概述
近期,奇安信威胁情报中心在日常运营过程中发现一个可疑压缩包,同样发现该压缩包的开源情报提到样本来自域名为 cdn.careers2find[.]com 的网站[1]。该网站主页将自己描述为求职网站。
为了快速判断捕获的压缩包是否存在恶意行为,先将其上传到奇安信情报沙箱(https://sandbox.ti.qianxin.com/sandbox/page)进行分析。
沙箱分析
奇安信情报沙箱报告链接 | https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AZMJ5Lm1SZq0HOVfdN9Z |
样本文件名 | SignedConnection.zip |
样本MD5 | bb4c8f42cc624c628e4b98bd43f29fa6 |
样本类型 | ZIP压缩包 |
样本大小 | 1022011字节 |
上传分析完成后,可以看到该样本的基本信息:包括文件大小、类型、hash等。奇安信情报沙箱基于智能的恶意行为综合判断已经识别出文件可疑并给出 10 分的恶意评分。RAS 检测带有 “Maybe_Sideloading” 标签,表明样本可能采用 DLL 侧加载手段。该样本曾在多个不同的沙箱环境中运行,在右侧可以切换分析环境查看不同分析环境的沙箱报告。
在样本基本信息下面紧接着威胁情报AI助手对此次沙箱分析结果的总结内容,可供用户参考。
AV引擎部分显示了数十家杀软引擎对样本的检测结果,可以看到多个杀软引擎判定该样本为恶意。
行为异常总结了样本的可疑行为,右侧带向下箭头符号的条目可以展开详细信息。
该样本有一些值得注意的异常行为,包括写入注册表的自启动项,名称模仿 OneDrive,路径指向 ”C:\Users\admin\AppData\Local\Microsoft\WindowsInsights\workstation\FileCoAuth.exe”。
执行 HTTP 请求访问托管在 Github上 的链接。
通过 api.ipify.org 查找公网 IP。
访问 Google 云盘。
创建可执行文件,其中一个文件路径正是前面注册表自启动项指向的路径。
深度解析部分的流文件信息列举了 ZIP 压缩包中包含的文件名,其中一些名称与上面行为异常提到的可执行文件名相同,表明压缩包中的文件可能会被复制到其他目录下。
主机行为的进程信息显示压缩包中的 SignedConnection.exe 运行后会启动 ”C:\Users\admin\AppData\Local\Microsoft\WindowsInsights\workstation\FileCoAuth.exe” 文件。
点击 SignedConnection.exe,可以进一步看到该进程执行的一些操作,包括创建 ”C:\Users\admin\AppData\Local\Microsoft\WindowsInsights\workstation” 目录,向创建的目录中写入 EXE 和 DLL 文件,并设置注册表的自启动项。
网络行为显示样本除了访问 api.ipify.org,Github 和 Google 云盘,还会访问一个可疑的域名 xboxapicenter[.]com。
结合主机行为中的信息,这些域名的访问均来自启动的 FileCoAuth.exe 进程。
在运行截图部分,该样本运行后提供一个连接服务器的用户界面,其中连接的域名为 quiz.careers2find[.]com,与压缩包下载网页的域名相同。
根据奇安信情报沙箱提供的信息,我们对该 ZIP 压缩包样本有了初步的了解:ZIP 压缩包中包含 EXE 和 DLL 文件,可能采用 DLL 侧加载的方式执行恶意代码;压缩包的 SignedConnection.exe 运行后创建目录,并在创建目录中写入 EXE 和 DLL 文件,因为写入文件名称与压缩包文件名相同,所以此举可能涉及文件复制操作,然后通过注册表建立持久化,自启动项指向新目录中的 EXE 文件 FileCoAuth.exe,接着启动该 EXE 文件;启动的 FileCoAuth.exe 访问一系列域名;此外,样本还会创建 UI,可能以此为伪装掩盖上述恶意操作。
详细分析
压缩包
压缩包下载链接为 ”hxxps://cdn.careers2find.com/assets/app/SignedConnection.zip”。下载页面的右侧按钮点击后下载 ZIP 压缩包,左侧按钮打开 PDF,内容是下载压缩包的安装和使用指南。
压缩包中除了 Qt5Core.dll 和 secur32.dll,其他 PE 文件均带有数字签名,并且这两个文件的修改时间都在近期。
压缩包中的 SignedConnection.exe 实际为 OneDrive 相关程序 FileCoAuth.exe。
SignedConnection.exe 运行后通过 DLL 侧加载的方式运行同目录下的 secur32.dll。
Secur32.dll
secur32.dll 由 C# 编写,主要功能为创建一个用户界面迷惑受害者,移动后门DLL文件并建立持久化。
文件名 | secur32.dll |
MD5 | 3528837b4088a22f0043551431809b3d |
文件大小 | 342.50 KB (350720字节) |
DllMain 调用 CreateThread 执行 OnAPIENTRY 函数,OnAPIENTRY 进一步执行 MainThread 和 UIThread,前者完成恶意操作,后者实现用于伪装的UI。
MainThread
MainThread 执行的操作在 StateValidation.Instantion 中。
StateValidation.Instantion 执行的流程如下:
(1) 检查目录 ”%LocalAppData%\\Microsoft\\WindowsInsights\\workstation” 是否存在,如果存在则调用 CreateToolhelp32Snapshot、Process32FirstW、Process32NextW 等系统 API 查找是否存在 FileCoAuth.exe 进程,将找到的 FileCoAuth.exe 进程终止,并删除上述目录;
(2) 重新创建目录 ”%LocalAppData%\\Microsoft\\WindowsInsights\\workstation”;
(3) 调用 StateValidation.CPR 复制文件,将后门 DLL 文件和程序依赖的其他 DLL 文件复制到上述目录中,其中 LoggingPlatform.dll、msvcp140.dll、UpdateRingSettings.dll、vcruntime140.dll 直接复制,SignedConnection.exe 复制为新目录下的 FileCoAuth.exe,Qt5Core.dll 复制为新目录下的 secur32.dll,原本的 secur32.dll 不进行复制;
(4) 调用 StateValidation.Subscriber 在注册表中建立持久化,”HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run” 键下添加名为 ”OneDrive ”的值(名称包含一个空格,从而避免与原本的OneDrive冲突),路径字符串指向新目录中的 FileCoAuth.exe;
(5) 调用 xLnCh 通过 ShellExecuteExW 运行新目录中的 FileCoAuth.exe。
UIThread
UIThread 创建的用户界面源自 MicroftSignConnection.MainForm,模仿登录程序。
Qt5Core.dll
原压缩包中的 Qt5Core.dll 为后门 DLL,具有收集信息和获取后续恶意软件的功能。在复制后文件名被改为 secur32.dll,因此当 workstation 目录下的 FileCoAuth.exe 启动后,该 DLL 通过侧加载的方式运行。
文件名 | Qt5Core.dll / secur32.dll |
MD5 | f9914c7d6e09d227b2cecea50b87e58b |
文件大小 | 163.50 KB (167424字节) |
首先检查同目录下是否存在 telementry.cab 文件,该文件存放受害者 id 信息;如果不存在,则生成 GUID 作为受害者 id 写入该文件。
后门 DLL 通过连接 ”hxxps://www.microsoft.com” 判断是否联网,然后依次尝试向以下 3 个 URL 发送 GET 请求,从而获取实际连接的 C2 服务器信息。
hxxps://raw.githubusercontent.com/msdnedgesupport/msdn/main/README.md
hxxps://drive.google.com/uc?export=download&id=1prtuA0jGP3TvjJyR_o-10tF29Mpamrc2
hxxps://xboxapicenter.com/
Github 链接已无法访问,而 Google 云盘链接下载得到 readme.txt,其中包含如下字符串。后门 DLL 将获取数据以 ”#” 符号进行分隔,分隔之后的数字作为 ASCII 码转换为字符,得到连接的 C2 服务器名称,同样为 ”xboxapicenter.com”。
后门与 C2 服务器的 443 端口建立连接,并发送 POST 请求,请求首部中 X-Forwarded-For 和 UserAgent 为自定义内容。X-Forwarded-For 拼接的是通过 api.ipify.org 获取的公网 IP 地址,UserAgent 的存放信息包括具体的 C2 请求类型,受害者 id 以及相关的参数,用 ”/” 划分。
请求类型 | UserAgent格式 | 说明 |
获取后门指令 | 15/<victim_id>/<arg1>/1/<arg2> | 两个参数分别表示休眠类型和是否已经执行后续载荷,便于C2 服务器下发相关后门指令,POST请求中不带有正文数据 |
回传收集设备信息 | 12/<victim_id>/<arg> | 与后门指令1相关,POST 请求携带回传数据,参数为对数据进行XOR 加密使用的key |
回传进程列表信息 | 13/<victim_id>/<arg> | 与后门指令7相关,POST请求携带回传数据,参数为对数据进行XOR加密使用的key |
获取后续载荷数据 | 9/<victim_id>/<arg> | 与后门指令2相关,POST请求中不带有正文数据,参数为后续载荷数据的偏移值 |
加密回传数据时,用随机生成的数字(范围1~100)对原始明文按字节 XOR 处理,然后再转换为HEX编码的字符串。
后门指令 | 说明 |
1 | 收集设备信息并回传。收集的信息包括操作系统版本、用户是否为管理员、主机名和用户名 |
2 | 下载后续载荷。检查是否正在运行后续载荷,终止相关进程,从C2服务器下载载荷,保存为后门所在目录的log子目录下的cabinet.zip,并解压 |
4 | 启动后续载荷。检查后门所在目录的log子目录是否存在,运行其中的FileCoAuth.exe |
5 | 终止后续载荷相关进程 |
6 | 切换后门每次休眠的时间,有两种选项,分别为3s和30s |
7 | 收集当前所有进程信息并回传 |
收集的设备信息拼接为 JSON 字符串,并添加微软域名进行伪装。
收集的进程信息也使用 JSON 字符串格式。
溯源关联
UNC1549 在此前的攻击活动中曾使用工作招聘作为诱饵,采用 ”FileCoAuth.exe + secur32.dll” 的 DLL 加载组合,并且报告提到的 bringthemhomenow.zip 行为特征与本次捕获的压缩包高度一致。
bringthemhomenow.zip 在奇安信情报沙箱中的运行结果如下所示:
奇安信情报沙箱报告链接 | https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AZMLO6MEONZSmF3-z4UO |
样本文件名 | bringthemhomenow.zip |
样本MD5 | ef262f571cd429d88f629789616365e4 |
样本类型 | ZIP压缩包 |
样本大小 | 8979790字节 |
相似的行为特征包括,通过注册表实现持久化,自启动项名称模仿 OneDrive。
复制文件到新创建的目录下,并运行 FileCoAuth.exe。
样本与 C2 服务器通信直接采用 HTTP,未经过加密,因此可以直接看到 POST 请求内容,其中 UserAgent 采用相同的构造格式。
经过进一步分析发现,SignedConnection.zip 压缩包中的 Qt5Core.dll 组件正是 MINIBUS 后门(CoreUIComponent.dll,MD5: 816af741c3d6be1397d306841d12e206),后门指令完全相同,不过新版后门增加了一些改进之处,比如:最终 C2 服务器的地址从远程服务器获取;通过连接微软域名测试网络连接并伪装流量。
另一方面,careers2find[.]com 这个网站的域名和证书创建时间均在不久前,很可能是攻击者专门搭建的钓鱼网站。
综合以上信息,我们认为此次借用求职网站的伪装投递恶意软件是 UNC1549 攻击活动的延续。
总结
奇安信威胁情报中心提醒广大用户,谨防钓鱼攻击,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行标题夸张的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁。
若需运行或安装来历不明的应用,可先通过奇安信情报沙箱(https://sandbox.ti.qianxin.com/sandbox/page)进行判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。
IOC
bb4c8f42cc624c628e4b98bd43f29fa6
3528837b4088a22f0043551431809b3d
f9914c7d6e09d227b2cecea50b87e58b
钓鱼网站
careers2find.com
C&C
xboxapicenter.com
参考链接
[2].https://cloud.google.com/blog/topics/threat-intelligence/suspected-iranian-unc1549-targets-israel-middle-east
点击阅读原文至ALPHA 7.0
即刻助力威胁研判