Sec Hotspot 首页  排行榜  收藏本站  技术博客  RSS
统计信息
已收录文章数量:13722 篇
已收录公众号数量:89 个
本站文章为爬虫采集,如有侵权请告知
已收录微信公众号
网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
【流行威胁跟踪】一黑客组织针对金融用户的定向分析报告
本文来自公众号:深信服千里目安全实验室   2020.08.03 19:56:45


事件简介

近期深信服安全团队捕获到多个恶意样本,其中发现文档采用了 Excel 4.0宏规避技术 ,鉴于普通文档不会轻易采用该技术,于是对捕获的样本进行分析后发现这是一起近期针对国内特定人群的攻击活动,结合公开的资料对比,比如针对特定目标的钓鱼邮件,以及所用的Excel 4.0宏技术、以及最后下发的母体程序会携带有效的数字签名,加之最后执行远控木马控制受害者机器等这些流程与技术,大致可与国际知名黑产组织TA505之前所采用的流程相似,从互联网公开的追踪分析报告发现TA505也于2019年针对部分东亚国家金融从业者进行过攻击活动。


样本分析

获取样本到放置本地环境后,双击打开Excel后直接被office软件提示检测到了威胁,强制不允许进行编辑,为了进行分析先手工允许编辑,之后来到工作表区域发现两张工作表,一个是Sheet2,另一个是idS。


手工允许编辑,如下。


通过查看当前工作表会很明显发现这是诱导性地让用户启用内容(允许宏代码执行)的提示文案,目前已有很大概率判定这是一个恶意文件,不过此时下结论过早,还只是猜测。


来到第二个工作表idS,如下没有发现内容。


先使用olevba工具对其分析下,输出信息太多可以采用管道重定向写入文本文件中,经过对输出结果进行查看意外发现存在Excel 4.0宏,不过是非隐藏模式,idS工作表则是Excel 4.0宏工作表。


如下存在有Auto_Open与EXEC,看来可以判定这是一个恶意文档了。


接下来对其分析,首先这个样本是没办法直接在单元格名称那里手工直接定位到Auto_Open位置的,所以通过下面的简单分析先获取到该单元格具体位置为N19165。


当然也可以通过在工具栏的查找和选择选项里找到【转到】,直接进行定位。


定位内容如下,很明显的宏代码,不过已经经过混淆处理,暂时无法通过直接查看得到具体执行内容。


修改下将会自动执行的单元格名称,避免自动执行,如下。


对其进行下手工调试,如下会直接从服务端下载一个文件,然后放置本地并更名为phone.exe。


通过上面的分析可以发现恶意文档后续会进行访问的地址为:http://47.106.112.106:8032/app/logo.gif,访问的文件路径名称也进行了伪装,下载至本地并更名为phone.exe的程序分析后实际为远控木马母体。


下载后可找到.NET平台程序痕迹,如下这是一个.NET平台程序。


本地最终得到的文件,如下。


查下该文件的属性,发现原始文件名为ZOL.exe,发现竟然存在有效的数字签名,签名时间则是当前文章记录的时间。


通过签名人Disc Soft名称搜索发现这是一家国外软件开发商,官网地址为:https://www.disc-soft.com/,找到官网公开的软件下载至本地查询官方数字签名信息,发现确实是Disc Soft Ltd签名人名称。


什么是数字签名?

数字签名是指可以添加到文件的电子安全标记,使用它可以验证文件的发布者以及帮助验证文件被数字签名后是否发生更改。


为何需要数字签名?

