深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博 | 申博官网
登录
  • 欢迎进入Sunbet!
  • 如果您觉得Sunbet对你有帮助,那么赶紧使用Ctrl+D 收藏Sunbet并分享出去吧
  • 您好,这里是Sunbet!

深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博

几天前,FortiGuard Labs团队发明了一个应用CVE-2017-0199破绽的歹意PPSX文件,该文件是为讲俄语的人设想的。文件名“Выставка”翻译为“展览”。经由进一步确认,PPSX文件针对每年在俄罗斯举办的名为陆军2018年国际军事和技术论坛的展览。这是最大的军事兵器和特种装备展览之一,不仅在俄罗斯,并且是世界上相似展览中的最卓越的运动之一。由于该运动设计于2018年8月21日至26日举办,因而发明此歹意文件异常实时。

深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博 深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博

图01.钓饵文件

此歹意软件的另一个风趣的要素是包罗的段落,以下所示。

深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博 深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博

图02.俄语约请

大抵意义为:

关闭静态展现古代和将来的军事兵器样本和团结武装部队特种部队的特种装备

固然运动对任何人开放,但客岁的构造者曾经设立了特地的展览会,个中包孕“关闭展现”。这适用于选定的主人,个中展现了分类装备,包孕大型飞行器和导弹。话虽如此,我们以为这个歹意文档的目的是那些愿望成为或曾经包罗在这些闭门约请中的选定客户。往年的运动已有66个官方本国代表团确认列入。我们将相识PPSX文件怎样损坏未打补丁的体系。

一、剖析

我们从应用CVE-2017-0199的歹意PPSX文件最先,翻开一个钓饵文件。 CVE-2017-0199是一个HTA(HTML应用顺序)破绽,许可歹意行为者在用户翻开包罗嵌入式破绽应用的文档时下载并实行包罗PowerShell敕令的剧本。这不是我们第一次碰到滥用此破绽的APT行为。事实上,之前的进击针对的是团结国机构、外交部和与国际机构互动的职员和构造。

深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博 深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博

图03.进击概述

翻开PPSX文件后,它会触发ppt/slides/_rels/slides1.xml.rels中的剧本。该破绽应用从近程服务器下载其他代码,如图04所示,并运用PowerPoint Show动画功用实行它。

深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博 深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博

图04.应用CVE-2017-0199的PPSX文件

上面显现的是在胜利实行嵌入在XML文件中的PowerShell破绽应用并将可实行有效载荷下载到%Temp%以后来自近程服务器的代码。

深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博 深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博

图05.defender XML

实行时,Defender.exe会开释以下文件:

深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博 深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博

图06. TMPEC4E目次

·      SynTPEnh – 包罗BISKVIT歹意软件包的目次

·      Csrtd.db – DevicePairing.exe用于主动运转装置的加密设置装备摆设文件

深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博 深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博

图07.解密的设置装备摆设

·      DevicePairing.exe – 在代码中也标识为“AutorunRegistrator”,其功用是将SynTPEnh目次复制到%appdata%并将其添加到主动运转注册表项

·      DevicePairing.exe.config – 运转时设置装备摆设文件

·      Kernel32.dll – BISKVIT歹意软件的通用库

·      Newtonsoft.Json.dll – 一个盛行的.NET JSON序列化顺序

二、BISKVIT

BISKVIT特洛伊木马是一种用C#编写的多组件歹意软件。我们依据代码中运用的称号空间将此歹意软件BISKVIT称为biscuit。不幸的是,曾经存在一个名为BISCUIT的有关歹意软件,因而运用BISKVIT替代,这是biscuit的俄语翻译。

深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博 深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博

图08.Biscuit模块

由于BISKVIT的模块化特征,很难正确肯定其所有功用,由于组件仅在进击者的批示下立即下载和加载。在撰写本文时,我们只能下载一个组件。到目前为止,基于我们能够或许猎取的组件的代码,此歹意软件具有但不限于以下功用:

