Buhtrap在最新监控运动中运用多个0 day破绽 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

Buhtrap在最新监控运动中运用多个0 day破绽

申博_安全预警 申博 119次浏览 已收录 0个评论

Buhtrap构造主要进击俄罗斯的金融构造和企业。从2015岁尾最先,研究人员发明该构造的进击目标发生了变化,从完整猎取经济利益目标改变为扩大歹意软件东西集来对东欧和中亚地区提议监控运动。

研究人员追踪发明,该构造运用了后门和其他歹意软件东西,但2019年6月Buhtrap构造在进击运动中运用了0 day破绽——CVE-2019-1132。CVE-2019-1132破绽运用是一个当地权限提拔破绽运用。

CVE-2019-1132破绽运用了Microsoft Windows win32k.sys组件的空指针间接运用来举行当地权限提拔,细致拜见XXX。

本文引见Buhtrap构造从金融犯法改变为收集监控进击运动的历程。

汗青运动

图1是Buhtrap运动的主要节点。

Buhtrap在最新监控运动中运用多个0 day破绽

图1. Buhtrap生长历程当中的主要时候节点

由于该构造运用的东西源码网上都有,因而很难将其进击运动归属于某个特定的进击构造。跟着进击目标的改变,研究人员深信Buhtrap除了进击企业和银行外,也进击政府构造。

虽然其运用的东西在不断更新,但其TTP这些年来并没有很大的变化。该构造运用NSIS装置包作为开释器,并经由过程歹意文档来举行流传。个中一些东西还运用有用的代码署名证书来举行署名,而且滥用正当运用来侧家属歹意payload。

用来流传歹意payload的文档平常都是钓饵文档来防止受害者翻开时发生疑心。钓饵文档剖析供应了进击目标的一些线索。当Buhtrap进击企业时,钓饵文档平常是合同或发票。图2是2014年进击运动中运用的通用发票的例子。

Buhtrap在最新监控运动中运用多个0 day破绽

图2. 针对俄罗斯企业进击运动中运用的钓饵文档

该构造进击目标是银行时,钓饵文档平常是与银行体系羁系机构或FinCERT通告相干的,如图3所示。

Buhtrap在最新监控运动中运用多个0 day破绽

图3. 针对俄罗斯金融机构的进击运动中运用的钓饵文档

因而,当研究人员发明与政府运动相干的钓饵文档时,研究人员猜想多是新的进击运动。个中一个歹意样本在2015年12月发生了变化。该样本会下载一个NSIS installer来装置主Buhtrap后门,钓饵文档如图4所示:

Buhtrap在最新监控运动中运用多个0 day破绽

图4. 针对政府机构的进击运动中运用的钓饵文档

黑客用歹意软件Dropper进击了Pale Moon存档服务器

PaleMoon 是一款基于Firefox(火狐)浏览器优化而成的浏览器,在国外相当热门,它主要是为了提升Firefox的速度而设计。但其中也添加了多种firefox扩展,以使其更美观,功能更多,也更适用于新手。 不过,Pale Moon团队今天宣布,他们的Windows存档服务器遭到攻击,黑客在2017年12月27日用恶意软件Dropper感染了Pale Moon 27.6.2及以下的所有存档安装程序。 根据Pale Moon目前的分析,浏览器的主要传播渠道不受影响: 这从未影响Pale Moon的任何主要传播渠道,并且考虑到存档版本只会在下一个发布周期发生时进行更新,任何当前版本,无论从哪里下载的,都会被感染。不过值得注意的是,只有顶

文本中的URL与乌克兰国度移民局的网址dmsu.gov.ua很像。文本内容是乌克兰语的,请求员工供应联络信息,尤其是邮箱地点。还会诱运用户点击文本中的歹意域名。

这是研究人员碰到的Buhtrap构造运用的第一个进击政府机构的歹意样本文件。另一个近来的文档如图5所示,仍然是政府相干的,然则依据内容推断应该是针对别的一批人的。

Buhtrap在最新监控运动中运用多个0 day破绽

图5. 针对政府机构进击运动中运用的钓饵文档

运用0day破绽的进击运动剖析

监控进击运动中运用的东西集与进击金融机构和企业的东西集异常类似。研究人员剖析的进击政府机构的一个样本是SHA-1 hash 2F2640720CCE2F83CA2F0633330F13651384DD6A。NSIS installer会下载含有Buhtrap后门的包,并展现钓饵文档,如图4所示。

从那时起,研究人员发明了该构造针对政府机构的进击运动。在进击运动中,进击者运用权限提拔破绽来装置歹意软件,比方CVE-2015-2387。除了这些已知的破绽外,另有最新的0 day破绽,比方CVE-2019-1132。

经由过程这些年的延续跟踪剖析,研究人员发明了功用差别的package,下面举行细致引见。

Legacy backdoor with a twist – E0F3557EA9F2BA4F7074CAA0D0CF3B187C4472FF

该文档含有歹意宏,启用后会开释NSIS installer来为装置主后门来做预备。NSIS installer与该构造运用的初期版本是差别的。新版本越发简朴,而且只用来设置驻留和启动嵌入的2个歹意模块。

第一个模块是grabber,是一个零丁的木马盗取器。会尝试从邮件客户端、浏览器等盗取暗码,并发送给C2服务器。研究人员发明该模块也在运用0 day破绽。该模块运用规范的Windows API来与C2服务器举行通讯。

Buhtrap在最新监控运动中运用多个0 day破绽

图6. Grabber模块收集功用

第二个模块应该是来自Buhtrap运营者的——一个含有正当运用的NSIS installer,会滥用正当运用来侧加载Buhtrap主后门。这里运用的正当运用是一个免费的反病毒扫描器AVZ。

Meterpreter和DNS通道– C17C335B7DDB5C8979444EC36AB668AE8E4E0A72

该文档含有一个歹意宏,启用宏后,会开释一个NSIS installer。其主要使命是预备装置主后门。装置历程的一部分是设置防火墙划定规矩来使歹意组件能够与C2服务器举行通讯。下面是NSIS installer用来设置这些划定规矩的敕令示例:

cmd.exe /c netsh advfirewall firewall add rule name=\”Realtek HD Audio Update Utility\” dir=in action=allow program=\”<path>\RtlUpd.exe\” enable=yes profile=any

Final payload在之前的Buhtrap进击运动中并没有见过。Body中加密的是2个payload,第一个是一个小的shellcode下载器,第二个是Metasploit的 Meterpreter,Meterpreter是能够授与操作者被入侵体系完整接见权限的逆向shell。

Meterpreter逆向shell运用DNS通道与C2服务器举行通讯。平安研究人员检测到DNS通道是很难的,由于一切的歹意流量都是经由过程DNS协定完成的,而罕见的歹意流量监测是基于TCP协定的。下面是该歹意模块初始通讯的代码段:

7812.reg0.4621.toor.win10.ipv6-microsoft[.]org
 7812.reg0.5173.toor.win10.ipv6-microsoft[.]org
 7812.reg0.5204.toor.win10.ipv6-microsoft[.]org
 7812.reg0.5267.toor.win10.ipv6-microsoft[.]org
 7812.reg0.5314.toor.win10.ipv6-microsoft[.]org
 7812.reg0.5361.toor.win10.ipv6-microsoft[.]org
 […]

上面例子中的C2服务器域名伪装为微软。事实上,进击者为该进击运动注册了差别的域名,大多数都以差别情势滥用了微软品牌。

原文地点: https://www.4hou.com/vulnerable/19190.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Buhtrap在最新监控运动中运用多个0 day破绽
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址