freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

美国CIA新网络武器披露:DePriMon下载器攻击框架
2019-11-25 10:49:21

前言

突破性的捕获,可补充此前针对CIA Lambert网络武器的研究。

正文

DePriMon是一个恶意下载器,具有多个阶段,并且使用许多非传统技术。其自2017年3月以来一直处于活跃状态。而在ESET的观测来看,DePriMon在位于中欧的一家私营公司以及中东的数十台计算机中被检测到。其中用作C&C服务器的某些域名包含***语单词,这表示针对特定地区的攻击活动。

 

而该攻击活动由于缺少投递环节发现,因此分析仅从投递完成后的阶段开始进行分析。

 

当然,这个恶意软件的特殊之处,在于ESET在报告里面说的这样一番话。

 

原文:

However, it should be noted that, in a fewcases, DePriMon was detected with ColoredLambert malware on the same computerswithin a short time frame. ColoredLambert is used by the Lamberts (akaLonghorn) cyberespionage group and linked to the Vault 7 leak of CIAcapabilities. Our colleagues from Symantec and Kaspersky published theiranalyses in April 2017.

 

译文:

但是,应该指出的是,在少数情况下,在很短的时间内在同一台计算机上检测到DePriMon下载器,并在同一台计算机上检测到ColoredLambert恶意软件。Lamberts(又名Longhorn)网络间谍组织使用了ColoredLambert,并将其与Vault 7的CIA能力泄漏联系在一起。

 

其中ColoredLambert指的便是Black Blue Green这些。

image.png

有更深兴趣可看CIA武器相关分析:

https://securelist.com/unraveling-the-lamberts-toolkit/77990/

https://www.symantec.com/connect/blogs/longhorn-tools-used-cyberespionage-group-linked-vault-7

 

下面是本例子的具体分析

 

技术分析

 

第二阶段

 

DePriMon的第二阶段和第三阶段DLL模块都在初始阶段被传送到受害者主机上。第二阶段将自行安装并使用加密的硬编码路径加载第三阶段。也许是在第一阶段投递后再配置的硬编码路径。

 

为了实现持久性,该恶意软件注册了一个新的本地端口监视器,这是Port Monitors(端口监视器) 技术的一个窍门。为此,其使用WindowsDefault Print Monitor(Windows默认打印监视器)命名,名称缩写后便是ESET的命名为DePriMon的依据,而从其复杂的模块化的架构可看出其是一个框架。

 

image.png

▲Port Monitors

而第二阶段通过创建以下注册表项和值,并将第三阶段的DLL注册为端口监视器:

 

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\WindowsDefault Print Monitor

Driver = %PathToThirdStageDLL%

 

创建此注册表项需要管理员权限。

 

在系统启动时,已注册的DLL将由具有系统权限的spoolsv.exe加载,从而绕过杀软。

 

“spoolsv.exe 是Print Spooler的进程,管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,本地计算机上的打印将不可用。该进程属 Windows 系统服务。”

 

此外,第二阶段会定期检查%system32%文件夹中是否存在与第三阶段DLL文件同名但没有扩展名“ .dll”的文件。该文件用作卸载触发器,如果DePriMon找到它,它将通过覆盖二进制文件然后删除它们,以安全的方式删除此文件及其自身的组件。

 

第三阶段

 

第三阶段负责从DePriMon的C2服务器处下载主要Payload,该方法还实现了一些有趣的技术。

 

对于C&C通信,它使用Microsoft实现的SSL / TLS,HTTPS安全通道,而不是WinAPI或WinInet之类的常见API 。它的配置非常复杂,恶意软件的处理方式也是如此。最后,作者在加密方面投入了大量精力,使得DePriMon恶意软件更加难以分析。

 

C&C通信

DePriMon通过TLS进行安全通信,但是与恶意软件中的典型情况相比,通信级别不高。该连接是使用Windows socket初始化,可以继续使用协商/ NTLM SSP初始化经过身份验证的安全支持提供程序接口(SSPI)会话。之后,DePriMon使用Microsoft 安全通道Schannel进行通信。

 

根据配置文件中的特定标志【使用/不使用SSPI】,可以利用计算机的本地代理设置。注:Security Support Provider Interface(Microsoft安全支持提供器接口)。该实现类似于Microsoft提供的此示例。

https://docs.microsoft.com/en-us/windows/win32/secauthn/using-sspi-with-a-windows-sockets-client

 

该恶意软件通过Schannel实现的TLS与Coast Research&Development的此示例相似。http://www.coastrd.com/c-schannel-smtp

 

它包括创建凭据,执行客户端握手以及验证服务器证书。

image.png

图1. Hex-Rays反编译器输出的部分SSPI实现方法

 

建立通信后,第三阶段每次都手动对消息进行加密和解密。

 

配置信息

 

DePriMon第三阶段的配置数据有27个成员变量,下载后将使用AES-256进行变量加密并嵌入二进制文件中。

 

在第一次运行期间,DePriMon使用密钥2解密配置数据,并使用密钥3加密配置数据存储在临时文件夹中。

其通过以下过程创建配置文件的文件名:从第二个字节开始,将密钥2的值转换为以36为底的数字,但使用自定义字母“ abc…xyz012…789”进行编码。配置文件的扩展名为“ .tmp”。

 

配置文件路径的示例:%temp%\ rb1us0w**9sslpa1vx.tmp

 

在下一次运行期间,下载程序从文件而不是从自身读取配置数据,方便更新配置。

 

由于其安全的设计,配置不会以未加密的形式保留在内存中。每次下载程序需要使用配置文件的某些元素时,下载程序都会解密配置文件、检索指定成员变量并再次加密文件。

 

这种设计可保护恶意软件的主要功能(C&C通信)免受内存取证。

image.png

图2.代码说明了DePriMon恶意软件如何解密配置文件,将一些成员保存到局部变量并再次对其进行加密

 

配置文件具有以下特征(黑鸟水印):

 

1、配置文件中有两个用户名和密码,分别用于连接代理服务器。这意味着攻击者正准备通过具有凭据的代理来进一步进行攻击。(目前未见使用,黑鸟指给你看的上图代码中就有变量名)

2、配置文件中有三个C&C服务器地址,分别在不同场合使用。

3、配置文件中有三个端口,分别在不同场合使用。

4、配置文件中有指示下载程序是通过安全支持提供程序接口(SSPI)初始化Socket进行连接,还是通过代理进行连接。

除了从恶意软件样本中提取的C&C服务器之外,还确定了可能与此恶意软件相关的其他域名和服务器。

 

加密

 

该恶意软件将AES加密算法与三个不同的256位密钥分别用于不同的功能。

密钥1:用于解密恶意软件中的各种敏感字符串。

C097CF17DC3303BC8155534350464E50176ACA63842B0973831D8C6C8F136817

密钥2:用于对内存中的配置数据进行加密和解密(如前所述)。此密钥还用于生成第三个密钥。

8D35913F80A23E820C23B3125ABF57901BC9A7B83283FB2B240193ABDEDE52B9

密钥3:用于磁盘上配置文件的加密和解密。

该密钥不是硬编码的,而是使用32字节的数组派生的,然后对其进行加密。该数组的生成方式如下:前4个字节是系统驱动器的卷序列号,其余28个字节包含值5 –32。此数组用密钥2加密,得到密钥3。

 

结论

 

DePriMon是一个非常高级的下载器,其开发人员在建立体系结构和设计关键组件上付出了很大努力。

 

DePriMon被下载到内存中,并使用反射DLL加载技术从那里直接作为DLL执行。而它永远不会存储在磁盘上,并且其具有令人惊讶的庞大配置文件,其中包含几个有趣的元素,它的加密已正确实现,并有效地保护了C&C通信。

 

因此,DePriMon是一个功能强大,灵活且持久的工具,旨在下载并执行Payload,并在此过程中收集有关系统及其用户的一些基本信息。

 

而ESET并没有将下载器下载回来的Payload进行分析,而是在开头说明,在该下载器植入的受害者主机,运行着ColoredLambert系列的恶意软件,这也恰恰指出,该下载器即为美国CIA的武器库。

 

因此,请尽快通过原文给出的Hash,域名,IP,释放文件特征进行自查,防止被美利坚CIA入侵至今还未发现。

 

虽说文章已经在外网传开,但为了不影响工作,需要相关信息的请自行前去打开网址获取,若无需求请勿随意打开,防止留记录,你懂的。

地址:

https://www.welivesecurity.com/2019/11/21/deprimon-default-print-monitor-malicious-downloader/

若有更多有关美国CIA网络武器库的威胁情报,欢迎前来与黑鸟交流。

本文作者:, 转载请注明来自FreeBuf.COM

# 美国 # CIA # APT组织
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