针对中国用户的SLOW#TEMPEST 行动中DLL劫持分析

admin 2024年9月25日22:24:46评论19 views字数 1084阅读3分36秒阅读模式

    近日被 Securonix 威胁研究人员确定为 SLOW#TEMPEST 的攻击活动报告中披露了一个名为使用UI.exe进行DLL 劫持攻击的攻击手法。文中指出"该活动似乎专门针对中国境内的受害者,文件名和诱饵主要以中文书写即可证明这一点。此外,威胁行为者使用的所有命令和控制 (C2) 基础设施均由中国公司深圳腾讯计算机系统有限公司托管在中国。仔细查看恶意样本的遥测数据表明,所涉及的大多数恶意软件和文件都来自中国境内,这进一步证实了中国确实是此次攻击的主要目标的可能性。"同时表示使用进行攻击的LicensingUI.exe 的这种 DLL 侧载或劫持技术似乎尚未被报道。所以进行分析一波。

    在Securonix 威胁研究人员捕捉的"20240739人员名单信息.zip"样本中包含一个名为"违规远程控制软件人员名单.docx.lnk"伪装成 .docx 文件的 LNK 文件和隐藏起来的dui70.dll、UI.exe文件。在Securonix 的博客文章中可以清晰看到zip的文件信息:针对中国用户的SLOW#TEMPEST 行动中DLL劫持分析

图 1:提取 zip 文件内容

    其中伪装成 .docx 文件的 LNK 文件诱导目标用户进行点击,点击之后执行LicensingUI.exe,同时UI.exe加载dui70.dll,dui70.dll为执行cobalt strike的shellcode,大概的操作流程如下图。

针对中国用户的SLOW#TEMPEST 行动中DLL劫持分析

图 2:20240739人员名单信息样本大概攻击流

分析UI.exe可以知道为LicensingUI.exe重命名,LicensingUI.exe 是 Windows 中的一个合法系统文件,负责显示与软件许可和激活相关的用户界面。在Windows中的路径为"C:WindowsSystem32"中。具有合法的Windows签名,通过下图可以明显看到。

针对中国用户的SLOW#TEMPEST 行动中DLL劫持分析

图 3:UI.exe签名信息

通过在ProcessMon中监视LicensingUI可以看到对应的DLL加载信息,在加载的DLL中可以看到攻击者使用的DLL被加载进LicensingUI.exe进程内存中,如下图所示:针对中国用户的SLOW#TEMPEST 行动中DLL劫持分析

图 4:LicensingUI DLL加载情况

复制LicensingUI.exe出来桌面然后在桌面放置一个我们的DLL并重命名为dui70.dll,可以在ProcessMon中看到加载了桌面的dui70.dll,如下图所示:

针对中国用户的SLOW#TEMPEST 行动中DLL劫持分析

图 5:LicensingUI 加载桌面的dui70.dll情况

至此,攻击者通过合法的LicensingUI.exe加载了恶意的dui.dll进行后续攻击滥用。

原文始发于微信公众号(黑白天实验室):针对中国用户的SLOW#TEMPEST 行动中DLL劫持分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月25日22:24:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   针对中国用户的SLOW#TEMPEST 行动中DLL劫持分析http://cn-sec.com/archives/3126251.html

发表评论

匿名网友 填写信息