如果文件没有有效的数字签名,则无法确保该文件确实来自它所声称的源,或者无法确保它在发布后未被篡改(可能被病毒篡改)。


简单地讲就是给软件代码加上数字签名可以用来保证:

1)真实性 ( authenticity ) :让用户确信此软件的来源 ( 软件开发商的真实性 );

2)完整性 ( integrity ) :确保软件发布后没有被篡改;

验证数字签名并不需要我们手动去查看,如果没有关闭Windows的UAC(用户账户控制)功能,那么在执行任何程序的时候系统都会自动验证其签名,如果是签名有效的程序,那么弹出来的UAC对话框是蓝色或者灰色的,如果没有签名,那么会是醒目黄色的。而如果签名被阻止,则会显示红色并且不允许执行,所以说数字签名在很大程度上是系统防护的一种前期手段。


经分析以上的有效数字签名攻击手法则属于 数字签名冒用 ,仔细查看会发现实际颁发者是完全不同的,此样本在恶意软件伪装层面里投入了很多精力进行伪装,这也符合有组织性的攻击活动的特征。


该文件的检测结果如下,表明规避效果很好。因为从最初的只有3家引擎可以检测,随着时间的推移才慢慢地有更多的引擎可以检出。


编译时间则表明活动时间是近期,如下。


该恶意文件会从资源获取16个字节数据作为密钥,便于后续进行解密。


经过下面的逻辑进而解密会得到新的PE文件,如下。


提取的PE文件分析后为.NET平台的dll文件,编译时间与之前的文件是同一天,如下。


会内存加载dll并反射调用执行dll中的LOLY()方法,如下。


查看下dll文件内容,如下。


已经经过了混淆,对其去混淆后如下,可发现大概率是针对国内用户环境,因为会检测当前系统是否存在相应的安全守护进程,如下。


会判断phone.exe文件是否已隐藏,如果没有隐藏则将其设置为隐藏属性。


文件属性已经是隐藏属性,如下。


直接一步步调试进入dll区域内,进入到入口点,如下。


寻找特定资源内容,如下。


使用GZip方式解压之前读取的资源内容,如下。


RC4解密之前解压的内容,采用的是密钥为"CLrLOEPISponsor"。


后续内存执行调用,如下。


分析上面提取出的PE文件,查询如下,非.NET平台程序,属于C++编写的远控木马,编译时间比之前的母体晚一天。


内存释放的PE文件则可以定位属于Remcos RAT远控木马,如下这是木马存在的痕迹,同时也与常规远控木马一样会存在键盘记录功能。


该样本采用的RAT版本为2.6.0 Pro,如下。


最终执行后会自删除本地文件,之后复制自身至其余路径下并更名为VideoPlayer.exe程序至后台运行,接着会与C&C进行通信接收指令执行。

截止分析时,C&C已失效,存活时间非常短。


不过可以获取到C&C地址为update.huobibtc.net,获取的IP与端口为23.106.123.236:443,通信是加密的。


Remcos RAT介绍

以上样本后续使用了Remcos RAT远控,接下来对其进行介绍。Remcos是一款公开发行出售的远程管理工具(RAT),官网地址为:https://breaking-security.net/remcos/。它是采用C ++编写的轻量级,快速且高度可定制的远程管理工具,具有多种功能。这是一种功能强大的远程控制工具,可用于远程完全管理一台或多台计算机。


通过公开的信息也可发现近几年已被黑客不断的在各种攻击活动中来充当远控木马工具,以此收集受害者信息,控制受害者机器。如下则是正在出售的个人专业版售价,通过欧元结算,折合人民币大致为1500元,价格比起之前分析过的 Web Monitor RAT 相差过大,由于价格的因素,这也可能是导致越来越多的攻击者钟情于该工具的原因。


相似样本

在此样本被发现后,初步发现攻击者对攻击活动投入了不少精力,所以也应当会有更多活动痕迹,初步感觉这不是个别攻击活动。于是通过远端下载远控木马的IP地址(47.106.112.106)进行情报关联又陆续发现了以下样本,启用宏后内容显示的是财务报表(简体内容),而文件名采用了繁体命名。

初期检测率也不高,如下。


打开后发现与之前样本是一样的提示文案,不过工作表名称不同,如下。


相似度非常高的宏代码,如下。


通过分析得到后续下载母体的地址为

http://47.106.112.106:8032/html/logo2.gif,攻击者反应很快,截止发文时下载地址目前已经失效,持续时间非常短。


通过分析宏代码可知下载logo2.gif文件后,会在本地更名为Linkphone.exe,而最初分析的样本会更名为phone.exe。从活跃时间来看,该样本(logo2.gif)出现的较早,最早开始于2020年7月8日,不过Linkphone.exe最初只有5家引擎可以检出,后续随着时间推移,能检出的引擎才慢慢增多。


后续发现同样是.NET平台的程序,携带数字签名,时间比上述分析的样本要早几天,于2020年7月7日编译完成。


图标也特意针对文件名的含义进行了伪装,如下。

还是同一个假冒的签名,给程序签名的时间比编译时间晚一天。


查看反编译后的源码发现与上述分析的代码存在不一致的部分,但最终还是会调用解密出的dll文件中的LOLY方法。


将上面内存解密的dll提取出来,如下。


根据dll内部代码,如下是预留的方法,因为也没有任何实质的功能代码,可以判定目前还处于持续开发中,后续会增加更多的功能。


按照之前的分析接着提取会再次释放的PE文件,如下。


可以发现该恶意文件非.NET平台程序,发现编译时间处于2020年5月9号(比上述的文件要早几个月,推断早在5月份就已有活动趋势),如下。


Warzone RAT介绍

通过分析上述5月份编译完成的程序中的warzoneTURBO字符串可得知这是Warzone RAT远控木马,如下。


Warzone RAT是一种远控木马,也称为Ave Maria。黑客使用它来远程控制受害者的PC,并从受感染的PC中窃取信息,例如他们可以远程激活相机以拍摄受害者的照片并将其发送到控制服务器。

Warzone RAT是一款以恶意软件即服务(MaaS)作为商业模式的远控工具,有多次进行攻击活动的记录。如下图介绍可知会全兼容Windows环境,Warzone RAT第一次公开发售时间是2018年秋季,地址为warzone.io(目前无法访问),如今销售服务则托管在warzone.pw上,官方地址为:https://warzone.pw/index.html。


Warzone RAT功能主要包括:

  • 远程桌面

  • 隐藏的远程桌面-HRDP

  • 特权提升-UAC绕过

  • 远程网络摄像头

  • 窃取密码-支持流行的浏览器和电子邮件客户端( Chrome, Firefox, Internet Explorer, Edge, Outlook, Thunderbird, Foxmail)

  • 文件管理功能-高速的文件上传下载,支持文件执行和删除

  • 实时和离线的键盘记录

  • 反向代理

  • 自动任务

  • 批量管理

  • 智能更新

  • Windows Defender绕过


该RAT存在UAC与Windows Defender绕过以及持久性驻留功能,这也是与其余正常使用的远控不同寻常的一些特性,更有利于攻击者直接使用,用于非法目的。


更高级的特性如下, 存在ring3层的rootkit,不同架构下的shellcode注入,以及也存在隐藏进程、隐藏文件、隐藏启动与HRDP和浏览器劫持,不过相应的价格也会更高。


在规避技术方面,这里提及到可通过加密器来绕过大多数安全防护软件,如下。


在价格方面,最高可达到每三个月有效使用需879美元,大致折合人民币6155元。


通过分析可得到第二个样本通信的C&C域名为update.office365excel.org,IP与端口为:23.106.123.236:80,通信流量也已加密。


Warzone RAT 攻击演变历程(来源互联网)

2018年12月底,Ave Maria(Warzone RAT)恶意软件对意大利某能源企业发起网络钓鱼攻击。黑客以供应商销售部的名义发出钓鱼邮件,附带了包含CVE-2017-11882漏洞利用的Excel文件,以运行从恶意网站下载的木马程序。


