黑客是如何对俄罗斯外贸银行实施APT攻击的?
前言:
APT攻击一直以来是企业关注的重点,通常以智能手机、平板电脑和USB等移动设备为目标入侵企业信息系统,其中恶意邮件是APT攻击最常用的攻击手段,因此,瑞星安全研究院为长期跟踪监控各类APT攻击,专门研发了一套监测恶意邮件的“鱼叉攻击”挖掘系统。
最近,瑞星安全研究人员Chao在“鱼叉攻击”挖掘系统中,发现了一封发给俄罗斯外贸银行的邮件,经过多年的经验积累,Chao很快就意识到这是一封钓鱼邮件,也就是说这很可能是一次专门针对俄罗斯外贸银行发起的APT攻击。 果然,经过研究样本分析发现,该邮件附件中存在一个含有病毒的word文档,一旦用户下载并打开此文档,攻击者就可以对受害者的机器进行控制,窃取其中任何信息。 瑞星安全研究人员Chao介绍,该word文档集成了近期流行的office逻辑漏洞CVE-2017-0199,并且还巧妙地使用到了RTF的一个机制来实现攻击。病毒先利用RTF机制释放病毒程序,然后利用CVE-2017-0199漏洞远程下载并执行病毒脚本,最后利用下载的脚本运行病毒程序。
图:APT攻击流程图
瑞星安全专家根据病毒脚本和服务器通信的网络数据包特征,基本可以确定击者利用了Micorsoft Word Intruder(MWI)发起了此次攻击。MWI是一个漏洞利用攻击平台,由俄罗斯人开发,并在黑市销售。2013年8月,“卡巴斯基”研究人员发现了疑似MWI的早期版本。2015年1月由国外安全研究机构“FireEye”曝光了负责和控制服务器通信的新模块MWISTAT,之后MWI才逐渐进入人们的视线。 MWI作者一直处于活跃状态,每当有新漏洞被发现,作者就把新的漏洞利用代码集成到工具中,再销售给各个犯罪团伙。早在2015年,研究者就发现 MWI攻击平台已经帮助数十个网络犯罪团伙,从多个不同的恶意软件家族中提供数百种不同的恶意软件,涵盖了大多数恶意软件类型。这种MWI漏洞利用攻击平台,投资小,见效快,广受犯罪团伙的欢迎,被广泛用于传播勒索、盗号、远控等软件。由于存在巨大的利益驱使,MWI和其它类似软件的作者们,仍会继续增加对新漏洞利用,所以及时更新补丁至关重要。 此外,如果出于利益需求,这些攻击平台的作者,也是有可能在黑市上购买未知漏洞,添加利用代码到新版本中。安全厂商面临的形式将更加严峻,需要不断提高主动防御能力,结合机器学习等方式,提高对未知病毒的查杀能力。
本次针对俄罗斯外贸银行实施APT攻击分析
瑞星截获到一封发给俄罗斯某银行的钓鱼邮件,邮件附件中有一个doc后缀的RTF文档。
图:钓鱼邮件
附件中的doc文档,利用了CVE-2017-0199漏洞 会远程下载并执行hta文件
图:链接到远程服务器
获取htahta文档的内容是vbs脚本,脚本的可扩展性比较强,可通过修改不同的配置选项,执行不同的功能。例如:通过conf_exec_RunExe选项,判断运行exe还是加载DLL通过conf_exec_IntExt选项,判断有效载荷已经释放还是需要下载 通过conf_exec_RunSct、conf_exec_RunCMD等选项 决定是否运行cmd命令、Powershell脚本、VBS 脚本通过conf_exec_SendData选项决定是否发送日志到攻击者的控制服务器。
图:hta文件内容主要功能有运行CMD命令或者powershell脚本
图:运行命令下载运行exe或者DLL
图:运行有效载荷
运行javascript/vbscript脚本
图:运行脚本
获取并向攻击者发送 系统信息、进程列表、杀软列表等信息。
图:获取系统信息
图:获取安装的杀软信息
图:获取进程列表
向控制服务器,发送日志信息
图:发送获取到的信息
根据配置选项conf_exec_IntExt,此样本的有效载荷是内部释放方式,可是CVE-2017-0199漏洞并没有释放文件。
图:模式选择
而且就算是修改选项为下载方式,下载地址也是无效的
图:下载地址无效
然而从运行情况来看,打开RTF文档之后,有效载荷释放到临时文件夹下并命名为~WRF{DE1EFD4F-E057-483E-BCCC-C9173EDEDEAD}.tmp
图:释放了有效载荷
那么文件是如何释放的呢?瑞星发现RTF文档有大量数据
图:文档中含有大量数据
经过分析发现,其实是利用OLE机制来实现的
图:文档中含有OLE对象
果然释放的程序就是作者添加进去的 ~WRF{DE1EFD4F-E057-483E-BCCC-C9173EDEDEAD}.tmp
图:对象内含有一个可执行程序
那么作者是利用了什么漏洞,才会让有效载荷释放出来的呢?其实这是RTF的一个机制,OLE内嵌的程序会被释放到windows的%tmp%临时目录下,并且名称也相同。在xp系统上并不会出现,在win7及以上系统可以出现。最早于2016年被研究者发现,不过微软并不承认这是一个漏洞。攻击者正式利用了这一点,精心构造RTF文档,RTF的OLE机制负责释放有效载荷,CV-2017-0199漏洞触发后获取的hta脚本,负责运行有效载荷,从而完成这次攻击。 不过后来捕获到的更新版本,作者可能意识到这种方式虽然巧妙,但是部分机器无法实现攻击,又进行了升级,配置选项xnf_exec_IntExt 增加了功能3,如果选项是功能3,则会首先检查是否从RTF文档内部释放有效载荷,如果存在则直接运行,否则再联网下载。这样相对于之前的方法扩大了覆盖面积,攻击成功的概率更大。
