我们发现其存在兄弟域名mdzz2019.noip.cn,该域名曾被国外安全机构在2019年的分析报告中披露,该域名是变种Gh0st远控的C2地址。
多个llw0.com子域名还曾解析到116.255.235.123,且存在大量相关恶意代码与该IP通信,该地址为攻击者所有。
该IP在2020年解析域名bjcptj.com,域名为2021年注册。在域名上挂载,与该域名通信的相关恶意文件很多,多为后门和提权工具。
该域名在2020年曾被国内安全团队披露,是针对MS SQL服务器进行暴力破解投放的挖矿木马的C2。
出现时间 |
2019年 |
加密算法 |
AES+RSA |
加密系统 |
Windows、Linux |
加密文件命名方式 |
原文件名+.locked |
联系方式 |
通过勒索信中的邮箱与攻击者进行联系(service@sunshinegirls.space) |
加密文件类型 |
加密指定格式的文件(特定格式包括*.docx、*.doc、*.docm、*.pdf、*.xlsx等) |
勒索币种与金额 |
0.2 BTC(目前约合27,439元***) |
是否有针对性 |
是 |
能否解密 |
否 |
是否内网传播 |
否 |
勒索信界面 |
通过查询攻击者在勒索信中留下的比特币地址,目前可能已有受害企业向黑客支付赎金。
● 如本地数据文件未备份,建议联系技术人员查找是否存在备份文件;
● 如使用自有云服务器,可通过管理后台先将受影响设备进行镜像备份,再联系技术人员查找是否存在备份文件;
● 检查SQL数据库文件是否被加密,如没有被加密,请尽快备份;
● 查看“ChanjetTPlusStdDBServerdata” 目录下zip格式的备份文件和mdf数据库文件是否被加密,如未被加密,可重新部署建账,恢复备份或数据库文件;
● 如zip备份及数据库文件均被加密,可查找是否存在其他备份文件;
● 部分被加密文件大小为1K,这种情况可能存在未加密成功,此时可检查是否存在原始文件。
https://www.chanjetvip.com/product/goods
45625D6092A287284CD71AF690C5C393 |
966A5A6B8054827E1462AA91AD2F2F7C |
bc1q22xcf2667tjq9ug0fgsmxmfm2kmz32lwtn4m7v |
xd.llw0.com |
up.llw0.com |
xdx.llw0.com |
a.llw0.com |
zy.llw0.com |
dark.llw0.com |
mm.llw0.com |
hk.llw0.com |
yk.llw0.com |
ups.llw0.com |
gh0st.llw0.com |
mdzz2018.msns.cn |
mdzz2019.msns.cn |
mdzz2020.msns.cn |
mdzz2021.msns.cn |
mdzz2022.msns.cn |
mdzz2023.msns.cn |
mdzz2019.noip.cn |
mdzz2020.noip.cn |
bjcptj.com |
43.129.68.31 |
51.81.145.78 |
116.255.235.123 |
[6] The odd case of a Gh0stRAT
本文作者:AntiyLab
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/186564.html