【恶意文件】钓鱼邮件传播远控木马进行地域性攻击
2023-12-20 17:42:17 Author: mp.weixin.qq.com(查看原文) 阅读量:4 收藏

恶意文件名称:

SugarGh0st

威胁类型:

远控木马

简单描述:

远控木马SugarGh0st由C++编写,拥有屏幕截图、文件/进程任意操作、远程命令执行等功能,攻击者可对受控目标主机执行任意远控操作,可轻松获取目标敏感信息及其他危险行为。

恶意文件描述

近期,深盾实验室在运营工作中发现一起地域网络攻击事件,威胁行为者疑似以钓鱼邮件为入口点,通过两条不同的感染链最终释放SugarGh0st远控木马,进而有选择的针对乌兹别克斯坦共和国与韩国终端用户。

在该起事件中,攻击者分别设计了三款以PDF与Word文档进行伪装的lnk文件,并使用特殊文件名以诱导用户点击,进而完成后续的感染链攻击。经分析,感染链的最终阶段都将释放一款由Gh0st改编而来的远控木马SugarGh0st,可以推断威胁行为者的最终目标是获取指定目标主机的访问及控制权限,进行敏感信息窃取活动以及其他危险行为。

恶意文件分析

在两条感染链中,攻击者均采用对lnk文件赋值特殊“目标”的方式,将终端命令写入其中,当受害者点击后将自动执行预制恶意命令,完成感染链攻击。

感染链一

该感染链存在两种诱饵文档,分别是PDF与Word,二者的攻击命令与执行流程基本一致。

受害者点击恶意lnk文件后,将自动释放诱饵文档、恶意JS文件、脚本文件、恶意DLL文件以及SugarGh0st的加密载荷到临时目录Temp下,随后将C:\\Windows\\SysWow64\\rundll32.exe文件复制到Temp目录中,再运行复制而来的rundll32.exe加载指定恶意DLL程序,并将加密载荷加载至内存空间完成解密,最终成功执行远控木马SugarGhost。

恶意lnk文件

解压后,将释放一个使用PDF / Word图标迷惑用户的lnk文件,该lnk文件在“目标”中包含一系列终端命令,当用户双击后可自动执行后续攻击。下图为PDF与Word诱饵展示:

整体命令如下所示:

该命令大致含义是在指定目录下寻找符合条件的lnk文件,并将特殊字符串输出到指定js文件,并通过cscript赋予指定参数运行。

恶意JS文件

恶意JS文件受到严重混淆,将攻击组件base64编码后嵌入其中。

运行恶意JS文件后,首先对嵌入的攻击组件解码,并释放到Temp目录中,其中包括bat脚本文件、恶意DLL文件以及加密载荷,随后将当前主机中C:\\Windows\\SysWow64\\rundll32.exe复制到Temp目录下,并自动打开PDF / Word迷惑用户。

PDF内容如下:

Word内容如下:

随后自动执行bat脚本,通过Temp目录下的rundll32.exe反射加载恶意DLL文件。

恶意DLL文件

恶意DLL文件在被加载后,首先对文件本身进行解密,随后读取释放在Temp目录下的DPLAY.LIB加载至内存并解密。

经过一系列解密后,最终可在内存中执行最终的远控木马SugarGh0st。

感染链二

受害者点击恶意lnk文件后,将自动提取恶意JS文件并运行,随后由恶意JS文件释放诱饵文档、恶意的DLL DynamicWrapperX(libeay32.dll)以及SugarGh0st的加密载荷(libeay32.lib)至临时目录Temp,随后将C:\\Windows\\SysWow64\\wscript.exe文件复制到Temp目录中,并重命名为dllhost.exe,再加载libeay32.dll,最后将SugarGhost载荷加载至内存空间完成解密,最终成功执行远控木马SugarGhost。

下图为整体进程链:

恶意lnk文件

与感染链一一致,感染链二具有相同特质的lnk文件,下图为恶意lnk文件与命令展示:

该命令与感染链一含义一致,均对js给予指定参数启动。

恶意JS文件

该感染链中的JS文件同样被严重混淆。在JS被运行后,会释放一个SugatGh0st的加密载荷(libeay32.lib),一个名为libeay32的DLL文件以及诱饵文档。

诱饵文档如下所示:

释放完毕之后,将SysWow64目录下的Wscript.exe复制到Temp目录下并重命名为dllhost.exe,并使用该解释器再次执行已被删除的恶意JS文件,并在注册表中完成持久化操作。

恶意DLL文件

文件“libeay32.dll”原是一款名为DynamicWrapperX工具,该工具是一个ActiveX组件,可在脚本(JScript、VBScript等)中调用Windows API函数。攻击者可利用这一特性通过恶意JS文件运行其中的Shellcode,但必须由regsvr32.exe运行该组件。

DynamicWrapperX通过创建注册表键值,在目标主机中注册成员函数,并注册表com组件。

随后,与感染链一一致,将libeay32.lib加载至libeay32.dll中解密,最后将SugarGh0st在内存中运行。

SugarGh0st

该远控木马作为Gh0st的修改版,拥有键盘记录器、信息窃取、远程命令执行等功能。在本次事件中,释放的样本是一个32位的动态链接库文件,它会在内存中解密,随后自动运行。

在执行初期,SugarGh0st使用硬编码的C2域作为标记,创建一个互斥锁。

开辟一个新线程以启动键盘记录器,在指定目录下生成数据文件,将记录下的内容放入其中,随后进入一个永真循环,不断读取当前键盘数据。

上线后,每隔10秒对C2进行一次连接,并发送相关信息,如计算机名称、操作系统版本、驱动器信息、特殊注册表项值、Windows版本号等。

SugarGh0st可以获取各类信息,并通过访问服务的配置文件以管理目标主机的服务,如启动、删除、终止等。

SugarGh0st可以通过攻击者发送的命令从而实现各种远控行为。如权限提升、获取目标主机的屏幕截图,访问目标主机的摄像头数据,并将此类信息传输给攻击者等。除此之外,SugarGh0st还可以执行各类文件操作,如复制、移动、删除等。

下表为SugarGh0st所有命令:

命令

操作描述

0x20000001

权限提升并强制关机

0x20000002

权限提升并重启主机

0x20000003

权限提升并终止指定进程

0x20000004

清除事件日志

0x20000005

创建指定注册表键值以存放秘钥

0x20000011

在默认窗口中模拟按下指定键

0x20000012

在默认窗口中释放秘钥

0x20000013

设置鼠标光标位置

0x20000014

模拟鼠标单击左键

0x20000015

模拟鼠标松开左键

0x20000016

模拟鼠标双击左键

0x20000017

模拟鼠标单击右键

0x20000018

模拟鼠标松开右键

0x20000019

模拟鼠标双击右键

0x21000002

获取目标主机驱动器信息

0x21000003

搜索目标主机指定文件

0x21000004

删除目标主机指定文件

0x21000005

移动指定文件至Temp目录

0x21000006

运行任意Shell命令

0x21000007

复制指定文件

0x21000008

移动指定文件

0x21000009

将文件发送至C2服务器

0x2100000B

将文件发送至目标主机

0x22000001

将当前屏幕截图发送至C2服务器

0x23000000

反弹Shell

0x24000001

读取文件%ProgramFiles%\\WinRAR\\~temp.dat

(异或 0x62)

0x24000002

删除文件%ProgramFiles%\\WinRAR\\~temp.dat

0x25000000

获取进程信息并终止进程(包含下列0001 - 0002)

0x25000001

获取进程信息

0x25000002

终止指定进程

0x25000003

访问目标主机服务管理器(包含下列0004 - 0006)

0x25000004

访问指定服务的配置文件

0x25000005

启动指定服务

0x25000006

终止并删除指定服务

0x25000010

执行指定Windows操作(包含下列0011-0012)

0x25000011

获取当前所有窗口句柄(获取窗口列表)

