作者:知道创宇404高级威胁情报团队
1.背景
1.1 组织介绍
Confucius组织(又称“魔罗桫”)于2016年被国外安全厂商披露,据悉最初的攻击活动可追溯到2013年。该组织主要针对南亚及东亚地区政府、军事等重要单位,近年来不断发现针对国内重点单位及行业发起攻击活动。
1.2 概述
近期,知道创宇404高级威胁情报团队发现了Confucius组织的新的武器,该武器不仅加载了2024年利用ADS攻击时的wooperstealer[1],还将其前一阶段的下载者木马升级为组件化的后门。后门组件均通过服务端下发的链接下载而来。为方便后续描述,使用代码中的特殊字符串"anon"将其命名为"anondoor"。
1.3 核心发现
1、持久化操作从初始阶段脚本转移到anondoor
此前捕获的Confucius的攻击样本中,通常在初始的脚本中进行持久化,例如在LNK脚本中写入自启动注册表项或者远程下载脚本中写入注册表项中。
而本次样本则在下载者木马中进行持久化,详见后续分析。
2、wooperstealer作为组件,通信地址通过anondoor参数传入
本次捕获的样本最终下载组件为wooperstealer,但组件本身无窃密文件回传的服务端地址,通过前一阶段(anondoor)加载时传入。
3、下载者升级为组件化后门
攻击者将此前多次使用的downloader木马进行了升级,添加了后续载荷下载地址的服务端分发逻辑,并新增了多项后门功能,所有功能均需要从服务端下载相应的组件来实现,详见后续分析。
2. 样本分析
初始样本为LNK文件,Lnk参数中的脚本下载多个文件,其中python313.dll为anondoor,BlueAle.exe为白文件(实际为python官方程序pythonw.exe),当BlueAle.exe运行时,anondoor将被加载运行。
2.1 持久化
将BlueAle.exe写入名为"SystemCheck"的计划任务中:
2.2 系统信息回传
获取主机系统版本、本地IP、主机名、公网IP和IP归属地,将获取的信息拼接上uhhg和$!!$后发送到服务端:
其中UUID通过获取系统固件信息(ACPI表),并尝试提取前16字节返回后拼接上主机名和用户名,最终使用自定义的hash算法生成代表受控主机的UUID,该值在后续多处均有使用:
获取磁盘盘符及大小后发送到服务端:
2.3 wooperstealer组件下载
发送如下格式内容到服务端获取后续组件的下载地址:
autonbfgj=base64-encode(%UUID%+"[@]AutoDownload[@]")
若返回的数据为"Somethingworng1-",则进行下一次请求,不是则进行后续的交互逻辑:
将返回的数据使用“@#@”进行分割成4个block:
block1:UUID
block2:固定字符串"AutoDownload"
block3:下载地址相关
block4:组件控制指令
再对block3使用“###”进行分割,其中第2块数据则为实际的组件下载地址(记为block3-2),若block4为“start”则请求block3-2中地址并加载运行,若为“stop”则中止组件运行。
用$@!!@$按照以下顺序拼接数据:
block1 + block2 + block3 + block3-2 + C2 + C2_URL + userAgent + port + requestFlags
请求block3-2下载组件后,加载其“Yretisdkjhsfkjfh”方法运行,并将上述拼接数据作为参数传入:
值得注意的是,下载的组件为此前曾曝光的wooperstealer,其功能无重大变化,在此不再赘述。
2.4 anondoor核心功能
获取后门指令的请求格式如下:
cuud=base64_encode(%UUID% + "$!!$khfgsh")
当服务端下发指令后,anondoor还会将指令按照如下格式进行返回:
sout=%UUID% + "@$$@" + command
最终解析返回的指令,其格式大致如下:
%module_id% #$$ %commandType% #$$ %base64_str% ### %command% ### %url%
其中“module_id”疑为组件的id,url则是对应后门功能的组件下载地址:
所支持的指令如下表:
所有组件的通信地址均是通过anondoor参数传递,且需要加载指定的方法,这直接导致了众多沙箱无法加载运行,目前杀软查杀为0。
3. 总结
4. IOC
HASH:
abefd29c85d69f35f3cf8f5e6a2be76834416cc43d87d1f6643470b359ed4b1b
5. 参考链接
1、https://paper.seebug.org/3230/
原文始发于微信公众号(白帽子):威胁情报 | Confucius 组织最新组件化后门 anondoor 披露
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论