Gamaredon向带有有效签名的PE中嵌入脚本

admin 2021年11月16日00:36:02安全新闻评论142 views2849字阅读9分29秒阅读模式

    Gamaredon是具有俄罗斯背景的APT组织,其攻击活动一直以来十分活跃,且一直保持着高频的攻击武器及攻击手法的更新迭代。近期,360高级威胁研究院在持续跟踪Gamaredon组织的相关活动时,发现该组织利用修改PE文件的方式向带有合法签名的PE文件中嵌入恶意脚本。

合法数字证书中的Payload


PE文件的数字签名用于验证该文件的完整性,通常情况下,如果一个PE文件带有有效的数字签名,且该数字证书的所有者为谷歌、微软这样的企业,则一般认为该文件是安全的、未经篡改的。这一点可以通过右键查看PE文件属性面板中的数字签名项来验证。
但是事情总有例外,在BlackHat2016的议题《Certificate Bypass: Hiding and Executing Malware from a Digitally Signed Executable》中就介绍了通过篡改PE文件结构来向数字证书末端添加信息的方式,如此一来,一个PE的文件的数字签名虽然校验结果为有效,但其中依旧可能隐藏有其他信息。
在对PE文件进行数字签名校验时,有3个位置不会参与hash的计算:
  • PE头中Optional Header的CheckSum

  • 保存有Certificate Table偏移和大小信息的Certificate Table entry

  • Certificate Table

由此可见,只要修改了Certificate Table的大小和CheckSum,攻击者就可以向PE文件的Certificate Table末尾添加任意大小的数据,且PE文件的数字证书依旧验证有效。
在本次捕获的样本中,攻击者就采用了上述手法向Chrome.exe的文件尾添加了恶意脚本,并保持数字签名的有效性:

Gamaredon向带有有效签名的PE中嵌入脚本


    经过与同版本未经篡改的Chrome.exe对比,可以看到修改的位置如下:
    1.Optional Header的 CheckSum值:

Gamaredon向带有有效签名的PE中嵌入脚本

    2.Certificate Table entry中的数字证书大小:

Gamaredon向带有有效签名的PE中嵌入脚本

    3.Certificate Table中的数字证书大小:

Gamaredon向带有有效签名的PE中嵌入脚本

    4.文件尾部添加的新数据:

Gamaredon向带有有效签名的PE中嵌入脚本

其中可以看到vbs脚本代码。

Gamaredon的利用方式


在BlackHat2016相关内容的议题中,实现了一个Reflective PE Loader来执行嵌入的payload,这种方式较为复杂,需要对嵌入的payload PE进行大量准备工作。在本次发现的Gamaredon相关活动中,则采用mshta来执行嵌入数字证书的vbs代码。
mshta可以用于执行hta(html应用程序),常常被各类黑客组织所利用。本次活动中,Gamaredon将vbs代码包裹在html标签中,放置在文件尾部。Html标签之前的内容都会被解析为普通的文本,而标签之后的部分会作为html代码执行。
本次被执行的脚本为该组织一直沿用的vbs downloader,主要功能为下载远程文件到本地的 %PUBLIC%DownloadsMusik.ini 目录下,并创建计划任务维持控制。
(为方便查看,下图中部分字符串做了去混淆的处理)

Gamaredon向带有有效签名的PE中嵌入脚本

总结

    虽然向数字证书中嵌入payload的手法早已被披露,但是该组织利用此种手法执行vbs还是第一次见,Gamaredon作为东欧较为活跃的APT组织,其攻击武器和攻击手段也一直保持着更新,我们会在接下来的时间里持续关注该组织的相关活动,这里也提醒大家时刻保持警惕,即使PE文件拥有数字签名也不是百分之百的安全。


附录 IOC
MD5
914aa3b3fb313198c1b2c06863f32c70

URL

http://83.166.240.208/revers.php?id=[RandomID]

http://83.166.246.118/revers.php?id=[RandomID]

http://83.166.244.143/revers.php?id=[RandomID]

http://83.166.240.22/revers.php?id=[RandomID]

http://83.166.243.193/revers.php?id=[RandomID]

http://188.225.47.161/revers.php?id=[RandomID]

http://188.225.82.67/revers.php?id=[RandomID]

http://188.225.84.243/revers.php?id=[RandomID]

http://94.228.113.110/revers.php?id=[RandomID]

http://188.225.18.201/revers.php?id=[RandomID]

http://46.229.215.89/revers.php?id=[RandomID]

http://185.104.113.229/revers.php?id=[RandomID]

http://78.40.217.92/revers.php?id=[RandomID]

http://193.164.150.160/revers.php?id=[RandomID]

http://5.23.53.23/revers.php?id=[RandomID]

http://188.225.45.163/revers.php?id=[RandomID]

http://217.25.88.153/revers.php?id=[RandomID]

http://188.225.11.233/revers.php?id=[RandomID]

http://217.25.88.158/revers.php?id=[RandomID]

http://188.225.75.69/revers.php?id=[RandomID]

http://92.53.124.232/revers.php?id=[RandomID]

http://188.225.43.143/revers.php?id=[RandomID]

http://92.53.104.167/revers.php?id=[RandomID]

http://94.228.112.223/revers.php?id=[RandomID]

http://188.225.27.161/revers.php?id=[RandomID]


Domain
lighin.ru

Gamaredon向带有有效签名的PE中嵌入脚本
团队介绍
Gamaredon向带有有效签名的PE中嵌入脚本
TEAM INTRODUCTION

360高级威胁研究院

360高级威胁研究院是360政企安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。

本文始发于微信公众号(360威胁情报中心):Gamaredon向带有有效签名的PE中嵌入脚本

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年11月16日00:36:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Gamaredon向带有有效签名的PE中嵌入脚本 http://cn-sec.com/archives/415141.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: