欢迎访问Sunbet官网(www.sunbet.us),Allbet欧博官网(www.ALLbetgame.us)!

首页Sunbet_新闻事件正文

供应链攻击活动Red Signature分析

de64384a174e12dc2020-10-01160事件

IssueMakersLab与Trend Micro的研究人员一起发现了Red Signature行动,一起窃取韩国企业信息的供应链攻击。研究人员7月底发现了这起攻击。

攻击者黑进了远程支持方案提供商的更新服务器,通过更新过程传播9002 RAT(remote access tool)。这个过程首先是窃取公司的证书,然后用窃取的证书对恶意软件进行签名。如果客户端位于目标组织的IP地址范围内,攻击者还会配置更新服务器使其只传播恶意文件。

9002 RAT还会安装其他的恶意工具,IIS 6 WebDav(利用CVE-2017-7269)的漏洞利用工具和SQL数据库密码复制器。安装的这些工具暗示攻击者的目标未web服务器和数据库。

 1534925059481566.png 供应链攻击活动Red Signature分析  事件 第1张 1534925059481566.png 供应链攻击活动Red Signature分析  事件 第1张

图1. Red Signature行动供应链

Red Signature行动工作原理:

  • 从远程支持解决方案提供商处窃取代码签名证书。证书窃取的时间大概是2018年4月,因为研究人员4月8日发现一个用被窃的证书签名的ShiftDoor恶意软件(4ae4aed210f2b4f75bdb855f6a5c11e625d56de2)。

  • 准备恶意更新文件,用窃取的证书对恶意更新文件进行签名,然后上传到攻击者的服务器(207[.]148[.]94[.]157)。

  • 黑掉该企业的更新服务器。

  • 配置更新服务器。如果客户端从属于目标组织的IP地址范围内连接到服务器,配置更新服务为从攻击者的服务器接收update.zip文件。

  • 当远程支持程序执行时,发送恶意update.zip文件到客户端。

  • 远程支持程序验证签名认为更新文件为非恶意文件,然后执行update.zip文件中的9002 RAT恶意软件。

  • 9002 RAT从攻击者服务器下载和执行其他恶意文件。

技术分析

更新文件update.zip中含有update.ini文件,含有恶意更新配置信息,其中说明了远程支持解决方案程序下载file000.zip和file001.zip,然后解压为rcview40u.dll和rcview.log到安装文件夹。

程序会执行用窃取的证书签名的rcview40u.dll和Microsoft register server (regsvr32.exe)。DLL文件负责解密加密的rcview.log文件并再内存中执行。9002 RAT是解密的rcview.log的payload,会连接到位于66[.]42[.]37[.]101的C2服务器。

 1534925080239441.png 供应链攻击活动Red Signature分析  事件 第3张 1534925080239441.png 供应链攻击活动Red Signature分析  事件 第3张

图2. 恶意更新配置文件的内容

 1534925096611656.png 供应链攻击活动Red Signature分析  事件 第5张 1534925096611656.png 供应链攻击活动Red Signature分析  事件 第5张

图3. 被黑的更新进程启动9002 RAT的过程

 1534925117267925.png 供应链攻击活动Red Signature分析  事件 第7张 1534925117267925.png 供应链攻击活动Red Signature分析  事件 第7张

图4. 解密的rcview.log文件的payload中的9002 RAT字符串模式

,

申博

申博合作开户热线:17744529285 ; 微信:Y17744529285 ; QQ:3374921601

,

9002 RAT

研究人员分析9002 RAT发现是RAT文件2018年7月编译的,update.zip文件中的配置文件是7月18日创建的。分析更新日志文件发现远程支持程序的更新进程是7月18日启动的,9002 RAT也是这个时间下载和执行的。

研究人员还发现特定攻击中使用的RAT文件在8月被设为不活动状态,所以RAT的活动日期是非常短暂的(7月18日-7月 31日)。

 1534925163632678.png 供应链攻击活动Red Signature分析  事件 第9张 1534925163632678.png 供应链攻击活动Red Signature分析  事件 第9张

图5. 9002 RAT样本编译时间戳(上),恶意配置文件时间戳(中),程序更新日志截图(下)

 1534925183319920.png 供应链攻击活动Red Signature分析  事件 第11张 1534925183319920.png 供应链攻击活动Red Signature分析  事件 第11张

图6. 9002 RAT检查系统时间并设定在2018年8月休眠的代码段

其他的恶意工具

9002 RAT还作为传播其他恶意软件的跳板。大多数的恶意软件都是以.cab压缩文件格式下载的。这也是绕过反病毒软件检测的一种方法。

下图为9002 RAT提取和传播的文件列表:

 1534925205824770.png 供应链攻击活动Red Signature分析  事件 第13张 1534925205824770.png 供应链攻击活动Red Signature分析  事件 第13张  1534925264185482.png 供应链攻击活动Red Signature分析  事件 第15张 1534925264185482.png 供应链攻击活动Red Signature分析  事件 第15张

图7. 下载的Web.ex_ cabinet文件(左)和解压的Web.exe文件(右)

其中下载一个文件printdat.dll就是一个RAT,是PlugX恶意软件的变种,会连接到相同的C2服务器(66[.]42[.]37[.]101)。

1534925294609592.png 供应链攻击活动Red Signature分析  事件 第17张 1534925294609592.png 供应链攻击活动Red Signature分析  事件 第17张

图8. printdat.dll文件中的内部PlugX date dword值

如何缓解供应链攻击

供应链攻击不仅会影响用户和企业,因为利用的是厂商和客户之间的信任。通过木马化软件、应用,操作运行的基础设施和平台,供应链攻击会影响企业提供的商品和服务的完整性和安全性。比如在医疗领域,行业非常依赖第三方和云服务,供应链攻击会使个人身份信息隐私和知识产权数据处于威胁中,还可以破坏医院运营,甚至危及病人健康。随着欧盟GDPR等监管措施的实施,这种攻击的影响可能会加大。

下面是一些最佳实践供参考:

  • 考虑第三方产品和服务的安全。除了确保企业自己的在线基础的安全性外,还要对使用的第三方应用应用安全控制措施。

  • 开发应急响应策略。供应链攻击大多是有特定目标的,企业要完全理解、管理和监控第三方厂商的威胁。

  • 主动监控网络中的异常流量。防火墙、入侵检测和预防系统能够帮助缓解基于网络的威胁。

  • 最小权限原则。网络隔离、数据分类、系统管理工具的限制使用以及应用控制都可以帮助减少暴露的数据。

如若转载,请注明原文地址: http://www.4hou.com/other/13204.html,

申博

申博合作开户热线:17744529285 ; 微信:Y17744529285 ; QQ:3374921601

网友评论

1条评论
  • 2020-10-01 03:19:19

    欧博注册网址www.goldo.cn欢迎进入欧博网址(Allbet Gaming),欧博网址开放会员注册、代理开户、电脑客户端下载、苹果安卓下载等业务。万年不评论,这个太好了