0x25000012

使用PostMessageW完成指定窗口信息操作

0x28000000

使用SendMessageW完成指定窗口信息操作

0x28000002

%PROGRAMFILES%\\Common Files\\DESIGNER下查找后缀为.OLE的文件并启动

ATTCK

TA阶段

T技术

S技术

描述

TA0001

初始访问

T1566
网络钓鱼

T1556.001
钓鱼附件

通过网络钓鱼电子邮件附件获得初始访问权限

TA0002

执行

T1204

用户执行

T1204.001

恶意lnk文件

设计lnk文件以诱导用户点击

T1059

命令执行

T1059.003

Windows命令界面

滥用Windows命令执行恶意操作

T1059.007

命令和脚本解释器

滥用Csript等解释器执行恶意操作

T1569

服务

T1569.002

服务执行

创建服务、执行服务

TA0004

权限提升

T1134

凭证窃取

T1134.001

凭证模拟

滥用AdjustTokenPrivilege提升权限

T1543

创建或修改

系统进程

T1543.003

Windows服务

创建系统服务

TA0005

防御规避

T1112

注册表修改

N/A

修改指定注册表键值

T1216

反射加载

N/A

使用反射式代码注入加载进程

TA0007

发现

T1007

系统服务发现

N/A

获取受害者主机当前服务信息

T1010

程序窗口发现

N/A

获取受害者主机当前窗口列表信息

T1012

注册表查询

N/A

获取受害者主机注册表信息

T1057

进程发现

N/A

获取受害者主机当前进程信息

T1082

系统信息发现

N/A

获取受害者主机操作系统信息

T1083

文件信息发现

N/A

获取受害者主机文件系统信息

T1007

系统服务发现

N/A

获取受害者主机当前服务信息

T1010

程序窗口发现

N/A

获取受害者主机当前窗口列表信息

T1012

注册表查询

N/A

获取受害者主机注册表信息

T1652

设备驱动发现

N/A

获取受害者主机设备驱动程序信息

TA0009

信息收集

T1005

本地数据

N/A

获取目标主机各类系统数据

T1113

屏幕获取

N/A

获取受害者主机当前屏幕截图

TA0011

命令与控制

T1095

非应用层传输

N/A

使用Socket进行网络通信

T1132

数据混淆

T1132.001

数据编码

攻击者利用异或编码传输文件

TA0040

破坏

T1489

服务终止

N/A

终止指定服务

T1529

系统终止

N/A

关闭、重启系统

TA0009

信息收集

T1005

本地数据

N/A

获取目标主机各类系统数据

IOC

27CE72F35709EC9898C57F1C4EA7324E - RAR

996580C90C5EFE2A727D22A77B7E69EB - Lnk

ECF6BFFDC0358525BC2AB7DD7EED6B9E - JS

EAC72DFF542F3465320F1EF235754832 - bat

77AFBB6A6B85EECAAD65D15E066476EC - DLL

F4B1528911B6CCE7ABBA58D87C3C2C10 - Encrypted SugarGh0st Payload

F86F4204B915222382B7F528982E3808 - Decoy Document (PDF)

E0CD08754753BD540BCDF62FA1733BFF - RAR

CFE4A2FC19B77DEA154C106918DCC1A3 - Lnk

7FB78E726F98AB58780373CCE18BABD5 - JS

6715516DCD9C1EEB252AD7370EA5777E - Decoy Document (Word)

782B8A96D3F80DD562B538AF12233CC3 - RAR

8DEA867B72374FAD43CC301D9AF5A24B - Lnk

81E07BC18419DD34F4137E716E936A54 - JS

E0B8DFD17B8E7DE760B273D18E58B142 - DLL

09DE5D9B53439C38676E83CF41B5FA8B - Encrypted SugarGh0st Payload

177C38A8D0781D4ED1331BE551D0C297 - Decoy Document (Word)

解决方案

处置建议

1. 避免将重要服务在外网开放,若一定要开放,需增加口令复杂度,避免使用弱口令。

2. 避免打开可疑或来历不明的邮件,尤其是其中的链接和附件等,如一定要打开未知文件,请先使用杀毒软件进行扫描。

3. 安装信誉良好的防病毒/反间谍软件,定期进行系统全盘扫描,并删除检测到的威胁,按时升级打补丁。

4. 查看Temp目录是否存在文章中出现的文件,查看进程是否有Temp目录下的rundll32.exe或dllhost.exe,若有可结束进程并删除文件。

深信服解决方案

【深信服终端检测响应平台aES】已支持查杀拦截此次事件使用的病毒文件,请更新软件(如有定制请先咨询售后再更新版本)和病毒库至最新版本,并接入深信服安全云脑,及时查杀新威胁;

【深信服下一代防火墙AF】的安全防护规则更新至最新版本,接入深信服安全云脑,“云鉴” 服务即可轻松抵御此高危风险。

【深信服安全感知管理平台SIP】建议用户及时更新规则库,接入深信服安全云脑,并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。

【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标,通过将用户安全设备接入安全运营中心,依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式,围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务,快速扩展持续有效的安全运营能力,保障可承诺的风险管控效果。


文章来源: https://mp.weixin.qq.com/s?__biz=Mzg2NjgzNjA5NQ==&mid=2247521766&idx=1&sn=5615859f8332b7c831179a655d5c8ffd&chksm=ce461ef6f93197e0b3fe400c9dda465ce9757c7046a72ab95addea26b520bcc5da1af48a8c08&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh