Rotten Tomato APT组织仍在行动

2016-10-03 333453人围观 ,发现 12 个不明物体 安全报告系统安全

尽管CVE-2015-1641和CVE-2015-2545已经成为Office系列最受黑客青睐的漏洞,但是一个看似老旧的CVE-2012-0158仍然在被黑客利用。 据国外安全公司Sophos统计,最近的APT行动中所用到的Office漏洞,CVE-2015-1641占66%,CVE-2015-2545占17%,CVE-2012-0158占12%。

据亚信安全病毒监测中心监控数数据,8月份以来CVE-2012-0158漏洞利用有抬头之势,漏洞利用携带的攻击载荷主要为监控类或账号窃取类木马,攻击目标针对企业,以制造业、金融业和医疗行业居多。

Sophos曾经报道过Rotten Tomato攻击行动,组合攻击CVE-2012-0158和CVE-2014-1761漏洞,携带Zbot攻击载荷。最近,我们发现这一组织仍然在活跃,并利用被攻陷的网站作为木马更新的地址。

事件时间线

1.png

到达系统的方式

2.png

攻击者通常使用邮件的方式,携带含有漏洞攻击的附件,我们监控到的发件者IP定位均在美国。这种方式以电子邮件为诱饵,正文内容通常是清单、通知、快递信息等等,诱使接收者点击。一旦点击之后,精心构造好的恶意文档会利用Office套件的漏洞执行指定命令,向系统内植入木马等恶意程序。

3.png

以下是截获到的RTF格式文档的信息

基本信息

4.png

5.png

Shellcode

6.png

CVE-2012-0158漏洞利用分析

CVE-2012-0158是一个位于微软Office系列软件中的Buffer Overflow的漏洞,漏洞所在的模块是MSCOMCTL ActiveX dll。ListView, TreeView等 ActiveX控件都要用到这一组件,也就是说所有调用这一dll的软件都受到该漏洞的影响。通常该漏洞的利用以恶意的.rtf文档形式出现。

有漏洞的函数如下

7.png

由于软件作者错误判断了拷贝字节的大小,导致可以向目标数组拷贝超长字节,最终形成溢出,溢出的字节复制循环如下,

8.png

复制完成,函数返回时栈底的返回地址已经被覆盖为jmp esp,函数返回时将直接转到Shellcode执行。

9.png

10.png

这个样本的Shellcode如下,大致流程是获取TEB->PEB->kernel32.dll的基地址->IAT

11.png

获取GetProcAddress和LoadLibrary函数地址

12.png

12-.png

调用URLDownloadToFile从指定URL下载文件

13.png

14.png

下载地址是http://www.pgathailand.com/which.exe,下载完成后调用WinExec运行。

15.png

攻击载荷分析

www.pgathailand.com这个域名解析到的IP是128.199.127.7,该网站属于泰国高尔夫球协会。

16.png

据历史监控,该网站目录下曾监测到大量恶意软件样本,疑似被黑。目前恶意软件已清除。

17.png

黑客用已经入侵好的服务器作为木马更新源,增加了对攻击源头的追溯难度。

这个木马的基本信息如下。

18.png

MD5 5e9253e78527e6db7d2f1a1c0e4f7284
文件类型 application/x-rar
文件大小 200933
编译时间 2014-05-06 12:07:12

该文件是一个自解压型程序,运行之后释放出文件%TEMP%\RarSFX0\Hnmsiy.exe并执行。

这是一个TROJ_Fareit木马的变种。能够窃取用户账号密码,并下载和执行Zbot家族木马。

获取以下文件,威胁登录账号安全。

%APPDATA%\Mozilla\Firefox\Profiles\4thzac8r.default\key3.db

%APPDATA%\Mozilla\Firefox\Profiles\4thzac8r.default\cert8.db

%APPDATA%\Mozilla\Firefox\Profiles\4thzac8r.default\secmod.db

%APPDATA%\Mozilla\Firefox\profiles.ini

%APPDATA%\Mozilla\Firefox\Profiles\4thzac8r.default\signons.sqlite

%APPDATA%\Mozilla\Firefox\Profiles\4thzac8r.default\signons2.txt

这些文件能添加系统自启动项,并注入自身傀儡进程逃避检测。该木马会连接到C&C服务器,地址为http://209.133.221.62/%7Efifaregi/ifeoma/gate.php,这是一个典型的木马C&C服务器URL pattern。

19.png

20.png

21.png

22.png

23.png

我们用交叉关联的方法发现这个209.133.221.62的IP还与其他恶意软件传播活动有关,

其在9月18日对外发送过钓鱼邮件。

24.png

整个行动的流程示意图

25.jpg

目标地理分布

25.png

目标行业分布

26.png

受感染操作系统

27.png

总结

虽然该案例看似旧瓶装新酒,但对一些中小企业还是有比较大的杀伤力。由于软件版本过旧以及补丁不及时,往往给漏洞利用留下通道。加上企业内部人员安全意识参差不齐,防病毒和入侵检测系统部署不到位,容易一封鱼叉式钓鱼邮件即可直达内网,严重威胁企业信息安全,造成重要信息外流。未来的企业信息安全要着眼于构建多层防护体制,同时也要加强员工信息安全培训,养成良好的安全意识,不随意打开陌生来源的邮件附件,定期更新系统和应用软件补丁,定期升级安全软件特征库。

本文涉及到的样本哈希值和相关域名/IP信息如下。

文件MD5:

97bd51b665022f48ee5442ec330edaa9

3f41edee216ff14121c4185717101829

5e9253e78527e6db7d2f1a1c0e4f7284

039b76303243efeaa659003c25de0308

2e0f18aec0b3fa2c0fbdfab70572fa4c

3ea9f80d6971e12967e96da7d961f1a6

IP:

13.84.153.222

13.85.81.89

Domain:

http://www.pgathailand.com/which.exe

http://209.133.221.62/%7Efifaregi/ifeoma/gate.php

crm.baminds.com

azure.baminds.com

* 本文作者:亚信安全(企业账号),转载请注明来自FreeBuf.COM

这些评论亮了

  • lucky0001 (5级) 已经买了电脑,网费已经续到了2020年。 回复
    以后apt界真该制定一个标准,防止被有些"安全公司"媒体误解, 专用木马专用shellcode, 无邮件服务器, 攻陷的中转服务器必须要打好补丁做好安全策略补好漏洞, 本地电脑语言修改成和目标国家语言对应的, 时区也修改成对应的, 客户机和client通信都得是ssl高位处理过的, 编译前删除程序里的debug信息, 不留自己语言的注释, 不然媒体逮到一个群发doc就说是apt就太尴尬了... 不过apt一次能a几十上百人这也稍微有那么一丢丢牛哔
    )10( 亮了
发表评论

已有 12 条评论

取消
Loading...

特别推荐

推荐关注

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php