关于ZAKER 融媒体解决方案 智媒短视频 合作 加入

趋势科技对 Earth Kitsune 攻击中 SLUB 恶意软件的分析(下)

趋势科技对 Earth Kitsune 攻击中 SLUB 恶意软件的分析(上)

Dropper 的 C&C 通信

受害者将在单独的数据包中发送两个字节序列,第一个请求是第二个请求的大小,而第二个请求是要检索的文件名。第二个请求中的原始字符串名称在发送之前未得到注释(图 15 显示了实际流量的示例)。然后,服务器会将文件发送回受害者的计算机。

放置程序将下载三个示例:"1.jpg","2.jpg" 和 "3.jpg",每个示例都在下载时执行,没有任何其他条件。这种攻击会产生很多危险信号,但是由于攻击者已经对计算机进行了安全软件审查,因此攻击者可以大规模部署多个组件。

以下代码部分显示了在 DownloadAndExecuteSamples ( ) 函数内部执行的下载示例。

下载的示例执行

Internet Explorer 矢量和 PowerShell 加载程序

趋势科技发现的另一个感染媒介使用 Internet Explorer 漏洞 CVE-2020-0674(会影响 Internet Explorer 的各种版本)感染受害者。该漏洞是今年发现的,以针对性攻击而闻名,该漏洞运行一个 Shellcode,然后运行 PowerShell 加载程序的几个阶段。

用于发送 SLUB 恶意软件的 CVE-2020-0674 脚本

与 Chrome 漏洞利用链中使用的 shellcode 相似,PowerShell 版本将检查受害计算机是否受到某些安全软件的保护。 PowerShell 列表与 shellcode 所使用的列表非常相似,但具有一些进程名称变体,如图 18 所示。

PowerShell 矢量安全产品列表

根据此列表,它将下载并执行多达三个不同的后门。如果在 LPE(本地特权升级)列中指示,PowerShell 加载程序可能会利用 CVE-2019-1458 指示下载和执行 LPE 二进制文件。该二进制文件可以使用系统特权下载并执行后门程序。

Powershell 加载程序的另一个功能是记录感染情况,可能出于统计目的。对于此任务,它使用承载恶意示例的同一服务器。

PowerShell 加载程序将首先使用 "$ ip_web" 对象中引用的 URL 向网站发送请求,以执行一个 PHP 脚本,该脚本将捕获受害者的外部 IP 以报告感染。之后,它将发送另一个请求,其中包含受害者计算机中检测到的外部 IP 和安全软件。安全产品根据图 21 中的最后一列进行编码,例如 360 将被编码为 5。

趋势科技能够捕获服务器中的报告文件,并注意到大多数感染都没有列出的安全产品,也根本没有任何产品(value 0 ) ),如下图所示,这是所有产品的部分列表感染。

下一部分将描述 dropper.dll 或 PowerShell 加载程序或 LPE 漏洞下载的 mm / SLUB 示例的行为。

SLUBMattermost 的演变

这个新变种是趋势科技在两个 Blog9、10 中记录的 SLUB 恶意软件的演变,但是现在基于 Mattermost 服务进行通信。使用诸如 Slack 或 Github 之类的云服务的主要优势是不必处理维护基础架构的问题。缺点是,可以删除 Github 内容,并且如果研究人员向相关合法组织举报,则 Slack API 令牌可能会失效。

Mattermost 是 Slack 的开源替代品,对于攻击者而言,Mattermost 的优势之一就是可以轻松地在内部部署它。这样,攻击参与者就重新获得了通过操作其自己的 Mattermost 服务器而使 API 令牌无效的优势。除了 Mattermost 之外,REST API 还具有丰富的功能并且易于使用。趋势科技认为,由于这些优势,Mattermost 已经使用了这些攻击因素。下一节将描述 SLUB 的 Mattermost 版本的一般行为。

SLUB 的行为

新的 SLUB 变体与 Mattermost 服务器交互,以跟踪跨多台受感染计算机的部署。它为每台计算机创建一个单独的通道来跟踪它们。图 23 显示了使用 REST API 的 SLUB 示例与 Mattermost 的一般集成流程,所有通信在端口 443 上使用 HTTP。

运行在端口 443 上的不安全(HTTP)Mattermost 服务器

对于使用 Chrome 漏洞利用程序部署的示例,使用的通道标记为 "ZM",对于每个受感染的计算机,唯一生成一个名称通道 "A",除了主要通信。

在选定团队内部的渠道中,SLUB 示例还使用 " 通知 " 渠道来实时指示新感染。

Mattermost 的通信流程

通道设置完成后,SLUB 示例开始收集有关计算机的信息,并将其提取回 Mattermost 服务器。首先,它运行一系列命令,然后将信息发送回通道。以下列表显示了所有已执行的命令:

用于泄漏系统信息的命令

从上一个命令中提取所有信息后,SLUB 捕获计算机的屏幕截图并将其发送到恶意软件通道。

趋势科技在实验室环境中对与 Mattermost 相互作用的示例进行了完整的模拟。这为趋势科技提供了有关其在实际情况下如何工作的内部信息,下图显示了恶意软件感染计算机后的 Mattermost 界面。屏幕截图中还包含带有上述命令输出的一组文本。

Mattermost 界面,用于泄漏系统信息

SLUB 示例的目的是窃取大量系统信息。趋势科技还注意到,另外两个已部署的示例允许对受害计算机的行为进行额外控制。

Mattermost 的攻击者的服务器

在分析新的 SLUB 变体时,趋势科技注意到与 Mattermost 的通信需要具有特定权限级别的身份验证令牌,例如,创建通道并向这些通道发送帖子,身份验证令牌或承载作为 HTTP 标头的一部分发送。

