Glupteba进击运动剖析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

Glupteba进击运动剖析

申博_新闻事件 申博 64次浏览 已收录 0个评论

研究人员近期发明一同创博歹意软件Glupteba的歹意广告进击运动。Glupteba歹意软件并不是一款全新的歹意软件,之前有剖析称其与Operation Windigo进击运动有关,并经由过程破绽运用套件传播到Windows用户。2018年,有平安公司剖析称Glupteba僵尸网络已从Operation Windigo自力出来,转到到 pay-per-install广告歹意软件效劳。Glupteba背地的进击者异常复杂,有供应代办效劳的,有运用EternalBlue破绽运用来入侵本地网络的,也有运转Monero (XMR)加密钱银挖矿机的。

经由过程剖析近期广告歹意软件进击运动中的Glupteba开释器变种,研究人员发明开释器下载了两个新的组件:

· 一个能够从浏览器盗取敏感信息并发送信息到长途效劳器的浏览器盗取器,盗取的信息包含浏览器汗青、web cookie,账户名和暗码等;

· 一个能够运用 CVE-2018-14847破绽运用进击本地网络中的MikroTik路由器的破绽运用组件。该组件会在路由器上设置定时使命,上传盗取的管理员凭据到长途效劳器。被黑的路由器会被设置为SOCKS代办来中继歹意流量,以婚配Windows机械上的Glupteba僵尸网络的原始目的。

除此之外,研究人员还在Glupteba中发明了能够从比特币生意业务中提取最新C2域名的特征。能够看出,进击者仍在精益求精歹意软件,并尝试 扩大代办网络到物联网装备中。

Glupteba开释器

下载的开释器二进制软件是用定制的打包器打包的,运用的是Go编程言语,并编译为可实行文件。开释器起首猎取当前运用信息、操纵信息、硬件信息和二进制文件中硬编码的其他信息来config initialization(初始化设置)信息。然后建立一个注册表HKEY_USERS\<sid>\Software\Microsoft\TestApp 来保留一切猎取的信息。运转config initialization函数的效果以下图所示:

然后函数 sendParentProcesses从注册表中猎取machine_guid,从file name, product identification (PID), names of parent processes中猎取distributor id和campaign id。然后嵌入信息到POST要求中,并用AES加密,然后上传到C2效劳器hxxps://<server>/api/parent-processes。

然后,开释器搜检历程是不是提拔权限,并以SYSTEM用户运转。假如历程未提权,就尝试运用fodhelper要领来提权。假如提权但未以SYSTEM用户运转,就用Run as Trusted Installer要领,运用盗取的winlogon历程token来以SYSTEM权限运转历程。

主开释器二进制文件中嵌入了很多用于隐蔽文件和历程的rootkit驱动,和其他用来协助装置必要驱动的东西。

函数 executeTask 担任实行这些敕令:

函数 mainInstall 搜检是不是装置了AV顺序,增加防火墙划定规矩等。

函数 mainPoll按期从C2效劳器吸收新敕令。发送POST要求到hxxps://<server>/api/poll。POST参数示例以下:

challenge=e94e354daf5f48ca&cloudnet_file=1&cloudnet_process=1&lcommand=0&mrt=1&pgdse=0&sb=1&sc=0&uuid=&version=145&wup_process=1&wupv=0.

查询是AES 256加密的。

末了,函数 handleCommand 完成后门功用。

C2更新

后门有一些标准化的才能,但有一个异常特别的才能就是经由过程函数discoverDomain经由过程区块链来更新C2效劳器地点。

discoverDomain 函数能够经由过程发送后门敕令或由开释器自动完成。DiscoverDomain起首罗列公然列表中的Electrum Bitcoin钱包效劳器地点,然后尝试用硬编码的哈希值来查询剧本的区块链剧本哈希汗青。

该敕令会显现相干的生意业务。

OP_RETURN指令背面的数据段用作AES解密途径的指令,前12个字节用作AES GCM 标签,后32个字节是加密的数据。32字节长的AES key是硬编码在二进制文件中的。

Glupteba进击运动剖析

0f8f7cd39e1a5231b49f986b877befce0c2f558f0c1a9844833ac702cb3eba6e解码后就是venoxcontrol[.]com,就是当前的C2效劳器地点。

怎样溯源挖矿主机

0x00、前言 早期我们判定挖矿主机是通过全流量分析引擎,对外联数据做威胁情报匹配,如果发现外联IP或者域名存在挖矿特征则告警。但是伴随着安全应急响应的深入,我们发现此类误报率偏高,那么,我们如何更有效的石锤恶意挖矿行为并且形成自动化攻击溯源的威胁模型呢?本期和大家讨论这个问题。 0x01、如何入手调查 这是一个最基本的问题,假设你是一个外行人,如何判断一台机器种了挖矿病毒?大部分人的回答应该是CPU负载过高,OK就从这入手调查。 前提条件,在你的企