2019年2月,Warzone RAT又发生一起疑似针对西班牙语地区的政府机构及能源企业等部门的定向攻击活动。黑客以应聘者的身份发送诱饵文档,文档以简历更新的标题为诱饵,对目标人力资源部门进行定向攻击,诱使相关人员执行恶意代码,从而控制目标人员机器,从事间谍活动。


2019年11月,研究人员发现思科重定向漏洞被利用,攻击者使用开放重定向漏洞,使得合法站点允许未经授权的用户在该站点上创建URL地址,从而使访问者通过该站点重定向到另外一个站点。黑客将垃圾邮件伪装成WebEx的会议邀请邮件,将其中链接重定向到Warzone RAT木马下载链接。一旦运行该木马,受害者的PC将被黑客完全控制。


2020年3月,黑客利用新冠疫情实施钓鱼邮件攻击,此次案例的攻击目标为一家位于中国台湾的POS解决方案提供商,通过钓鱼邮件内容诱导用户打开并查看附件文档。打开的文档没有任何内容显示,看似无害,但是实际上包含了CVE-2017-11882的漏洞利用。当收件人打开文档,便会触发漏洞利用。一旦漏洞成功利用,便会下载并启动第一阶段攻击载荷,通过多次资源文件解密之后执行最终的商业化远控木马Warzone RAT。


关联溯源

本次针对国内的样本的C&C地址23.106.123.236被两个域名所解析,说明域名还在不断变化中,不过也能看出域名是针对特定用户进行更换的,比如7月9日的域名是针对金融业(第一个样本域名存在huobi),7月8日的域名是针对普通用户(第二个样本含有财务报表内容),通信域名伪装成office更新,以此绕过流量规则域名检测,如下是近期活动的痕迹。


下发恶意文件的地址为47.106.112.106,通过被动DNS查询可得到如下域名,经查第一个域名站点实质已经被攻击者作为了跳板(后续几个也是)




以上站点由于长期未得到维护而已被攻击者入侵进而成为了跳板,从寻找该类不正常的站点作为下发远控木马的服务端,也说明该组织在匿名性方面投入了不少精力。


静态分析可以找到存在pdb路径

"C:\\Users\\W7H64\\source\\repos\\Ring3 CRAT x64\\Ring3 CRAT x64\\nope.pdb",通过pdb路径名称含义可大致猜测出该恶意文件是RAT,如下。


通过特殊的pdb路径进行搜索,发现该路径与warzoneTURBO字符串内容息息相关,很可能是该Warzone RAT远控的新版本,而公网流传的已被破解的Warzone RAT则只存在字符串warzone160,并未存在上面的pdb路径与warzoneTURBO字符串。


使用公网公开的RAT版本进行构建客户端,发现这个版本的客户端文件里并没有pdb路径,如下。


由于该Warzone RAT远控的新版本已被攻击者利用,但目前互联网公开的情报并没有该warzoneTURBO字符串任何相关的信息,所以依据新出现的Warzone RAT远控相关信息进行了初步关联,最终发现在2019年10月9日该类攻击者就已开始伪装成Akbank银行来给用户发送钓鱼邮件,Akbank是土耳其最大的银行之一,成立于1948年,截至2017年,其收入接近137亿土耳其里拉。它在伊斯坦布尔证券交易所(Borsa Istanbul)上市,其最大股东是Sabancı家族的成员。


通过钓鱼邮件获取到发信地址来源为88.198.36.156,邮件内容如下。


邮件中附带的附件为恶意文件,使用了经典的CVE-2017-11882公式编辑器漏洞,之后会释放出Warzone RAT远控,以此控制受害者机器,该远控同样存在warzoneTURBO字符串与相应的pdb路径,找到的C&C地址为79.134.225.115。


通过发送钓鱼邮件的地址进行关联,可以发现恶意邮件的地址早在2018年就已存在类似活动,如下。


进一步溯源,发现了最早开始进行钓鱼的邮件的活动时间,自从2018年1月25日起就已有此类活动,伪装成DHL通知邮件,采用了Java编写的

Adwind RAT作为恶意附件。邮件内容中的DHL又称敦豪快递,是一家创立于美国的运输公司,目前由德国邮政集团全资持有,是目前世界上最大的运输公司之一,通过公开的情报关联也可以发现2019年也存在黑产组织伪装DHL快递公司发送钓鱼邮件来传播Sodinokibi勒索软件的案例。


2019年10月31日出现并被捕获的样本采用了AgentTesla窃密木马作为钓鱼邮件附件,采用ftp服务上传获取的信息,ftp服务器用户名为seed@hotfixcrystals.eu,密码为DzaBN40LA6z-。


出现于2020年1月16日的钓鱼邮件则是针对西班牙语用户,如下。


附件通过长文件名伪装成pdf文件,如果不仔细看就会无意双击执行,实质是exe后缀可执行文件,属于.NET平台程序。


2020年4月7日又针对新冠疫情话题开始了新的活动,如下是伪装成医疗行业销售邮件进行钓鱼活动,附件也采用了AgentTesla窃密木马。


恶意附件是采用Delphi平台编写的外壳程序,但通过去掉外壳伪装程序后,利用代码相似度可以关联到AgentTesla家族,如下。

https://analyze.intezer.com/analyses/027e17ea-e960-4240-a787-a1bd8705e25f/sub/7c30c72d-b593-4ea0-8afb-28c7ec589ec9


通过公开情报的样本字符串搜索

"C:\\Users\\W7H64\\source\\repos\\Ring3 CRAT x64\\Ring3 CRAT x64\\nope.pdb",得到如下结果。


排序后发现公开的相关样本最早编译时间开始出现于2019年8月,通过对编译时间与提交时间进行比对,发现被发现的时间较长,由于也说明攻击者前期伪装性较好,如下。


对获取的样本进行筛选分析发现会通过免费的二级域名作为C&C,例如http://tedadascas.linkpc.net/,以下样本被发现的时间间隔很长。


对其中一些C&C地址访问,如下是正在运行的Apache服务器。


进一步搜索公开信息发现该恶意文件在2020年3月就已存在(通过伪装成钓鱼邮件进行传播),获取的恶意文件的编译时间可以发现,2019年也有了初步活动轨迹。



该钓鱼邮件存在的下发远控木马服务端地址为https://fuckrat[.]000webhostapp.com/D.exe与C&C地址为147.135.100.70,也属于Warzone RAT木马,后续关联C&C地址,通过历史情报发现除了使用过Warzone RAT外,还存在其他类型恶意文件,例如NanoCore、XRat、AgentTesla等。


TURBO黑产组织

文章开头已结合公开的资料进行了对比,比如针对特定目标的钓鱼邮件,以及所用的Excel 4.0宏技术、以及最后下发的母体程序会携带有效的数字签名,加之最后执行远控木马控制受害者机器等这些流程与技术,大致可与国际知名黑产组织TA505之前所采用的流程相似,从互联网公开的追踪分析报告发现TA505也于2019年针对部分东亚国家金融从业者进行过攻击活动。但是与之不同的是从收集到的相关活动来看并没有长期固定的目标人群,而是以小范围针对性垃圾邮件进行传播,会及时结合热点事件(新冠疫情),持续时间较长(2018年起就已有活动痕迹),在整个环节中最后会下发远控木马,控制受害者机器,已经完全符合此类黑产活动的特征,在针对国内定向攻击这块,采用了入侵Web站点作为跳板,下发远控木马,说明该团伙内部已经存在一定的组织性与行动力。而在APT情报关联方面,目前没有任何关联性,但从互联网公开的相关信息中又找不到该类活动的追踪分析,为了便于整理归纳追踪,于是将其组织命名为TURBO,取自使用的公网未公开的新版Warzone RAT远控提取的特殊字符串。


