深入了解针对中亚攻击的新恶意软件 DownEx

admin 2023年5月29日11:34:53评论22 views字数 3515阅读11分43秒阅读模式

深入了解针对中亚攻击的新恶意软件 DownEx


2022 年底,Bitdefender 的研究人员发现了针对哈萨克斯坦外事机构的针对性攻击。研究人员立刻对同类攻击展开监测,随后又发现了针对阿富汗的攻击。


攻击分析


相关域名与 IP 地址没有公开披露的记录,且样本与已知的恶意软件也不存在相似之处。分析人员认为这是一个新的恶意软件家族,并将其命名为 DownEx。


通过攻击的目标、冒充外交官的诱饵文档以及以数据窃取为主要意图,应该是国家支持的攻击组织在背后兴风作浪,但研究人员并未能对其进行归因。攻击者使用了在俄语国家非常流行的破解版 Office 2016(被称为 SPecialisST RePack 或者 Russian RePack by SPecialiST)。另外很不寻常的是,攻击者使用两种语言编写了同一个后门,此前在 APT28 编写 Zebrocy 时发现过。


初始访问


研究人员预计攻击者使用社会工程学技术发送带有恶意 Payload 的鱼叉邮件,附件名为 ! to <redacted> embassy kazakh 2022.exe。攻击者并没有使用双重扩展名,但使用 Word 文档的图标进行了伪装。


该可执行文件是一个 Loader,执行后释放两个文件到本地并执行:


  • C:Users\AppdataLocalTemp! to Embassy kazakh 2022.doc

  • C:ProgramDataUtilitylog


释放的 Word 文档只是提供伪装,使后台执行的恶意脚本不被怀疑。而 log 文件则是内嵌 VBScript 代码的无扩展名 HTA 文件。


深入了解针对中亚攻击的新恶意软件 DownEx释放的 Word 文档


其整体的执行流程如下所示:


深入了解针对中亚攻击的新恶意软件 DownEx感染链


后续的 Payload 下载失败,研究人员未能获取后续恶意软件。失陷主机上的多个样本都是用来与 C&C 服务器建立连接的,后续将一一进行介绍。


探测发现


攻击者使用 C/C++ 编写的工具来枚举网络上的各种资源。使用放置在 C:ProgramDataPrograms 的 wnet.exe 与 utility.exe,利用 Win32 API 中网络相关的函数进行侦察。


命令与控制


攻击者使用 PyArmor 对 Python 开发的后门进行混淆,阻止代码被研究人员进行逆向分析。Python 脚本使用的 DLL 文件也受到 Themida 的保护,使用了包括操作码混淆在内的多种混淆技术。


通过坚持不懈的逆向分析,还是对其有所了解:


深入了解针对中亚攻击的新恶意软件 DownEx后门的基本流程


  1. 首先后门生成一个 2048 位的 RSA 公私钥对。

  2. 后门通过 https[:]//net-certificate[.]services:443 将公钥回传给 C&C 服务器
    a. USR_KAF:其中包含 EmailID,可以标识特定电子邮件攻击行动的硬编码值
    b. USR_PUB:为上一步中生成的公钥
    c. USR_CR:脚本文件 Chelp.py 的 SHA256 哈希值

  3. C&C 服务器回复客户端 ID,留供后续使用
    a. TSK_KEY:解密 TSK_BODY 的 AES 密钥
    b. TSK_IV:解密 TSK_BODY 的 AES 初始化向量
    c. TSK_BODY:CBC 模式下 AES 加密的 Python 代码。响应中总是会返回变量 USR_KAR,似乎是客户身份 ID

  4. 无限循环向 C&C 服务器 https[:]//net-certificate.services:443/ 发起上述请求


C&C 服务器会返回要执行的任务在失陷主机上执行,主要包含:


  • TSK_BODY 与 TSK_IV:解密 TSK_BODY 所需的 AES 密钥与初始化向量

  • TSK_LINK:代表任务的唯一 ID,似乎是全球所有受害者共用的。在野发现的最大任务 ID 是 115880,研究人员认为攻击者向受害者发送了超过十万个任务

  • TSK_BODY:加密的 Python 代码


Python 代码的形式为 class A<number>,监控中发现了四个类型,当然应该还有更多的类型。


  • A3,上传特定扩展名的文件


    • 扩展名的列表是硬编码的,有 doc、docx、dot、dotx、xls、xlsx、ppt、pptx、odt、pdf、rtf、rar、jpg、jpeg、bmp、heic、tiff、tif

    • 可以只检索最近 N 天内修改过的文件

    • 会通过 16MB 的压缩文件进行数据泄露

  • A4,不仅上传文件还会将文件删除


    • 上传并删除 C:ProgramDataPythonLibLOCF 中 .py 扩展名的文件

    • 上传并删除 C:Users\AppDataLocalDiagnostics\1cbe6654-466b-4d53-8303-2e86ab6db8a7 中 ~tmp 扩展名的文件

  • A6,只回传匹配的文件名但不回传文件本身

  • A7,上传失陷主机的屏幕截图


受害者完成任务后,会使用以下 JSON 结构与 C&C 服务器进行通信:


  • SK_LINK:任务 ID,由 C&C 服务器指定


  • RESULT:使用 AES 加密与 base64 编码处理的任务执行结果

  • NAME_FILE:包含时间戳、任务 ID 与其他信息的数据,并且使用 AES 加密与 base64 编码处理


数据收集与泄露


调查过程中,可以发现多个用 C++ 编写的恶意样本。用于数据泄露的可执行文件 diagsvc.exe 存储在 C:ProgramDataPrograms。


深入了解针对中亚攻击的新恶意软件 DownEx建立 C&C 连接的方式


其中一个样本中包含 PDB 路径(C:ProjectsDOWNReleaseDOWN.pdb),因此将该恶意软件家族命名为 DownEx。


样本间存在细微的差异,一些样本有许多调试字符串,有些样本则经过简单的异或加密。也有样本文件并不直接回传数据给 C&C 服务器,而是利用另一个 VBScript 脚本(C:ProgramDataTempdriver.vbs)将数据回传到相同的 C&C 服务器(84.32.188.123)。


执行后,DownEx 就会开始递归解析本地驱动器与网络驱动器,收集以下扩展名的文件:


  • .doc、.docx、.rtf、.xlsx、.xls、.pdf、.ppt、.pptx、.~tm、.bmp、.rar、.jpg、.odt、.p12、.heic、.enc、.jpeg、.tiff、.tif、.zip、.crf、.enc、.cr、.lhz、.pem、.pgp、.sbx、.tlg


相关的文件会通过加密的 ZIP 压缩文件进行回传,每个 ZIP 压缩文件的大小为 30MB。恶意软件通过 http[:]//84.32.188[.]123/hftqlbgtg.php 回传到 C&C 服务器。


深入了解针对中亚攻击的新恶意软件 DownExVBS 脚本下载另一个脚本


调查过程中,研究人员发现了基于 VBScript 脚本开发的 DownEx 样本文件。其功能与 C++ 版本的 DownEx 相同,且是一种无文件攻击。DownEx 会在内存中执行,而不会存在落地的文件。VBScript 版本的 DownEx 通过 slmgr.vbe 使用自定义的 User Agent 发送给 http[:]//206.166.251[.]216/www.php 进行回传。


总  结


DownEx 恶意软件家族显示了现代网络攻击的复杂性,攻击者会不断寻找新的方法巩固攻击。为了阻止攻击,各种技术构建的纵深防御可以确实地帮助检测与预防攻击。


IOC

139.99.126[.]38
84.32.188[.]123
206.166.251[.]216
net-certificate[.]services
1e46ef362b39663ce8d1e14c49899f0e
bb7cf346c7db1c518b1a63c83e30c602
a45106470f946ea6798f7d42878cff51
3ac42f25df0b600d6fc9eac73f011261
14a8aad94b915831fc1d3a8e7e00a5df
457eca2f6d11dd04ccce7308c1c327b7
d310a9f28893857a0dc1f7c9b624d353
d20e4fffbac3f46340b61ab8f7d578b1
5602da1f5b034c9d2d6105cdc471852b
89f15568bc19cc38caa8fd7efca977af
ae5d4b9c1038f6840b563c868692f2aa
c273cdfcfd808efa49ec0ed4f1c976e0
d11fcd39a30a23176337847e54d7268c
70e4305af8b00d04d95fba1f9ade222d
1492b0079b04eb850279114b4361f10c


深入了解针对中亚攻击的新恶意软件 DownEx


深入了解针对中亚攻击的新恶意软件 DownEx

https://www.bitdefender.com.au/blog/businessinsights/deep-dive-into-downex-espionage-operation-in-central-asia/



深入了解针对中亚攻击的新恶意软件 DownEx

深入了解针对中亚攻击的新恶意软件 DownEx

深入了解针对中亚攻击的新恶意软件 DownEx

深入了解针对中亚攻击的新恶意软件 DownEx

深入了解针对中亚攻击的新恶意软件 DownEx

原文始发于微信公众号(FreeBuf):深入了解针对中亚攻击的新恶意软件 DownEx

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年5月29日11:34:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   深入了解针对中亚攻击的新恶意软件 DownExhttp://cn-sec.com/archives/1764956.html

发表评论

匿名网友 填写信息