游荡于中巴两国的魅影——响尾蛇(SideWinder) APT组织针对巴基斯坦最近的活动以及2019年该组织的活动总结
2020-01-25 18:57:00
Author: mp.weixin.qq.com(查看原文)
阅读量:137
收藏
Gcow安全团队追影小组于2019年11月份捕获到名为SideWinder(响尾蛇)组织针对巴基斯坦的活动,介于该组织主要针对巴基斯坦和中国以及其他东南亚国家,且其于10月份时候针对中国部分国防重要行业进行类似手法的攻击活动,为了更好了解对手的攻击手段以及加以防范,团队将以最近的样本为契机来总结该组织为期一年的攻击活动。响尾蛇(又称SideWinder、T-APT-04)是一个背景可能来源于印度的APT组织,该组织此前已对巴基斯坦和东南亚各国发起过多次攻击,该组织以窃取政府,能源,军事,矿产等领域的机密信息为主要目的。此次的攻击事件以虚假邮件为诱饵,利用Office远程代码执行漏洞(cve-2017-11882)或者通过远程模板注入技术加载远程URL上的漏洞文件。在针对于巴基斯坦的攻击中我们发现了Lnk文件的载荷,其主要驱动是mshta.exe,攻击者通过各种方式以达到伪装的目的。在我们的样本捕获中,我们发现了该组织在这一年之间的变化,其攻击的手段越来越先进,这对我国的军事部门当然是一个不容小觑的威胁,所以我们追影小组将带领各位读者来回顾该组织的攻击手法,以及其技术的更迭。为了方便于各位读者的理解,笔者画了一张关于该组织攻击的流程图。在2019下半年,该组织经常使用该流程针对巴基斯坦和中国的目标进行攻击。ADVOCATE.docx 利用远程模板注入技术加载含有漏洞的CVE-2017-11882漏洞RTF文档,使用的这样加载方式可以绕过防病毒网关,增加成功率。当成功加载main.file.rtf文件后,释放1.a 到Temp目录下,触发漏洞shellcode执行1.a,1.a是一个混淆后的Jscript脚本文件,再次释放Duser.dll文件 tmp文件,并拷贝rekeywiz.exe到 C:\ProgramData\DnsFiles目录下,并执行rekeywiz.exe文件,带起Duser.dll,Duser.dll加载tmp文件。
打开ADVOCATE.docx样本后,利用远程模板注入技术远程加载远程模板:https://www.sd1-bin.net/images/2B717E98/-1/12571/4C7947EC/main.file.rtf
当main.file.rtf加载成功后,会将1.A文件释放到当前用户temp文件夹下面。a是嵌入到rtf文档中的OLE Object,如下图:直接在00411874 处下断点 此处为 ret处,也就是将通过覆盖ret返回地址,达到任意代码执行目的,如下图:可以看到esp 值已经被覆盖为0x18f354,这个就是shellcode入口地址,如下图:也可以在rtf 文件中找到shellcode,如下图:Shellcode通过获取RunHTMLApplication来加载恶意js:恶意js如下:(读取1.a文件的所有内容并且用eval执行)通过分析,1.a是一个通过DotNetToJScript生成的Jscript文件,并且经过混淆过,但是还原后还可以看出来如下图:其主要逻辑即为将内置的c# dll解密后内存加载其Work函数传入三个参数。第一个参数是黑dll的数据,第二个参数是同目录下的tmp文件数据,第二个参数是混淆的C2地址。检测白名单文件是否存在,若存在则拷贝到其工作目录下:修改注册表添加启动项以开机启动,注册表的值为拷贝后的白名单文件路径:释放对应的恶意dll和tmp文件以及配置的config文件:通过API Monitor可以直观看到释放流程,如下图:拷贝c:\windows\syswow64\rekeywiz.exe到c:\ProgramData\DnsFiles\rekeywiz.exe下面
释放 Duser.dll文件到C:\ProgramData\DnsFiles\Duser.dll
释放 xxx.tmp 文件到 C:\ C:\ProgramData\DnsFiles\xxx.tmp
使用CreatePocess 拉起 rekeywiz.exe
Rekeywiz.exe 是一个白名单文件,存在dll劫持特性,俗称白加黑如下图:利用rekeywiz.exe 带起Duser.dll,Duser.dll再将 ***.tmp文件,此处用***表示随机文件名,解密后,内存加载.net,使其逃避防护软件查杀.关键代码如下图所示:选取.tmp文件的前32字节当做秘钥,对后续的字节进行异或解密后,使用Assembly.Load 加载到内存执行。首先加载基础设置信息,设置两个时间回调函数GET函数,POST函数,通过基础配置Settings类的属性来判断是否需要获取系统信息,写入选择文件,最后执行两个时间回调函数GET,POST,执行时间是5000秒。通过Settings的settingsFilePath来获取配置文件路径,然后通过Decode函数来加载到内存,在返回一个用配置文件信息初始化的Settings类,否则返回默认配置。https://reawk.net/202/OaZbRGT9AZ6rhLMSEWSoFykWnI7FeEbXdgvNvwZP/-1/12571/10255afc Decode函数主要复制加解密数据文件,就是将文件的前32位当作key,循环异或后面的数据,来解码出源文件数据。EnCode函数,也就是加密函数,和Decode函数同理。从配置信息里面的c2地址下载数据,通过DecodeData函数解码后传入Process执行。Process函数主要将传入的数据文件解析执行,先申请出一个Loader类型,加载传入的data,然后将data解base64后,根据解码出来的数据的第一个byte来选择需要执行的功能。Process函数执行出现异常就写入随机命名.err文件。把执行写入的文件,也就是GET获取请求执行后的信息或者程序异常的的信息写入的文件,准备上传同时删除写入的文件,如果执行报错依然写入.err文件。通过之前post函数更具文件的后缀入.sif、.fls、.err等来设置type类型,构造包体,然后发包,也就是我们说的回显。改后面基本分析结束。
部分诱饵文档如下(介于一些因素这些样本将不会给出相应的样本hash)1. a文件与其攻击巴基斯坦的样本有着一定的相似性但是有略微的不同,攻击中国的样本直接调用ActiveX控件对象进行解密:而攻击巴基斯坦的样本则是通过自实现的解密算法进行。样本所使用的都是Write.exe与PROPSYS.dll的白加黑组合,其中PROPSYS.dll依旧与上文流程类似。读取其同目录下的tmp文件并且取其前32个字节作为异或解密的秘钥,然后将tmp文件32个字节后的数据解密后内存加载。
SideWinder除了针对中国的目标之外,其还热衷于针对巴基斯坦的相关在目标,与针对中国的目标有相同的特点就是Sidewinder组织对巴基斯坦的军事相关的目标也饶有兴趣,并且也会去攻击政府组织。该组织在对巴基斯坦的攻击活动中使用了压缩包中带有lnk的攻击手法,该手法在针对中国的活动中并没有很多次的出现。针对于Lnk文件的载荷,该组织通过使用mshta.exe远程加载目标hta文件的手法。Hta文件貌似也有NotNetToScript的工具,并且其采用了不同的加载payload的方式,采用wmi的方式收集本地杀毒软件信息。参数一为下一阶段的hta文件;参数二是收集到的杀毒软件信息;参数三是被base64加密的doc文件信息:下载下一阶段的hta文件并用mshta.exe执行:下一阶段hta的代码与前文的差不多,利用js加载内存执行payload:在另一个样本中,我们发现了相同的释放doc的代码:但是经过分析,这个的第一个参数为exe文件的数据;第二个参数为dll文件的数据;第三个参数是wmic命令收集的杀毒软件信息。其C#内存加载的dll为prebothta.dll,其根据不同的杀毒软件信息执行不同的策略:由于该样本的回连下载的服务器已经失效,故不能分析,该一类样本的流程图如下:注意:该特点不具有普适性,同时里面给出的时间节点只是在那个时间段内该组织针对目标使用最多的手法,不是代表在那个时间段该组织使用的全部手法,该组织会针对目标的不同进行调整。
该组织在白加黑的寻找上偏向于寻找系统文件的白加黑利用,在2018年的活动中主要使用cmdl32.exe+cmpbk32.dll与credwiz.exe+duser.dll的两种组合,在2019年的活动中新增加了wrte.exe+propsys.dll与rekeywiz.exe与duser.dll的组合。
该组织在对js脚本内存加载C# dll文件的时候,采用了字符串拼接等手段。其在2019的1月份到10月份通常采用的是base64解密其c# dll的shellcode然后内存加载,并且其中调用的activexobject都可见,极其方便于分析以及安全软件的查杀,在11月份到12月份针对巴基斯坦的攻击活动中,该组织大幅度的对其明文字符串进行了混淆,主要采用自编的异或算法和base64进行解密操作。
在2019年1月到3月的活动中,该组织主要采用的是通过漏洞加载远程地址上托管的hta文件,但在2019年3月到12月的活动中,则采用使用在本地释放1.a文件,再加载1.a文件的js代码。其中该组织都会采用命令行替换的方式去加载恶意js。
该组织对于构造lnk文件的载荷也是变化多样,不过其主要是通过使用mshta.exe执行托管于服务器的远程hta文件,不过该组织总是通过不同的手段来掩盖其执行的策略,比如下图中的执行start来拉起mshta以及利用lnk的性质来伪装成ctfmon以欺骗受害者的执行。(具体手段请看参考链接中瑞星的报告,这里就不再赘述)sidewinder(响尾蛇)组织作为一个迅速进步,以及拥有c++、c#、delphi等后门以及大规模使用js以及开源的工具对其后门进行装载,使用lnk以及文档载荷。并且其诱饵样本的大部分文件都是诱惑力很高的文件,这种高的诱饵文档会加大人员的受害几率。并且使用系统文件的白加黑技术和内存加载技术与杀毒软件进行对抗。md5:
D2522E45C0B0D83DDDD3FCC51862D48C1FE3D9722DB28C2F3291FF176B989C46444438F4CE76156CEC1788392F887DA63CD725172384297732222EF9C8F74ADCC0F15436912D8A63DBB7150D95E6A4EEC986635C40764F10BCEBE280B05EFE8CD1C3FA000154DBCCD6E5485A10550A29B956496C28306C906FDDF08DED1CDF65A1CA53EFDA160B31EBF07D8553586264204860CE22C81C6D9DE763C09E989A20DE7F526D4F60B59BB1626770F329F9842CB633375A5965F86360E761363D9F2F5CD406E886BD9444ADEE4E8B62AA56CC358450E19D38DB77C236F45881DCEBEF29325CDBDE5E0CF60D277AA2D9BA4537836419A7A4675D51D006D4CB9102AF9CA1CA53EFDA160B31EBF07D855358626416E561159EE145008635C52A931B26C821CC890116ADCF092D5A112716B6A55F62606C6CFF3867A582F9B31B018DFEA552FA30AC4EDC4C973A0A84F2E93F2432CE53ED2A093BBD788D49491851BABFFD737F3AD2C727C7B42268BCACD00F8C662D9655C659970145AB3F2D74BB411C5D032D584F6C01CC184BF07CDEC713E74DFB362FE18C3A0A150754A7A1AB068F1E423194B0243870E8C82B35E5298AD7D781F9EB617A2176FF0E561E34EF9FF5037E23C62A81D2BFB90EF73047E170DEA858B5A823C2D3812A66BBF4A1EBC497D35E98EA66670FA34BF67054FB8A41979C8DA5206BACACD5C8B316C910E214257F65F66BC372EA1F372A8735E9862095DA361DFD8F299DD80546BCE71D156BC78E1B11A5DD12BB6EC1A0655836D97F9DD79B1D0537D0734F1DDB53C5567F5D7AB53EE30A5CAC2BEF034767E159865683DF4513F65BDF6976E93AA31B7A37DBB8B6FF9D14B83F358A7A5BE77AF45A10D5A2C2:
http://cdn-in[.]net/includes/b7199e61/-1/7384/35955a61/finalhttp://cdn-in[.]net/plugins/-1/7384/true/true/http://cdn-in[.]net/includes/b7199e61/-1/7384/35955a61/finalhttp://cdn-in[.]net/plugins/-1/7384/true/true/msftupdate[.]srv-cdn[.]comhxxps://msftupdate[.]srv-cdn[.]com/cdne/plds/zoxr4yr5KV[.]htahxxps://msftupdate[.]srv-cdn[.]com/fin[.]htawww[.]google[.]com[.]d-dns[.]cohxxp://www[.]google[.]com[.]d-dns[.]co/includes/686a0ea5/-1/1223/da897db0/final[.]htahxxp://webserv-redir[.]net/includes/b7199e61/-1/5272/fdbfcfc1/finalhxxp://pmo[.]cdn-load[.]net/cgi/5ed0655734/-1/1078/d70cc726/file[.]htahxxp://fb-dn[.]net/disrt/fin[.]htahxxp://cdn-edge[.]net/checkout[.]phphxxp://cdn-edge[.]net/cart[.]phphxxp://cdn-edge[.]net/amount[.]phpap12[.]ms-update-server[.]nethxxp://ap12[.]ms-update-server[.]net/checkout[.]phphxxp://ap12[.]ms-update-server[.]net/cart[.]phphxxp://ap12[.]ms-update-server[.]net/amount[.]phphxxp://s2[.]cdn-edge[.]net/checkout[.]phphxxp://s2[.]cdn-edge[.]net/cart[.]phpBhxxp://s2[.]cdn-edge[.]net/amount[.]phphxxp://webserv-redir[.]net/plugins/-1/5272/true/true/hxxp://webserv-redir[.]net/plugins/-1/5272/true/true/donehxxp://s12[.]cdn-apn[.]net/checkout[.]phphxxp://s12[.]cdn-apn[.]net/cart[.]phphxxp://s12[.]cdn-apn[.]net/amount[.]phphxxp://cdn-do[.]net/plugins/-1/7340/true/true/hxxp://cdn-list[.]net/KOmJg2XSthl3PRhXnB6xT6Wo967B1n5uGf7SfiBC/-1/7340/b729d30c/csshttp://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/1http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/2http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/3http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/v4[.]0[.]30319http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/4http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/5http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/6http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/7http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/8http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/9http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/10http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/csshttp://cdn-in[.]net/includes/b7199e61/-1/7384/35955a61/finalhttp://cdn-in[.]net/plugins/-1/7384/true/true/http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/1http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/2http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/3http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/v4[.]0[.]30319http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/4http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/5http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/6http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/7http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/8http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/9http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/10http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/csshttps://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/43e2a8fa/csshttps://www.sd1-bin[.]net/images/2B717E98/-1/12571/4C7947EC/main.file.rtfhttp://it.rising.com.cn/dongtai/19639.htmlhttps://www.antiy.cn/research/notice&report/research_report/20190508.htmlhttps://www.freebuf.com/articles/network/196788.htmlhttp://it.rising.com.cn/dongtai/19658.htmlhttp://it.rising.com.cn/dongtai/19655.html好书推荐
文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458303075&idx=2&sn=efa1e425e333861350a91269742ebdec&chksm=b1818ae986f603ff5e973f1a98ad0bbf51941b4582449c9199ebfb72cabc8919a5aee06188cf#rd
如有侵权请联系:admin#unsafe.sh