威胁情报

HASH

上币申请.xls

cbcdfdc49f75eefb79bb4f5958e45cf5

PN-2020年第2季度報表匯總.xls

94bd48fc272ad26dde868fd45ab8f4c3

phone.exe

2DBA5EAA753B51ADD319FAE08B7F1B4A

Linkphone.exe

77d841b3bba3ad68c82214eb7bd58aa2

Remcos RAT

1E8A2CC3ACD38469E4D7B9A4A7FBEC77

Warzone RAT

E0C59FA890997411B4FB3D323C20E4FF

780cc769c41f56cba3e127872db4a5c5

d0afc7ecb4d17da55317055ee54b1bdb

5d29c5640939926bcd43a8e001072951

e33e670028423c10bfe0a92a600741de

445846300b8408c641a152a2d5bfaca9

b663615184210b2548e9aa132268611e

b9b3a04860c305f075ebdbacd26832ba

2d434c799bba2b705595cce560bd315c

a6f605a6f66e7998fd24c475efae5658

b55c14b7c730806b347b63b56d4686c7

5a2e2ba9eced16db952bcee6ec013eed

3471b38c7f0af0a8fe69b99cd13e3bb2

43ea1014bd992863ea56700cddc8f19a

d63c6f59db2b0051d3b99fea4ba3656b

1f02bde6a1223556bf8238ab67cf69d6

489a2432bd451dcfaf9b7e231be9d0b9

9bd85c34387e377ad3a5275875f729f4

cb671cb676c4f03fbb64d3976197b243

7aca02b01c685b435ffbf4c6805ec5d6

b6a043e67a5dca290120321536d22c99

7148670237f3e9b68add1ce383d05791

fc811b4c4a1d99009a0a033c562b5c51

fd23b1efe4fee3f6bdcada117a968d62

e677d1edfa1f6cfbf26ecb51e036a022

a14138c90076a4cc36d859de2faabf81

d58af8a24b4e53e24275f5e9e53de18d

42952924bfa4461d800dbbe347d58d9b

8bd776f869d9695daca20ca7dd147cd4

ad32b81dd1d006f29693d620462f4554

99993a018b144339432b40e1037d8259

d8e746cf104a90a8aef4f4b18398abf5

b9d5fa8ac2e460d85d78df7d4ae249bf

3a36d2badc215ce83e6bc6257e974573

4c5d05e9c3c4aa8da38352684de623d5

2a9a8a6ac61d311eae8eb677951a3417

07f03dfb4e1852d03a7e406085d85432

a4d88f9b34151c0fe2427794b4f43f7c

c9cc3a8cf51bf3381dd0e758b635e4c6

ac82e322bec5dcfdd235ea159bd7b3e2


DOMAIN

update[.]office365excel.org

update[.]huobibtc.net

termsistel[.]duckdns.org

zone[.]facebook-shoping.com

blackferrari[.]rapiddns.ru

rabah44[.]myq-see.com

www[.]thatd6whnhdyd56jd.duckdns.org

rabah44[.]myq-see.com

www[.]sgstgfahdg7126edha.duckdns.org

moneyboiandrew[.]hopto.org

juham[.]100chickens.me

wghavennn[.]airdns.org

fuckrat[.]000webhostapp.com


HOST

23[.]106.123.236:443

23[.]106.123.236:80

47[.]106.112.106:8032

104[.]168.165.25

185[.]62.190.121

80[.]209.231.244

146[.]185.195.20

174[.]127.99.145

27[.]79.175.20

172[.]217.212.100

78[.]128.114.112

185[.]244.30.118

167[.]0.101.103

43[.]246.174.71

192[.]119.71.216

45[.]58.36.135

41[.]109.135.44

193[.]56.28.107

197[.]205.9.90

193[.]56.28.246

194[.]5.97.115

77[.]83.174.211

2[.]58.47.203

79[.]134.225.115


URL

http://47[.]106.112.106:8032/app/logo.gif

http://47[.]106.112.106:8032/html/logo2.gif

https://fuckrat[.]000webhostapp.com/D.exe