图:新版本增加了功能
无论是内部释放的版本,还是更新版本,有效载荷都是由.net编写的程序,名字叫做ExecPs功能是解密运行资源中的Powershell脚本。Powershell加密存储在ExecPs程序的资源中
图:ExecPs的资源中含有数据
图:资源中存放加密的脚本 解密执行Powershell 的代码
图:解密运行powershell
这两个版本的有效载荷,运行之后访问同一个下载服务器
http://198.50.179.97/DdbR 下载了一个DLL
然后使用反射DLL注入技术内存加载此DLL。下载的DLL是一个Cobalt Strike攻击平台生成的木马。木马文件不落地,直接调用导出函数ReflectiveLoader 就可以实现加载并运行。
图:反射DLL注入的导出函数解密控制服务器IP地址198.50.179.97
图:解密的IP地址获取当前计算机信息
图:获取当前计算机信息
控制指令包含创建服务、运行shell、上传文件、下载文件、修改文件时间等
图:控制指令
至此攻击者就可以对受害者的机器进行控制,窃取信息。从关联样本的控制服务器,位置分布来看。新一波攻击,也有可能是由多个不同的团伙发起的。
图:新一波攻击控制服务器分布
MWI历史回顾
2013年8月利用CVE-2012-0158 传播Gimemo 勒索软件,攻击者IP在德国,受害者分布在说俄语的国家,这次攻击被认为是捕获到的最早利用MWI进行的攻击。
紧接着没过多久就发现了添加了CVE-2010-3333漏洞的版本。
2013年12月,研究人员捕获到新的版本,新版本引入了第三个漏洞CVE-2013-3906。
2014年6月8日增加了第四个漏洞CVE-2014-1761。
2014年12月,“FireEye”发现了MWI增加了与服务器通信的模块,被称为MWISTAT。
2016年7月,研究人员发现,新版本增加了CVE-2015-1641漏洞。2016年7月中旬,MWI在黑市的广告中,宣称新版本集成了CVE-2016-4117漏洞(Adobe Flash Player)。
2016年8月底 发布了MWI8,同时支持以下漏洞。
| CVE-2010-3333 |
|---|
| CVE-2012-0158 |
| CVE-2013-3906 |
| CVE-2014-1761 |
| CVE-2015-1641 |
| CVE-2015-2545 |
| CVE-2016-4117 |
表:MWI8支持漏洞MWI曾经投递的恶意软件家族
| Andromeda | Fsysna | Sopinar |
|---|---|---|
| Badur | Gamarue | SpyGate |
| Bandok | Kasidet | Staser |
| Buhtrap | Limitail | Throwback |
| Carberp | NetWiredRC | Tinba |
| Corkow | Omaneat | Toshliph |
| Cromptui | Peaac | Trontoz |
| CryptoWall | Ransom | Vawtrak |
| Dofoil | Repezor | VBSFlood |
| Dyreza | Rovnix | Wauchos |
| Dyzap | Sekur | Zbot |
| Evotob | Sheldor |
表:恶意软件家族
后来MWI软件持续升级,杀软持续查杀,在这种对抗中,软件作者开始限制此软件的使用,要求购买MWI的用户只用在小规模的针对性攻击中,而不能大范围投递恶意邮件。减小被捕获的概率,增加生存时间。
由于只是小规模针对性投放,外界看来MWI好像是销声匿迹了。然而直到近期又捕获到一个利用了最近比较流行的漏洞CVE-2017-0199的版本,进一步证明了MWI的作者一直在持续迭代更新,犯罪团伙仍在利用此工具进行攻击活动。
参考文献
https://www.fireeye.com/blog/threat-research/2015/04/a_new_word_document.html
https://news.sophos.com/en-us/2015/09/02/microsoft-word-intruder-revealed-new-sophoslabs-research-goes-inside-a-malware-creation-kit/
https://securelist.com/the-curious-case-of-a-cve-2012-0158-exploit/37158/
http://www.securityweek.com/year-old-office-vulnerabilities-most-popular-current-attacks
https://www.proofpoint.com/uk/threat-insight/post/microsoft-word-intruder-8-adds-support-for-flash-vulnerability
*本文作者:瑞星;转载请注明来自 FreeBuf.COM
- 上一篇:内网安全系列|对后渗透中的探测入侵内网Web系统行为的检测(一)
- 下一篇: 本篇已是最新文章
发表评论
可怜了楼上
2017-11-10
回复
1楼
都是老技术,有点无聊,下面的人别喷我,换我我还真能写出来