·      下载文件和组件

·      隐藏/隐藏实行下载的及当地文件

·      下载静态设置装备摆设文件

·      更新自我

·      自删除

如上所述,BISKVIT歹意软件从%temp%文件夹复制到%appdata%\ SynTPEnh。这些是%appdata%\ SynTPEnh文件夹的内容:

·      SynTPEnh.exe  – BISKVIT歹意软件主文件

·      Csrtd.db – 加密的设置装备摆设文件

·      SynTPEnh.exe.config – 运转时设置装备摆设文件

·      Kernel32.dll – BISKVIT歹意软件的通用库

·      Newtonsoft.Json.dll – 一个盛行的.NET JSON序列化顺序

BISKVIT的主文件伪装成正当的Synaptics触摸装备驱动顺序文件,以制止引发用户的疑心。

深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博 深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博

图09.伪装成Synaptics的信息 

实行时,它会初始化其基础设置装备摆设,个中包罗以下信息:

深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博 深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博

图10.基础设置装备摆设

然后加载并解密其名为csrtd.db的设置装备摆设文件。AES运用以下密钥的加密此设置装备摆设文件:

深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博 深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博

图11.默许的AES密钥和IV

解密后,此设置装备摆设文件包罗敕令和掌握服务器,歹意软件用于搜检敕令和掌握服务器中功课的时候距离,API密钥和RSA密钥信息。我们没有找到RSA加密要领的代码援用,因而我们以为在撰写本文时我们还没有取得其他组件。

深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博 深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博

12.解密的设置装备摆设

三、敕令和掌握通讯

此歹意软件运用JSON花样经由过程REST API与敕令和掌握服务器通讯。歹意软件起首经由过程发送API密钥猎取接见令牌。若是未在设置装备摆设中指定,则会依据受沾染盘算机的CPU、磁盘驱动器和MAC地点信息天生API密钥。此API密钥是独一ID,也用于标识盘算机。

深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博 深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博

图13.独一ID

API密钥经由过程对 /api/auth/token的HTTP POST要求发送到敕令和掌握服务器。

深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博 深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博

诚信在线教育网

诚信在线教育息网以“打造教育信息垂直门户”为基础定位,将教育行业各类权威资讯、教育资源信息、可信任的行业网站信息提供给互联网用户。

图14. POST ApiKey

 

服务器复兴将用于全部会话的接见令牌信息。

深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博 深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博

图15. Access token

然后,此歹意软件经由过程功课API吸收并实行来自进击者的敕令。它会向API /api/job发送HTTP GET要求,以便在经由一段时候后猎取功课,如设置装备摆设中设置的时候距离所示。

深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博 深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博

图16. GET api/job 

相应将是一个具有四个症结字的功课:id,resultUri,tasks和executionOptions。

深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博 深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博

17. Job

·      id – job ID

·      resultUri  – 歹意软件将HTTP POST job效果的中央

·      executionOptions – 通知歹意软件它是不是会以特定时候距离实行包,和是不是会在启动时启动。

·      tasks – 包罗有关进击者愿望下载到受沾染盘算机并在受沾染盘算机上实行的顺序包(组件/其他文件)的信息。

tasks 中的executeMode通知歹意软件怎样实行包。 

深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博 深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博

图18. Execute modes

若是形式为0,则将包视为组件/库,并运用指导中的参数实行。

若是形式为1,则将包视为文件,并运用Windows API ShellExecuteEx或CreateProcess实行,个中WindowStyle设置为Hidden,CreateNoWindow设置为true。

深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博 深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博

图19. ExecuteHide

若是形式为2,则将包视为文件,并运用CreateProcessAsUser Windows API实行。

深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博 深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博

20. StartAsUser

此歹意软件的另一个风趣功用是它将功课当地生存在名为534faf1cb8c04dc881a3fbd69d4bc762的文件夹中。

深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博 深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博

