黑客构造TA505应用LoLbin和新型后门进击金融行业 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

黑客构造TA505应用LoLbin和新型后门进击金融行业

申博_安全防护 申博 111次浏览 已收录 0个评论

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

终年混迹网络平安圈,你可能对网络犯罪分子的一些进击手腕早已不生疏,好比他们为了拓展歹意软件的功用或是使其更难以被检测到,而将之与正当软件相结合运用。而近来Cyberreason的研讨人员发明,很多Windows体系历程也会被进击者们歹意挟制以用于杀青他们的目标。

在本文中,我们将引见黑客团伙TA505于2019年4月对某金融机构举行的一场精心策划的进击事宜,它是一同具有强针对性的网络垂纶。歹意软件的持久性可依据状况挑选是不是竖立,进击还应用到了一个称为ServHelper的庞杂后门。

TA505的症结特征

· 目标明白——只针对企业内部少数特定账户的举行网络垂纶。

· 歹意代码经由署名考证——这是为了制止被发明而接纳的分外预防措施。

· 精心策划——从进击的时候点和歹意代码的署名可看出。

· 可挑选的持久性机制——基于自动侦探挑选是不是自毁。

· 去除陈迹——运用自毁敕令和烧毁脚正本删除证据。

· 多个C2域——以防被列入黑名单或没法衔接。

· 集成了四个分歧的LOLBin——注解进击者仍在研讨回避检测手腕。

TA505是一个臭名远扬的黑客构造,曾应用多个讹诈软件,如Dridex、Locky等举行大规模的巧取豪夺运动。近来,TA505又在北美、亚洲、非洲和南美等多个国度展开了有针对性的进击行动,主要针对的是大型金融机构,目标是猎取有代价的数据,以便往后加以应用。

2019年以来,可以或许很明显地发明,歹意软件运用最普遍、最有用的进击载体仍然是电子邮件,此次行动也不破例。但这次目标机构只要少数账户收到了TA505的垂纶邮件,申明进击者有可能在行动的初期就举行了侦探事情来挑选最好目标。

歹意软件由Sectigo RSA Code Signing CA署名考证,这是为回避检测而接纳的分外预防措施。别的,歹意软件仅在进击前几个小时才举行了签订。

但最不平常一点是,在大多数状况下,歹意软件险些都邑试图取得持久性,而此次行动中的一些东西可依据其状况决议是不是竖立持久性。这些东西将网络关于目标机械的信息,并将其发送到长途C2服务器,再由C2决议是不是设置持久性,这也是一种在较高品级的进击行动中经常使用的手艺。

进击者明显非常重视怎样掩饰他们的踪影,歹意软件除网络信息以外,还能决议是不是需要从受沾染的电脑上删除证据,这申明进击者的隐蔽目标是设置一个尽量长时候不被发明的后门,以便后续更有用地盗取数据。

歹意软件普遍而多样地运用LOLbin和正当的当地Windows OS历程来实行歹意运动,好比payload的通报和ServHelper后门的完成。ServHelper后门是一个相对较新的歹意软件家属,于2018岁尾被发明。Cybereason研讨人员在曩昔几个月就注重到了普遍运用LOLbin举行进击的趋向。

在此次行动中,检测到的ServHelper后门又发作了新的转变,我们将在接下来对其做剖析。

剖析历程

黑客构造TA505应用LoLbin和新型后门进击金融行业

图1.进击流程图

第一阶段:猎取接见权限

在此阶段,进击者向目标发送垂纶邮件。在约莫一个小时的时候内,凌驾80个文件被发送到企业邮箱的40个帐户中。邮件包罗带有歹意宏的Microsoft Excel附件。文件翻开时会被加载到Microsoft Excel中,并催促用户启用宏。

黑客构造TA505应用LoLbin和新型后门进击金融行业

图2.包罗宏的歹意.xls文件

当受害者单击Enable Content按钮后,宏敕令将被实行并挪用Windows OS历程msiexec.exe.。msiexec.exe是windows installer,即一个用于装置、保护和删除软件的Microsoft Windows的软件组件和应用顺序编程接口。宏敕令将挪用msiexec.exe衔接到长途C2服务器并下载第一阶段payload,并竖立第二个msiexec.exe历程来实行payload,以后进入进击链的第二阶段。

