欢迎访问Sunbet官网(www.sunbet.us),Allbet欧博官网(www.ALLbetgame.us)!

首页Sunbet_安全防护正文

DarkUniverse:神秘的APT框架

b9e08c31ae1faa592020-03-0552Web安全

2017年4月,ShadowBrokers发布了知名的Lost in Translation泄露事件,其中含有一个可以在被黑的系统中检查其他APT的踪迹。

DarkUniverse:神秘的APT框架  Web安全 第1张

2018年,研究人员发现了描述该脚本第27个函数的APT,研究人员将其命名为DarkUniverse。该APT组织活跃了至少8年,从2009年到2017年。由于有很高的代码重合,研究人员有理由相信DarkUniverse是ItaDuke的一部分。ItaDuke是从2013年开始活跃的一个黑客组织,使用PDF漏洞利用来释放恶意软件,用Twitter账号来保存C2服务器URL。

技术细节

感染向量

鱼叉式钓鱼攻击是一种常用的恶意软件传播方式。为了获得受害者的关注,研究人员为每个受害者准备了一封信,并弹窗来打开一个附件恶意office文档。

每个恶意软件都是在发送之前编译的,并包含最新的恶意软件可执行文件版本。因此,该框架是从2009年到2017年都在进化,而最后发布的版本与最初发布的版本是完全不同的,所以本文只分析2017年使用的最新版本。

文档中嵌入的可执行文件可以从中提取出2个恶意文件,updater.mod和glue30.dll,然后将这两个文件保存在恶意软件的工作目录下——%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Reorder。

然后,恶意软件会将合法的rundll32.exe可执行文件复制到相同目录中,然后用它来运行updater.mod库。

updater.mod模块

该模块是以只有一个导出函数callme@16的动态链接库实现的。该模块负责像为C2服务器提供通信、提供恶意软件完整性和驻留截至、管理其他恶意软件模块等任务。

驻留截至是由一个链接文件提供的,updater.mod会将该链接文件放在开始菜单文件夹中,以确保恶意软件在重启后会执行。如果链接文件被破坏了,updater.mod模块就会将其复原。

C2通信

在该攻击活动中,C2服务器主要位于mydrive.ch的云存储上。对每个受害者来说,操作人员创建了一个账号,并将其他的恶意软件模块和含有命令的配置文件来执行。执行后,updater.mod模块会连接到C2服务器并执行以下动作:

下载命令文件到工作目录;

上传其他恶意模块收集和准备的文件到C2服务器。这些文件位于工作目录中‘queue’ 或‘ntfsrecover’中的文件夹中。目录中的文件扩展为.d或.upd,扩展是根据是否上传到服务器来决定的。

下载其他的恶意软件模块:

dfrgntfs5.sqt – 负责从C2服务器执行命令;

msvcrt58.sqt – 负责窃取邮件凭证和邮件的模块;

zl4vq.sqt – dfrgntfs5使用的合法zlib库;

%victim_ID%.upe –  dfrgntfs5的可选插件。但研究人员无法获取该文件。

所有的恶意软件模块都是由定制的算法加密的:

C2账号的凭证保存在位于注册表中的配置数据中,但updater.mod模块也会保存一个可执行文件中的加密字符串的副本。配置文件还会指定updater.mod连接C2的频率,支持主动模式和部分主动模式。

注册表中的恶意软件配置

通过感知哈希算法跟踪视觉相似图像的恶意软件活动 介绍 恶意文档中通常会带有攻击者伪造的一些常见应用程序的图像,其目的是诱使用户执行某些操作,例如禁用Microsoft Office的只读模式(受保护的视图),或是启用宏等。在执行恶意活动时,攻击者往往会重复使用或稍微修改这些图像,借以逃避通过哈希值对其活动的跟踪。本文将描述如何通过感知哈希算法跟踪及检测在涉及视觉相似的恶意文档的活动中分布的恶意软件家族,同时我们还发布了一个名为graph_similar_document_images.py的脚本来应用此技术。 常见应用程序图像 我们从2019年检测到的250个恶意文档样本中,识别出了32个不同的常见应用程序图像,如下表所示。 表1 –应用程序或公司图标检测数量 攻击者最常见的诱骗手段是声称文档“受保护”(13个变体),其次是声称文档与查看的软件版本不兼容(10个变体)。 加密哈希函数 哈希值常用于文件校验或签名,也是威胁情报中常见的一类指示类

恶意软件配置数据保存在SOFTWARE\AppDataLow\GUI\LegacyP 记录中的恶意软件配置中。不同的值和表示的意思如下所示:

DarkUniverse:神秘的APT框架  Web安全 第2张

glue30.dll和msvcrt58.sqt模块

glue30.dll恶意软件模块提供了键盘记录功能。updater.mod模块使用Win API函数SetWindowsHookExW来为键盘安装hook,并注入glue30.dll到获取键盘数据的进程中。然后,glue30.dll会加载和开始拦截每个hook进程的输入。

msvcrt58.sqt模块会拦截未加密的POP3流量来收集邮件会话和受害者的凭证。该模块会寻找以下进程中的流量:

outlook.exe;

winmail.exe;

msimn.exe;

nlnotes.exe;

eudora.exe;

thunderbird.exe;

thunde~1.exe;

msmsgs.exe;

msnmsgr.exe.

恶意软件会分析拦截的POP3流量,然后发送结果到主模块来上传到C2服务器。这是通过hook以下网络相关的Win API函数来完成的:

ws2_32.connect;

ws2_32.send;

ws2_32.recv;

ws2_32.WSARecv;

ws2_32.closesocket.

dfrgntfs5.sqt模块

这是DarkUniverse框架最重要的功能模块。它会处理来自C2的命令,如下表所示:

结论

DarkUniverse是使用了至少8年的一个框架。恶意软件中含有收集所有种类与用户和受感染系统相关的所有模块。由于代码重叠,研究人员认为DarkUniverse的创建者和ItaDuke的活动有关。攻击者在该攻击活动的整个生命周期内保持更新,所以来自2017年的样本与2009年最初的样本是完全不同的。攻击者可能已经决定转向更加现代的方法并使用更主流的一些方法。

本文翻译自:https://securelist.com/darkuniverse-the-mysterious-apt-framework-27/94897/: