巴基斯坦遭受诱惑性文档+Office 0day漏洞的APT攻击

2013-12-30 +10 300999人围观 ,发现 19 个不明物体 WEB安全资讯

前几天,微软发布了一个新的关于Microsoft Office的 安全警告,互联网上已经流传了关于这个漏洞的利用。这个漏洞影响到Office 2003到2007 和 2010版本,而且这个漏洞只能在Windows XP/2003 平台上触发。 

这个漏洞是由TIFF图片的解析不当引起的,微软也已经发布了一个简单的补丁,通过阻止TIFF图像的渲染来防止漏洞发生。

通过分析,这次攻击使用了ROP和ActiveX controls进行堆喷射攻击。(这里对溢出不算很在行ActiveX controls不知道是个干嘛的)

如果漏洞利用成功,会使用URLDownloadFileA函数从远程HTTP服务器上下载payload

被下载下来的payload是一个包含了一段payload和一个诱惑性的Office文档的RAR文件。

我们发现几个不同的payload都不约而同的指向了同一个C&C服务器,而那些诱惑性文档都是与巴基斯坦情报局或巴基斯坦军方有关。


payload与C&C服务系互交采用的是HTTP协议

GET /logitech/rt.php?cn=XXXXX@Administrator&str=&file=no HTTP/1.1 User-Agent: WinInetGet/0.1

当我们分析网络通信的时候我们注意到他们都是相似的协议。事实上他们所使用的payload是Operation Hangover中的一个。我们也可以确定他们使用的下载者基于Deksila downloader的,不单单是因为他们使用了相似的HTTP流量,而且他们在被入侵系统上收集信息的方式和payload中的字符串都是大致相同的。

如果服务器上存在如下文件即可断定被下载者感染

C:\Documents and Settings\<username>\Temp\iconfall.log
C:\Documents and Settings\<username>\HddLink.lnk    
C:\Documents and Settings\<username>\Updates.exe
C:\Documents and Settings\<username>\wincert.exe
C:\Documents and Settings\<username>\kayani.doc    
C:\Documents and Settings\<username>\Shanti.doc    
C:\Documents and Settings\<username>\Locations.doc
C:\Documents and Settings\<username>\ISI.doc    
C:\Documents and Settings\<username>\GoodLuck.doc    
C:\cdata.txt

通过我们从C&C服务器上收集的被害者信息我们可以发现,大部分和C&C主机交互的IP地址都来自巴基斯坦。(不明白这个信息是如何收集到的)

如果一个被感染主机登入C&C服务器,C&C服务器上就会创建一个如下的文件

User : [USERNAME] 
IP : [IP_ADDRESS] 
AV : [NAME_OF_ANTIVIRUS_SOLUTION]

攻击者也可以通过HTTP请求的方式把其他payload送到被感染的主机(第二阶段)。通过C&C主机提供的信息,我们收集一个攻击者在第二阶段使用的payload文件名的列表。

alg.exe
connhost.exe
lgfxsrc.exe
lgfxsrv.exe
lgfxsrvc.exe
msctcd.exe
svchost.exe
taskmgr.exe
taskngr.exe
waulct.exe
wimhost.exe
winlog.exe
winlogon.exe
winnit.exe
winsoun.exe
winword.exe
wmpi.exe
wsqmocn.exe

和MD5列表

0d51296e5c74a22339ec8b7e318f274a
101852851d70dfc46c4d022ef077d586
2ed6a6c349cae3842023d83c6b1ed1c5
4e878b13459f652a99168aad2dce7c9a
654f558cf824e98dde09b197dbdfd407
6a57cda67939806359a03a86fd0eabc2
8378abb63da7e678c76c09f44b43d02a
e75ad6c8484f524d93eaf249770be699
fd51dc5f1683c666a4925af8f1361d5d
fd75a23d8b3345e550c4a9bbc6dd2a0e


我们把从C&C上收集来的payload,提交到Virustotal上面,你可以发现病毒识别率非常低。

fd75a23d8b3345e550c4a9bbc6dd2a0e  1 / 47    
6a57cda67939806359a03a86fd0eabc2  1 / 47    
4e878b13459f652a99168aad2dce7c9a  1 / 47    
2ed6a6c349cae3842023d83c6b1ed1c5  0 / 47

通过我们对这些payload的分析有益于你建立IOCs(Indicators Of Compromise)或者识别被入侵的主机。

主下载者(Main Downloader)

互联网通信包中HTTP GET请求的几个例子

    /logitech/rt.php?cn=xx@<username>&str=&file=no 
    /green/srt.php?cn=xx@<username>&str=&file=no
    /funbox/rt.php?cn=<MACHINE_NAME>@<USER>&str=&file=no
    /joy/rt.php?cn=<MACHINE_NAME>@<USER>&str=&file=no


你可以在日志中匹配“&str=&file=no”来确定是否被入侵。


Yara规则(这是一套定义恶意软件特征码的规则)

rule Hangover2_Downloade {
  strings:
    $a = "WinInetGet/0.1" wide ascii
    $b = "Excep while up" wide ascii
    $c = "&file=" wide ascii
    $d = "&str=" wide ascii
    $e = "?cn=" wide ascii
  condition:
    all of them
}

文件窃取

他寻找固定后缀名的文件然后偷偷将其上传到C&C服务器

xls,xlsx
doc,docx
ppt,pptx
pdf
txt

互联网网通信包

POST /crks.php HTTP/1.1 Content-Length: 44 Content-Type: application/x-www-form-urlencoded User-Agent: MyWebClient Host: xxx Connection: Keep-Alive 
POST /drkl.php HTTP/1.1 Content-Length: 44 Content-Type: application/x-www-form-urlencoded User-Agent: MyWebClient Host: xxx Connection: Keep-Alive 
POST /max.php HTTP/1.1 Content-Length: 49 Content-Type: application/x-www-form-urlencoded User-Agent: MyWebClient Host: xxx Connection: Keep-Alive

Yara规则

rule Hangover2_stealer
{
  strings:
    $a = "MyWebClient" wide ascii
    $b = "Location: {[0-9]+}" wide ascii
    $c = "[%s]:[C-%s]:[A-%s]:[W-%s]:[S-%d]" wide ascii
 
  condition:
    all of them
}

远程后门

互联网网通信包在5858端口使用二进制数据传输

T VICTIM:1050 -> C&C:5858 [A]
  FHEPF                                                                                                                                                                                                 
#
T VICTIM:5858 -> C&C:1050 [AP]
  Pass                                                                                                                                                                                                   
#
T VICTIM:1050 -> C&C:5858 [AP]
  Authjanettedoe @ [MACHINE_NAME]\#/[OPERATING_SYSTEM]\#/[IP_ADDRESS]\#/

Yara规则

rule Hangover2_backdoor_shell
{
  strings:
    $a = "Shell started at: " wide ascii
    $b = "Shell closed at: " wide ascii
    $c = "Shell is already closed!" wide ascii
    $d = "Shell is not Running!" wide ascii
 
  condition:
    all of them
}

你也可以寻找如下注册表信息

HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v WinLstart

 键盘记录

通过HOOk来进行键盘记录。

Yara规则

rule Hangover2_Keylogger
{
  strings:
    $a = "iconfall" wide ascii
    $b = "/c ipconfig /all > "" wide ascii
    $c = "Global\{CHKAJESKRB9-35NA7-94Y436G37KGT}" wide ascii
  condition:
    all of them
}

屏幕监控

会不断把截屏传送到C&C服务器

互联网网通信包

Yara从此处下载

最后给出攻击者所使用的IP和域名

krickmart.com
37.0.125.77
37.0.124.106
maptonote.com
myflatnet.com
lampur.com
appworldstores.com
similerwork.net
intertechsupport.net
lampur.com
twikstore.com

[原文地址,译/FreeBuf实习小编wyl]

这些评论亮了

发表评论

已有 18 条评论

取消
Loading...
css.php