Mattermost 的身份验证令牌

如前所述,在与 C&C Mattermost 服务器通信期间,SLUB 示例中有两个重要参数:

1. 承载者;

2. 团队名称:ZM;

这意味着攻击者可能会根据攻击使用不同的团队名称和载体来发布示例变体。了解这些信息将使趋势科技能够更仔细地查看攻击活动。

要了解有关攻击者基础架构的更多信息,趋势科技查看了 Mattermost API,以了解如果趋势科技使用与 SLUB 示例用于连接服务器的相同 Mattermost 承载方式,可以获得多少有关攻击者的信息。

因为趋势科技事先不知道承载者对服务器具有的所有权限都是必需的,所以趋势科技尝试通过 API 调用执行 API,直到大致了解需要什么。经过几次尝试,趋势科技能够从 Mattermost 服务器提取以下数据:

1. 通道列表;

2. 每个通道中所有帖子的转储;

3. 每个通道中所有屏幕截图的转储;

4. 与渠道关联的所有用户的列表;

这是很多要讨论的信息,因此趋势科技仅提及重要部分。

如前所述,攻击活动数据表明正在使用两个媒介。一个使用 PowerShell 脚本,而另一个使用 Chrome exploit shellcode 部署示例。在 Powershell 媒介中,趋势科技发现了另一个团队名称:MIN。

团队名称:MIN

趋势科技能够从两个通道中提取所有列出的工件,下面是一些捕获的工件的描述。

Mattermost 团队

Mattermost API 是易于使用的用户友好型 REST API。例如,要检索有关通道的信息,可以执行以下命令:

下图显示了从每个通道发送请求时发现的两个通道的通道属性。

MIM 和 ZM 通道的详细信息

创建日期表明了两个活动开始的时间,表明使用 Chrome 漏洞的活动在使用 PowerShell 矢量之前就开始了。

Mattermost 服务器用户

使用 REST API,趋势科技能够检索在 Mattermost 服务器中创建的用户列表。在进行研究时,趋势科技发现了 15 位有效用户。识别出了三种用户:

在 Mattermost 服务器中创建的用户的类型和数量

下图显示了实际的用户列表:

Mattermost 服务器用户帐户

用户列表可让趋势科技对攻击系列的长期活动有所了解,因为转储的数据具有帐户的创建日期。有一个 "system_admin"(图 29 中突出显示的行)帐户,该帐户是在安装 Mattermost 服务器时创建的。这表明攻击者已于 2020 年 3 月 10 日开始设置此服务器。

所有其他帐户都是常规用户帐户,但具有两个额外权限:"system_user_access_token" 和 "system_post_all_public"。这两个权限允许用户分配令牌或载体来撰写帖子。如前所述,令牌在编译时与 SLUB 示例相关联,这表明在趋势科技分析时已经发布了多个更新的 SLUB 示例。

该表显示了五个不同的月份(三月、四月、七月、八月和九月),尽管很难确定每个用户的确切目标,但证据表明,攻击者正在使用某种组织安排来操作示例。基于捕获的示例,其中两个用户帐户与对应于两个不同攻击媒介的不同团队相关联。

Mattermost SLUB 示例信息泄漏

在分析 "mm"/SLUB 示例时,趋势科技发现了一个调试符号泄漏,该泄漏引用了用于开发示例的外部库。尽管外部库得到了广泛使用,但确切的路径是针对攻击者的开发人员环境的特定路径。

调试符号泄漏

利用这些信息,趋势科技寻找了更多示例,并使用 Mattermost 找到了三个更早的示例,该示例可追溯到 2020 年 2 月 28 日。当时,攻击者使用的是另一台 Mattermost 服务器。下图显示了这些旧示例的请求。

旧的 Mattermost 服务器

趋势科技可以看到,在这种情况下,"Mattermost 的通道 " 被称为 "Minjok",指的是用来攻击受害者的受感染网站之一。

下一节将详细介绍从 Mattermost 服务器提取的实际帖子和屏幕截图。

Mattermost 的文章和屏幕截图

通过遵循 Mattermost REST API 并重用两个 SLUB 示例中的载体,趋势科技从与 ZM 和 MIN 团队相关的所有渠道中提取了数百篇文章和一些屏幕截图,所有这些帖子和屏幕截图都是由受 mm / SLUB 后门感染的受害者计算机发布的。

虽然趋势科技无法透漏有关帖子的信息(因为这些信息可能包含来自真实受害者的访问数据),但趋势科技发现许多感染与用作沙箱的计算机有关,这些计算机故意运行 SLUB 示例以提取其攻击行为。这些沙箱可以通过屏幕截图的内容或计算机 BIOS 类型轻松识别。以下屏幕截图显示了这些沙箱的两个示例。

Mattermost 恶意服务器的屏幕截图示例

由于执行了图 24 中提到的命令,攻击者在这些帖子中提取了与受感染系统的计算机有关的大量信息。出于安全原因,此处无法讨论或包括所提取的信息,包括计算机 IP 和硬件。

总结

由于实施了各种技术(例如,恶意软件部署期间的安全软件检查),这些技术的实施旨在掩盖策划该攻击的实施者,因此 "Operation Earth Kitsune" 活动仍然非常活跃,并且仍然不为大众所知。

趋势科技认为,考虑到示例的设计和部署的媒介数量,肯定有一个非常有能力的团队在幕后进行整体策划。在使用的网络工具及其所包含的上下文内容方面,所有受到感染的网站都遵循通用模式。

IoCs

以上内容由"嘶吼RoarTalk"上传发布 查看原文
内容来源

觉得文章不错,微信扫描分享好友

扫码分享

热门订阅 换一批

查看全部