研究员近期捕获了一例响尾蛇组织攻击样本,该样本伪装为巴基斯坦-菲律宾相关合同协议,诱导受害者执行,窃取敏感信息。
概述
响尾蛇(又称SideWinder)是疑似具有南亚背景的APT组织,其攻击活动最早可追溯到2012年,主要针对其周边国家政府,军事,能源等领域开展攻击活动,以窃取敏感信息为攻击目的。
近日,奇安信威胁情报中心红雨滴团队在日常高价值样本挖掘中,捕获了一例响尾蛇组织攻击样本,该样本伪装为巴基斯坦-菲律宾相关合同协议,诱导受害者执行,一旦受害者执行,该样本便会通过公式编辑漏洞执行JS脚本,从而部署其常用的.NET远控木马控制受害者机器,窃取敏感信息。
样本分析
基本信息
MD5 | 2ba61596f9ec352eebe6e410a25867f6 |
文件创建时间 | 2020-10-15 08:37:00 |
默认语言 | English-UnitedKingdomArabic-Saudi Arabia |
文件名 | MoU"s.doc |
该样本以巴基斯坦菲律宾相关协议为诱饵,内容涉及航空,文化,税收等。执行后,将展示相关内容迷惑受害者。
详细分析
通过奇安信自研文件深度解析引擎OWL解析发现该样本使用了CVE-2017-11882漏洞,并在其中嵌入名称为1.a的JS脚本文件。
ShellCode 分析
公式编辑漏洞利用成功后,将加载ShellCode执行,该ShellCode首先获取要使用的API函数字符串。
初始化相关API函数。
最终通过RunHTMLApplacation加载执行JS脚本。
JS脚本文件分析
MD5 | 3ad3ddc1e8ada7f6a4fe0800b578ee4a |
加载执行的JS脚本与响尾蛇组织常用的脚本基本一致,主要功能为解码并内存加载一个.NET dll,其解码方法为base64解码。
解密变量so的编码数据,解码后的内容如下,其中包含一个可执行文件。
在后续调用中通过CreateInstance调用加载后的DLL的导出函数Work,并传入合适的参数值。
StInstaller.dll分析
MD5 | 5fda277b43aed849b9fb6c5b907e5620 |
创建时间 | 星期六, 10.10.2020 16:48:41 UTC |
原始文件名 | 5fda277b43aed849b9fb6c5b907e5620 |
内存解密加载的DLL名为StInstaller.dll,加载执行后首先初始化远程服务器地址,安装目录等信息。
将系统目录下的"C:\Windows\syswow64\rekeywiz.exe"拷贝到恶意软件安装目录,并将其设置为注册表自启动项。
之后开始进行后续恶意软件部署,将在制定的恶意软件目录释放多个文件,部署完成后,恶意软件目录下文件如图所示。
创建任务名为”UpdateService”的计划任务执行rekeywiz.exe
创建的计划任务信息如下。
Duser.dll分析
HASH | 740f61933a0546637bfb552a3c5939ae |
时间戳 | 星期六, 10.10.2020 16:48:33 UTC |
rekeywiz.exe执行后,将会尝试加载同目录下的Duser.dll,此攻击方法是响尾蛇组织近年来长期使用的白加黑手法,该dll主要功能为解密加载目录下的tmp文件,解密函数如下。
解密完成后,加载解密后的DLL文件,并调用其Program.Start().方法。
远控SystemApp.dll分析
HASH | 18c3a87c9bc3c0d57989046f098bfe8d |
时间戳 | 星期日, 11.09.2089 06:59:47 UTC |
加载执行的是响尾蛇组织常用的远控DLL,但此次该dll增加了稍许修改,增加了稍许混淆。执行后首先加载资源表自带的Newtonsoft.Json.dll
之后从资源中解密初始化相关配置信息。
然后会尝试读取C:\ProgramData\SyncFiles\Sync文件,如果读取失败则跳入异常处理进行文件写入,写入各种配置信息并进行异或加密存入文件。
初始化结束后,创建两个定时器函数用于执行Rat的主要功能。
定时器1:主要功能为循环与C2通信,获取指令解析执行。
该远控具有十个指令功能,如图所示。
相关指令功能如下:
指令 | 功能 |
1 | 获取系统相关信息,并以Json的格式写入到随机文件名.sif文件中。 |
2 | 获取文件列表保存到.flc文件 |
3 | 将指定文件以及信息写入.fls文件 |
4 | 重写配置信息到Sync文件中 |
5 | 更换c2地址 |
6 | 更新是否上传文件参数 |
7 | 修改想获取的特殊文件类型,最初是office文件后缀 |
8 | 设置上传文件大小限制 |
9 | 指定上传文件 |
10 | 返回 |
定时器2主要功能为上传获取的信息文件。
溯源关联
奇安信红雨滴团队结合威胁情报中心ALPHA平台,对此次捕获的样本攻击手法,代码等方面关联分析发现,此次攻击活动中使用的代码与响尾蛇组织存在高度相似性。
同时,其C2服务器相关信息在威胁情报中心ALPHA平台已有响尾蛇组织相关标签。
总结
响尾蛇APT组织近年一直高度活跃,其攻击链也较为复杂,采用多层解码内存加载,且其最终恶意dll仍是解密内存加载,并未落地,能一定程度上避开杀软检测。疫情尚未结束,意味着利用疫情的网络攻击活动也并不会就此缩减,奇安信红雨滴团队提醒广大用户,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行夸张的标题的未知文件。做到及时备份重要文件,更新安装补丁。
若需运行,安装来历不明的应用,可先通过奇安信威胁情报文件深度分析平台(https://sandbox.ti.qianxin.com/sandbox/page)进行简单判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。
IOC
2ba61596f9ec352eebe6e410a25867f6
3ad3ddc1e8ada7f6a4fe0800b578ee4a
5fda277b43aed849b9fb6c5b907e5620
https://cdn-sop.net/202/wGpm0RzJrMtEAvPiWk2eF4gXwOLYsphJ7KTx4Dyg/-1/13856/a042ecbe
参考链接
https://ti.qianxin.com/blog/articles/the-recent-rattlesnake-apt-organized-attacks-on-neighboring-countries-and-regions/
蜀ICP备2021014542号
川公网安备 51118102000215号