图21. Jobs目次 

功课运用与设置装备摆设文件相反的AES加密住手加密,并以其功课ID及.db扩展名定名。这意味着纵然以后历程被中缀或住手,它也能够在下次实行歹意软件时继承实行功课。完成功课后,歹意软件将删除当地生存的功课。

在剖析过程当中,歹意软件收到了下载将executeMode设置为0的软件包的功课。这意味着软件包是一个组件/库,从/api/package/5b61b91da99a25000198dfcc下载。

深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博 深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博

图22. Job及packageId 与executeMode

来自功课中指定downloadUri的包为带有PK头的zip文件。

深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博 深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博

图23. 猎取Package

包存储在文件夹083c57797944468895820bf711e3624f中。

深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博 深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博

图24. Packages 目次

在搜检了已下载的组件以后,我们发明它是一个名为FileExecutor的组件,它只实行parameters 中指导的文件。

深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博 深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博

图25. Job与Task参数

此FileExecutor组件具有与executeMode设置为1相反的功用,它只运用ShellExecuteEx或CreateProcess实行文件,个中WindowStyle设置为Hidden,CreateNoWindow设置为true。在上面的事情中,它通知歹意软件运用FileExecutor组件实行“systeminfo”,超时设置为30秒,如Waittime所示。

systeminfo敕令显现有关盘算机及其操纵体系的细致设置装备摆设信息,包孕其操纵体系设置装备摆设、平安信息、产物ID和硬件属性(如RAM,磁盘空间和网卡)。

深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博 深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博

图26. 数据POST到CC的Systeminfo

要让C&C晓得正在运转的功课的状况,它还包孕具有上面所示值的症结状况。在我们的剖析过程当中发送的数据其状况即是2,这意味着它是完整的。

深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博 深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博

图27.功课状况

在systeminfo功课以后,进击者注重到他/她发送功课的机械多是一台剖析机械,因而C&C住手发送任何功课。这意味着此进击面前的进击者异常警惕,不会沾染非目的盘算机并制止警报。

固然在网络受害者盘算机的基础信息后,目的进击中运用的C&C服务器倏忽住手相应其实不新颖,但此处运用的C&C并未完整阻挠其通讯。相反,它只是住手发送事情。这使研究职员和剖析职员依然能够监控C&C。

四、低AV检出率

深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博 深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博

风趣的是,即使歹意软件文件没有打包或殽杂,只要多数AV供应商(包孕Fortinet)能够或许检测到这些文件。

五、总结

运用以后和行将发作的事宜作为钓饵来进击高代价目的正在愈来愈遭到进击者的迎接。

依据我调查效果,我们以为这是一次精心策划的进击,特别是考虑到实时分发歹意钓饵文件和运用前所未见的歹意软件。这两个要素为攻下目的供应了最好时机。

IOC

be7459722bd25c5b4d57af0769cc708ebf3910648debc52be3929406609997cf

a87daccbb260c5c68aaac3fcd6528f9ba16d4f284f94bc1b6307bbb3c6a2e379

b4a1f0603f49db9eea6bc98de24b6fc0034f3b374a00a815b5c906041028ddf3

934542905f018ecb495027906af13cc96e3f55e11751799f39ef4a3dceff562b 23a286d14de1f51c5073caf0fd40a7636c287f578f32ae5e05ed331741fde572

CC

hxxp://bigboss.x24hr.com

hxxp://secured-links.org/

本文翻译自:https://www.fortinet.com/blog/threat-research/russian-army-exhibition-decoy-leads-to-new-biskvit-malware.html;如若转载,请说明原文地点: http://www.4hou.com/other/13305.html

诚信在线体育导航站

国内最全面最纯净的体育娱乐导航网站-诚信在线纯净版体育导航网.


Sunbet|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明深切理会应用俄军军事论坛名义流传的歹意软件_Sunbet 申博
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址