该手艺使其进击者能够很方便地替代C2效劳器地点。假如对C2效劳器落空掌握,就需要增加一个新的比特币剧本,受感染的机械解密剧本数据,从新衔接后就能够猎取新的C2效劳器地点。

浏览器盗取组件

最新Glupteba变种中有一个组件是updateprofile,是一个浏览器profile、cookie、password的盗取器。受进击的目的有Chrome, Opera, Yandex浏览器,cookie、汗青和其他文件都会被zip紧缩,然后上传到信息网络效劳器的 /api/log途径下。与主开释器相似,该组件也是用Go言语编写的,然后编译成可实行文件,用UPX打包。

另一个浏览器盗取器的版本是vc.exe,其目的是提取浏览器暗码和cookie,并将提取的数据Post到信息网络效劳器的 /bots/post-en-data?uuid=途径下。

路由器破绽运用组件

研究人员发明Glupteba开释器下载的另一个组件是路由器破绽运用组件,也是用Go言语开辟的。它会查找受害者网络的默许网关,默许IP网管的列表是挪用WMI敕令SELECT DefaultIPGateway FROM Win32_NetworkAdapterConfiguration WHERE IPEnabled = true来猎取的。

除了这些地点,另有三个默许的地点:192.168.88.11, 192.168.0.1, 192.168.1.1。

组件胜利衔接到装备后会监听8291端口,然后尝试运用CVE-2018-14847破绽,该破绽影响MikroTik路由器上的RouterOS操纵系统。破绽运用代码看似是来自exploit-db的,许可进击者从未装置补丁的路由器上抓取管理员凭据。猎取的账户名和暗码都保留在JSON对象中,然后加密,POST到C2效劳器的/api/router途径下。

胜利猎取凭据后,就会在路由器中增加定时使命。一共有3种要领来增加定时使命,分别是运用WinBox协定,运用SSH或API。

Glupteba进击运动剖析 图4. Glupteba进击运动中增加的定时使命示例

路由器破绽运用组件会设想一个名为U6的定时使命用于C2。该使命会每隔10分钟搜检一次C2 url,然后实行从URL下载的内容。C2 url上还会增加一个唯一的UUID,UUID与受害者机械上Glupteba的bot ID是雷同的。该URL平常会返回404毛病,然则当master bot发送敕令时,就会返回一个RSC文件,这是RouterOS设置文件的花样。

该文件是bot master掌握路由器的敕令。在进击中,研究人员发明C2效劳器会发送多个RSC文件来设置被黑的路由器成为SOCKS代办。具体步骤以下:

· 将U6定时使命的时长从10分钟修改成15秒;

· 第二个设置是禁用包含winbox, telnet, api, api-ssl在内的效劳。这是为了防备路由器被其他进击者运用雷同破绽入侵。然后翻开SSH和SOCKS效劳,监听随机分派的端口,建立防火墙划定规矩来吸收到SOCKS端口的外部衔接。

Glupteba进击运动剖析

· 第3个设置文件是移除现有的SOCKS接见列表。

· 第4个设置文件是增加新的SOCKS接见列表来限定效劳只吸收来自特定IP局限的衔接。IP地点的局限平常就是进击者效劳器地点的地点。

流量中继

经由过程上面的步骤,被黑的路由器就变成了进击者中继流量的SOCKS代办。研究人员监控被黑的路由器发明了只要部份流量会被中继。第一个经由过程SOCKS代办的路由的长途衔接是来自效劳器的,应该是属于进击者。效劳器查询http://ip-api[.]com/json,该地点返回当前SOCKS代办效劳器的IP地点。查询会反复发送来监控SOCKS代办效劳。

搜检了路由器状况后,研究人员发明差别的效劳器有两种范例的流量衔接到代办。第一个是垃圾邮件流量,研究人员发明一个长途效劳器建立了经由过程被黑的SOCKS代办与差别的邮件效劳器的SMTP衔接。假如邮件效劳器吸收衔接,长途效劳器就最先发送垃圾邮件。垃圾邮件看似是与Canadian Pharmacy主题相干的。

图5. 经由过程被黑的路由器来发送垃圾邮件流量示例

Glupteba进击运动剖析

图6. 垃圾邮件重定向的“Canada Pharmacy”网站

除了垃圾邮件流量,研究人员还发明一些来自长途效劳器的衔接到Instagram的流量。然则这些流量是经由过程HTTPS加密庇护的,所以没法相识衔接的内容。

 Glupteba进击运动剖析

图7. Instagram衔接示例(HTTPS加密的)

据上能够看出,Glupteba仍然在不断发展,并加入了新的功用。经由过程比特币生意业务来猎取数据以更新C2效劳器申明进击者运用了一些很少见的手艺来尝试绕过传统平安解决方案的检测。

本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/glupteba-campaign-hits-network-routers-and-updates-cc-servers-with-data-from-bitcoin-transactions/


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Glupteba进击运动剖析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址