黑客构造TA505应用LoLbin和新型后门进击金融行业

图3.挪用msiexec.exe与C2服务器通讯。

与C2服务器竖立TCP衔接后,下载的payload名为Alg,它是第二阶段运用的几个文件的dropper。

黑客构造TA505应用LoLbin和新型后门进击金融行业

图4.从C2服务器下载的歹意软件。

黑客构造TA505应用LoLbin和新型后门进击金融行业

图5.歹意软件的渗入历程

第二阶段:布置后门

黑客构造TA505应用LoLbin和新型后门进击金融行业图6.第二阶段流程图

下载Alg后,它将作为带有.tmp扩展名的二进制文件加载到msiexec.exe,此临时文件充任歹意软件的主dropper,并在目标盘算机上布置歹意软件。

.tmp文件中有三个文件夹,离别包罗两个模块pegas.dll、nsExec.dll和.nsi剧本。

NSIS(Nullsoft 剧本装置体系)是为Windows竖立装置顺序的正当东西。这申明后缀为.nsi的剧本卖力歹意软件装置分相干内容,由于其称号正当,能回避检测。

黑客构造TA505应用LoLbin和新型后门进击金融行业

图7..tmp临时文件中的内容

.nsi剧本包罗.tmp文件要实行的敕令,能指导.tmp文件运用nsExec.dll模块中的函数kest()来操作和实行pegas.dll模块。

黑客构造TA505应用LoLbin和新型后门进击金融行业

图8.NSIS剧本

在由msiexec.exe加载实行后,.tmp临时文件会竖立几个附加文件,个中一个也是临时文件,将加载初始临时文件的内存映射中,但更主要的是它竖立的两个模块pegas.dll和nsExec.dll。

黑客构造TA505应用LoLbin和新型后门进击金融行业

图9.歹意软件竖立文件nsexecl .dll

黑客构造TA505应用LoLbin和新型后门进击金融行业

图10.歹意软件竖立文件pegas.dll

别的,它还运用Windows敕令行竖立一个rundll32.exe历程,以加载植入的pegas .dll模块并用函数kest()实行它。

黑客构造TA505应用LoLbin和新型后门进击金融行业

图11.rundll32.exe加载pegas.dll的实行敕令

黑客构造TA505应用LoLbin和新型后门进击金融行业

图12.歹意软件布置流程

模块的功用

· NSEXEC.DLL

nsExec.dll模块是用Nullsoft竖立的。nsExec.dll将实行基于敕令行的顺序,在无需开启DOSBox的状况下捕捉输出。如许进击者在实行敕令行并运转rundll32.exe历程时不会显现在受害者桌面上。从Windows敕令行处实行敕令能增添歹意软件的隐秘性。

· PEGAS.DLL

pegas.dll是卖力实行一切后门功用的中心模块,内容包罗在目标盘算机中实行侦探、信息盗取和其他后门功用。别的,该模块还卖力与另一个C2服务器通讯。(在第三阶段中报告)

风趣的是,pegas.dll实际上是由认证公司Sectigo RSA Code Signing CA签订并考证的。这其实不罕见,我们以为这也是高等要挟行动者的标记之一。该认证公司也因涌现在上个月的Norsk Hydro LockerGoga 讹诈软件进击事宜而著名。

运用此证书可以使歹意软件具有大多数所没有的上风:正当性。“已确认”和“已考证”的歹意软件可能会减少平安专家专家的观察局限。这注解开辟此歹意软件的进击者要比大多数歹意软件创作者要更先进。

黑客构造TA505应用LoLbin和新型后门进击金融行业

图13.被滥用的证书

pegas.dll应用了数种防备机制,它被加壳了两次,以确保难以逆向,别的,该模块仅在进击发作前的几个小时才举行编译。尽管如此,Cybereason防备平台照样网络了与该模块相干的一切数据。

黑客构造TA505应用LoLbin和新型后门进击金融行业图14.歹意软件两次加壳

rundll32.exe从函数kest()处实行模块pegas.dll。此函数是歹意软件导出表中卖力初始实行歹意代码的几个函数之一,导出表中的其他函数离别是loer()和tempora()。

黑客构造TA505应用LoLbin和新型后门进击金融行业

图15.三个导出函数

这些函数代码和功用方面相似,kest()包罗的一切变量也涌现在tempora()中。别的,kest()和loer()同享函数FUN_12345f08(),这实际上是loer()具有的唯一功用。

黑客构造TA505应用LoLbin和新型后门进击金融行业

图16.在Ghidra中导出函数伪代码

FUN_12345f08()是歹意软件最主要的函数之一,作者经由过程kest()来实行pegas.dll,以尽快应用FUN_12345f08()。在FUN_12345f08()中有一个新的要挟目标——域名为joisff333.icu的第二个C2,可以或许从rundll32.exe历程中接见此域,别的另有一个名为“enu.ps1”的字符串,透露表现此歹意软件会用到PowerShell。末了还会涌现字符串asfasga33fafafaaf,这好像与互斥体BaseNamedObjects \ Global \ asfasga33fafafaaf的竖立有关。

黑客构造TA505应用LoLbin和新型后门进击金融行业

图17.Ghidra中的FUN_13246F08伪代码

运用静态剖析,可以或许从分外的指导字符串中看出歹意软件的一些特征,包罗:网络功用、C2敕令、其他域和PowerShell实行运动。

高级域渗透技术之传递哈希已死-LocalAccountTokenFilterPolicy万岁

大约三年前,我写了一篇名为”传递哈希已死: 长久的哈希传递方法介绍”的文章,详细阐述了微软 KB2871997补丁的一些操作含义。 在安全建议中有一句特别的话,”这个功能的改变包括: 防止网络登录和使用本地帐户远程交互登录到加入域的机器… …”使我相信(在过去3年中)补丁修改了 Windows 7和 Server 2008的行为,以防止通过非 rid 500的本地管理员帐户传递哈希的能力。 我的同事Lee Christensen最近指出,尽管微软的措辞如此,但这种说法实际上是不正确的,而且情况比我们最初认为的要微妙得多。 值得注意的是,pwnag3的开创性文章”微软刚刚发

黑客构造TA505应用LoLbin和新型后门进击金融行业

图18.歹意软件的附加指导字符串

检索和信息网络

实行rundll32.exe后,将实行PowerShell剧本enu.ps1,此剧本运用Base64编码,以制止被防病毒产物检测到。

黑客构造TA505应用LoLbin和新型后门进击金融行业

图19.enu.ps1运用Base64举行隐约处置惩罚

在解码剧本时,可以或许很明显看到该剧本卖力网络目标机械上的侦探事情,好比运用WMI查询来网络信息以肯定用户是不是是管理员。

黑客构造TA505应用LoLbin和新型后门进击金融行业

图20.经由过程WMI查询举行内部侦探

ServHelper后门会在目标机械上网络别的一些信息,个中就包罗包罗用户SID。SID为S-1-5-32-544则是内置管理员组的标识符,包罗当地管理员和一切当地和域管理员用户组。 网络这些信息注解了两件事:歹意软件作者针对的是构造而不是一般的家庭盘算机用户,并且在构造中他们针对的是最高优先级的机械。

黑客构造TA505应用LoLbin和新型后门进击金融行业

图21.搜刮管理员用户

一旦歹意软件确认目标盘算机是管理员组用户,它将用WindowsIdentity GetCurrent()要领来网络信息。

黑客构造TA505应用LoLbin和新型后门进击金融行业

图22.继承搜刮管理员用户并网络他们的信息

在歹意软件可以或许考证此用户是管理员以后,它会网络有关目标盘算机的其他信息,并检索一切文件体系驱动器上的数据,包罗假造驱动器。

黑客构造TA505应用LoLbin和新型后门进击金融行业

图23.网络体系驱动器数据

剧本网络的末了一点信息是服务器的称号和盘算机上当地组的称号,它运用net.exe(一个正当的Windows操作体系历程)来网络此信息。

黑客构造TA505应用LoLbin和新型后门进击金融行业

图24.对当地组管理员举行侦探

歹意软件布置的完全流程树显现了进击周期四种分歧的LOLBin。从大批运用LOLBin的行动和经由署名和考证的模块pegas.dll中我们可以或许看出,歹意软件作者在养精蓄锐回避检测。

黑客构造TA505应用LoLbin和新型后门进击金融行业

图25.历程树

第三阶段:动态C2服务器

布置以后,歹意软件从rundll32.exe衔接到第二个C2域,经由过程多个C2域能确保至少有一个C2服务器可用来进击,在于pegas.dll通讯后,C2服务器决议歹意软件实行的下一步调。

第二个C2服务器依据在目标机械上网络的信息举行相应,从这也能看出歹意软件的庞杂性,大多数歹意软件网络并发送数据到一个流动的C2服务器,不管信息怎样,它的相应都是雷同的,而这里采用了一种更动态的要领。

