攻击技术研判 | Earth Kitsune滥用vcruntime140.dll和Chrome扩展等实现持久化
2023-3-6 18:2:56 Author: M01N Team(查看原文) 阅读量:15 收藏

情报背景

趋势科技发现明明为Earth Kitsune的攻击组织通过破坏与朝鲜有关的网站并托管恶意程序,正在向对朝鲜感兴趣的个人发起水坑攻击。

组织名称
Earth Kitsune
关联组织
未知
战术标签
持久化
技术标签
DII劫持、Chrome扩展
情报来源
https://www.trendmicro.com/en_us/research/23/b/earth-kitsune-delivers-new-whiskerspy-backdoor.html

01 攻击技术分析

当受害者观看网站视频时,注入网站的恶意脚本提示用户视频解码错误,诱导受害者下载安装解码器安装程序。这些解码器程序都进行了恶意修改,会执行powershell命令下载进一步的恶意载荷,这些恶意载荷最终会在受害者机器通过滥用合法程序或Chrome扩展等方式安装。

使用IP筛选受害者

攻击者在脚本中检查访问者的IP,只有符合特定IP的受害者会受到攻击影响,减少暴露风险。其中中国和日本的IP可能是攻击者的真正目标。

图1 原始页面(左)与注入脚本的页面(右)的网页内容比较

图2 被注入的网站会重定向下载恶意MSI安装程序

滥用合法程序

受害者下载的MSI程序是合法的安装程序,但程序被攻击者进行了修改,修改后的安装程序会先挑战执行恶意的shellocde,完成后恢复原始程序代码,保证正常运行。

图3 原始程序被增加了一个新节(.odata)去用来存储恶意shellcode

图4 安装程序入口被修改为立即跳转到shellcode

图5 解密后的shellcode会执行powershell命令下载后续的恶意文件

图6 重新恢复原始程序入口

修改vcruntime140.dll,利用OneDrive建立持久性

vcruntime140.dll同样时被修改的合法文件,修改后的文件放置在%LOCALAPPDATA%\microsoft\onedrive\vcruntime140.dll,默认每个用户的OneDrive会安装到位置,通过将DLL放置到OneDrive目录,以用来获得持久性。

修改后的vcruntime140.dll中memset函数被劫持,并同样增加了一个.odata节区,新节区代码中会先使用xor解密,并将载荷注入到werfautl.exe进程。

图7 原始的memset函数函数

图8 修改后的memset函数,0x18000C7D被修改为jmp跳转到shellcode

利用Chrome扩展的持久化后门

攻击者实现了一个chrome扩展的持久化后门,后门包含一个Installer.exe(Chrome扩展程序安装程序)、一个NativeApp.exe(原生应用程序)和多个Chrome扩展文件(background.js、mainfest.json、icon.png)。执行安装后,每当chrome启动时会调用攻击者在本地安装的恶意扩展,之后恶意扩展会选择通知原生应用执行命令或下载后续恶意文件。

由于在Chrome的机制中只有native messaging host(原生应用程序)才能调用Native API,所以攻击者使用NativeApp来实现具体的恶意行为。chome 扩展程序使用stdin/stdout(标准输入输出)与原生应用程序进行消息通讯,消息格式为为JSON格式的字符串。

图9 mainfest.json配置文件显示了其注册信息,stdio表示使用标准输入输出与NativeApp.exe进行通讯

图10 background.js显示会在Chrome启动收到通知

02 总结

攻击者的攻击手段非常老练,在攻击时会选择特定的目标,大量滥用合法程序进行执行和持久化,并使用Chrome扩展等方式隐蔽其攻击活动。

绿盟科技天元实验室专注于新型实战化攻防对抗技术研究。

研究目标包括:漏洞利用技术、防御绕过技术、攻击隐匿技术、攻击持久化技术等蓝军技术,以及攻击技战术、攻击框架的研究。涵盖Web安全、终端安全、AD安全、云安全等多个技术领域的攻击技术研究,以及工业互联网、车联网等业务场景的攻击技术研究。通过研究攻击对抗技术,从攻击视角提供识别风险的方法和手段,为威胁对抗提供决策支撑。

M01N Team公众号

聚焦高级攻防对抗热点技术

绿盟科技蓝军技术研究战队

官方攻防交流群

网络安全一手资讯

攻防技术答疑解惑

扫码加好友即可拉群

往期推荐

攻击技术研判 | 曝光一周年,向日葵RCE漏洞在野利用再现

攻击技术研判 | 针对仿真与静态分析的代码混淆技术

攻击技术研判|滥用Web3的变色龙网络钓鱼攻击


文章来源: http://mp.weixin.qq.com/s?__biz=MzkyMTI0NjA3OA==&mid=2247490905&idx=1&sn=2c1426495bfdc73b5ca85a0dfba899c6&chksm=c187dd48f6f0545e04c5a10a2a04126f7ff9671068053f09eb8cf50e9401c5fc30597b6f86a3#rd
如有侵权请联系:admin#unsafe.sh