 黑客构造TA505应用LoLbin和新型后门进击金融行业

图26.歹意软件与其第二个C2服务器通讯

与第二个C2服务器的交互

在与C2域通讯的历程当中,歹意软件能实行几个症结敕令和运动,个中一些运动是我们在之前版本中观察到的。

滥用认证

以下从msiexec.exe中观察到的网络运动申清楚明了歹意软件是怎样应用Sectigo RSA Code Signing CA的署名和考证证书举行流传的。

黑客构造TA505应用LoLbin和新型后门进击金融行业

图27.滥用认证流量

实行侦探

shell敕令卖力在目标机械上实行net user /domain敕令。这个敕令是一个长途掌握敕令,许可进击者实行分外的侦探运动。

黑客构造TA505应用LoLbin和新型后门进击金融行业

图28.实行net user /domain敕令。

持久性机制

C2服务器决议是不是竖立持久性,持久性由persist敕令卖力竖立。这是歹意软件庞杂度的另一个主要标记,由于歹意软件不会在每台目标盘算机上竖立持久性,而只会在特定的几台上竖立持久性。

 黑客构造TA505应用LoLbin和新型后门进击金融行业

图29.持久性机制

在C2服务器发送persist敕令后,歹意软件运用注册表竖立持久性。它在Run下竖立一个注册表项Intel Protect,并将pegas.dll存储为值。

 黑客构造TA505应用LoLbin和新型后门进击金融行业

图30.持久性机制

内部侦探

歹意软件依据它从用户机械上网络的信息来转变本身的行动。此信息存储在数据包中,通报到C2域HTTP Payload,/ URL:/jquery/jquery.php。

该信息分为四个硬编码参数:

· Key:在歹意软件的每次迭代中连结雷同的硬编码参数。

· Sysid:有关操作体系,Service Pack和盘算机称号的信息。

· Resp:有关用户是不是在Active Directory中具有管理员组权限的信息。

· Misc:有关PowerShell文件的其他信息。这是最新的参数,仅在此版本的ServHelper中观察到,包罗新加的侦探机制。

 黑客构造TA505应用LoLbin和新型后门进击金融行业

图31.用于向C2服务器托付信息的四个硬编码字符串

歹意软件对C2域相应的行动转变取决于受沾染的机械是不是是高优先级目标。当机械不是有代价的目标时,Resp参数将填入“指定的域不存在或没法联络”。

 黑客构造TA505应用LoLbin和新型后门进击金融行业

图32.歹意软件将效果关照C2服务器(没有AD admin)

若是歹意软件辨认出目标盘算机是有代价的,它将在Resp参数中填上相干信息,个中包罗盘算机所具有的组和帐户的称号,比方“Administrator”和用户称号。

黑客构造TA505应用LoLbin和新型后门进击金融行业

图33.歹意软件将效果关照C2服务器(有AD admin)

与很多后门歹意软件相似,ServHelper可以或许在休眠状态下静静的隐蔽。这是一种尽人皆知的后门特征,可以或许让歹意软件在检测之下存活,并按进击者划定时候举行进击。ServHelper运用GetSystemTime()函数猎取关于目标机械日期和时候。

 黑客构造TA505应用LoLbin和新型后门进击金融行业

图34.歹意软件的休眠功用

我们已知歹意软件包罗几个与ServHelper相干联的敕令,包罗:

· loaddl:卖力运用rundll32.exe历程下载和实行其他模块的敕令。

· selfkill:卖力自行住手和删除盘算机中的歹意软件的敕令。

衔接C2服务器的流程下图所示。

 黑客构造TA505应用LoLbin和新型后门进击金融行业

图35.衔接C2服务器的流程

结论

我们在对该歹意软件的剖析历程当中,发清楚明了最新版本的ServHelper后门,和用于布置后门的回避检测手艺,还重点引见了歹意软件是怎样运用正当的本机Windows OS历程来实行歹意运动、以在不被检测的状况下托付payload的历程,接着引见了ServHelper后门是怎样在不被注重的状况下操作和布置本身的,同时,我们还展现了这个后门的庞杂水平,和它是怎样针对高代价机械的。

受沾染的客户可以或许在形成任何损伤之前住手进击的发作。条件是能掌握ServHelper后门,住手msiexe .exe和rundll32.exe,删除一切下载的文件,还要断掉到歹意C2域的衔接,进击能力住手。

辨认此进击的局部难题在于它的回避机制。LOLBin是具有欺骗性的,别的运用带有认证的署名和考证文件也会增添歹意软件回避被检测到的可能性。

而对此次进击中运用的东西和手艺的剖析注解,LOLBin在回避防病毒产物的检测上是何等有用,这也进一步证明了我们自2018年以来看到LOLBin愈来愈常被用于进击的趋向,跟着2019年的到来,LOLbin的运用频次只会有增无减。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明黑客构造TA505应用LoLbin和新型后门进击金融行业
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址