<input id="eiiko"></input>
<menu id="eiiko"><blockquote id="eiiko"></blockquote></menu>
  • <bdo id="eiiko"><samp id="eiiko"></samp></bdo>
  • 疑似APT-C-27利用WinRAR漏洞的定向攻击活动分析

    2019-03-26 51702人围观 ,发现 4 个不明物体 系统安全

    背景

    2019年3月17日,360威胁情报中心截获了一例疑似“?#24179;?#40736;”APT组织(APT-C-27)利用WinRAR漏洞(CVE-2018-20250[6])针对中东地区的定向攻击样本。该恶意ACE压缩包内包含一个以恐怖袭击事件为诱饵的Office Word文档,诱使受害者解压文件,当受害者在本地计算机上通过WinRAR解压该文件后便会触发漏洞,漏洞利用成功后将内置的后门程序(Telegram Desktop.exe)?#22836;?#21040;用户计算机启动项目录中,当用户重启或登录系统都会执行该远控木马,从而控制受害者计算机。

    360威胁情报中心通过关联分析后发现,该攻击活动疑似与“?#24179;?#40736;”APT组织(APT-C-27)相关,并且经过进一步溯源与关联,我们还发现了多个与该组织相关的Android平台的恶意样本,这类样本主要伪装成一些常用软件向特定目标人?#33322;?#34892;攻击,结合恶意代码中与攻击者相关的文字内容,可以猜测攻击者也比较熟悉阿拉伯语。

    image.png

    后门程序(TelegramDesktop.exe)在VirusTotal上的检测情况

    样本分析

    360威胁情报中心针对该利用WinRAR漏洞的样本进行了分析,相关分析如下。

    利用恐袭事件诱导解压

    MD5 314e8105f28530eb0bf54891b9b3ff69
    文件名  

    该恶意压缩文件包含一个OfficeWord文档,文?#30340;?#23481;为一次恐怖袭击相关事件。中东地区由于其政治、地理等特殊性,该地区遭受恐怖袭击繁多,人民深受其害,所以该地区人民对于恐怖袭击等事件敏感,致使受害者解压文档的可能性增加:

    image.png

    诱饵文档翻译内容 

    用户如果解压该恶意压缩包,则会触发WinRAR漏洞,从而?#22836;?#20869;置的后门程序到用户启动目录中:

    image.png

    当用户重新启动计算机或登录系统后将执行?#22836;?#30340;后门程序Telegram Desktop.exe。

    Backdoor(Telegram Desktop.exe)

    文件名 Telegram Desktop.exe
    MD5 36027a4abfb702107a103478f6af49be
    SHA256 76fd23de8f977f51d832a87d7b0f7692a0ff8af333d74fa5ade2e99fec010689
    编译信息 .NET

    后门程序TelegramDesktop.exe会从PE资源中读取数据并写入到:%TEMP%\Telegram Desktop.vbs,随后执行该VBS脚本,并休眠17秒直到VBS脚本运行完成:

    image.png

    该VBS脚本的主要功能为通过Base64解码内置的字符串,并将解码后的字符串写入到文件:%TEMP%\Process.exe,最后执行Process.exe:

    image.png

    Process.exe执行后会在%TEMP%目录下创建文件1717.txt,并写入与最终执行的后门程序相关的数据,以供Telegram Desktop.exe后续使用:

    image.png

    随后TelegramDesktop.exe便会读取1717.txt文件的内容,并将其中的特殊字符替换:

    image.png

    之后再通过Base64解码数据,并在内存中加载执行解码后的数据:

    image.png

    最终在内存中加载执行的数据为njRAT后门程序,相关配置信息如下:

    image.png

    njRAT

    内存加载执行的njRAT后门程序会首先创建互斥量,保证只有一个实例运行:

    image.png

    并判?#31995;?#21069;运?#26032;?#24452;是否为配置文件中设置的路径,若不是则?#22870;?#33258;身到该路径启动执行:

    image.png

    随后关闭附件检查器?#22836;?#28779;墙:

    image.png

    并开启键盘记录线程,将键盘记录的结果写入注册表:

    image.png

    开启通信线程,与C&C地?#26041;?#31435;通信并接受命令执行:

    image.png

    该njRAT远控还具有远程SHELL、插件下载执行、远程桌面、文件管理等多个功能:

    image.png

    Android平台样本分析

    360威胁情报中心通过VirusTotal还关联到了“?#24179;?#40736;?#20445;ˋPT-C-27)APT组织最近使用的多个Android平台的恶意样本,其同样使用了82.137.255.56作为C&C地址(82.137.255.56:1740):

    image.png

    而近期关联到的Android平台后门样本主要伪装为Android系统更新、Office升级程序等常用软件。我们以伪装为Office升级程序的Android样本为例进行了分析,相关分析如下:

    文件MD5 1cc32f2a351927777fc3b2ae5639f4d5
    文件名 OfficeUpdate2019.apk

    该Android样本启动后,会诱导用户激活设备管理器,接着隐藏?#24613;?#24182;在后台运行:

    image.png

    诱导用户完成安装后,样本会展示如下界面:

    image.png

    接着样本将通过Android默认的SharedPreferences存储接口来获取上线的IP地址?#25237;?#21475;,如果获取不到,就解码默认的硬编码IP地址?#25237;?#21475;上线:

    image.png

    image.png

    相关IP地址的解码算法:

    image.png

    最终解码后的IP地址为:82.137.255.56,端口也是需要把硬编码后的端口?#30001;?00来得到最终的端口1740:

    image.png

    当连接C&C地址成功后,便会发送上线包、接受控制者的命令并执行。该样本具?#26032;?#38899;、拍照、GPS定位、上传联系人/通话记录/短信 /文件、执行云端命令等功能:

    image.png

    Android后门样本的相关指令及功能列表如下:

    指令 功能
    16 心跳打点
    17 connect
    18 获取指定文件的基本信息
    19 下载文件
    20 上传文件
    21 删除文件
    22 按照云端指令复制文件
    23 按照云端指令移动文件
    24 按照云端指令重命名文件
    25 运行文件
    28 按照云端指令创建目录
    29 执行云端命令
    30 执行一次ping命令
    31 获取并上传联系人信息
    32 获取并上传短信
    33 获取并上传通话记录
    34 开始录音
    35 停?#20849;?#19978;传录音文件
    36 拍照
    37 开始GPS定位
    38 停止GPS定位并上传位置信息
    39 使用云端发来的ip/port
    40 向云端报告当前使用的ip/port
    41 获取已安装应用的信息

    ?#26723;?#27880;意的是,在该样本回传的命令信息中包含了阿拉伯语的相关信息,因此我们推测攻击者有较大可能熟悉使用阿拉伯语:

    image.png

    溯源与关联

    通过查询本次捕获的后门程序C&C地址(82.137.255.56:1921)可知,该IP地址自2017年起便多?#20266;籄PT-C-27(?#24179;?#40736;)组织使用,该IP地址疑似为该组织的固有IP资产。通过360网络研究院大数据关联平台可以看到与该IP地址关联的多个样本信息:

    image.png

    通过360威胁情报中心威胁分析平台(ti.360.net)查询该C&C地址,也被打上了APT-C-27相关的标签:

    image.png

    并且从本次捕获到的相关木马样本(Windows和Android平台)的功能模块、代码逻辑、内置信息语言、目标人群、网络资产等信息都和早前曝光的APT-C-27[2]使用的木马样本信息高?#35748;?#20284;。所以360威胁情报中心认为本次截获的相关样本同样也与“?#24179;?#40736;”APT组织(APT-C-27)相关。

    总结

    正如我们的预测,利用WinRAR漏洞(CVE-2018-20250)传播恶意程序的攻击行为正处在爆发阶段,360威胁情报中心此前观察到多个利用此漏洞进行的APT攻击活动,而本次截获的疑似“?#24179;?#40736;”APT组织(APT-C-27)利用WinRAR漏洞的定向攻击活动仅仅只?#20405;?#22810;利用该漏洞实施定向攻击案例中的一例。因此360威胁情报中心再次提醒各用户及时做好该漏洞防护措施。(见“缓解措施”一节)

    缓解措施

    1、  软件厂商已经发布了最新的WinRAR版本,360威胁情报中心建议用户及?#22791;?#26032;升级WinRAR(5.70 beta 1)到最新版本,下载地址如下:

    32 位:http://win-rar.com/fileadmin/winrar-versions/wrar57b1.exe

    64 位:http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe

    2、  如暂时无法安?#23433;?#19969;,可以直?#30001;?#38500;漏洞的DLL(UNACEV2.DLL),这样不影响一般的使用,但是遇到ACE的文件会报错。

    目前,基于360威胁情报中心的威胁情报数据的全线产品,包括360威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、360 NGSOC等,都已经支持对此类攻击的精确检测。

    IOCs

    恶意ACE文件MD5
    314e8105f28530eb0bf54891b9b3ff69
    Backdoor(Telegram Desktop.exe) MD5
    36027a4abfb702107a103478f6af49be
    Process.exe
    ec69819462f2c844255248bb90cae801
    Backdoor MD5
    83483a2ca251ac498aac2abe682063da
    9dafb0f428ef660d4923fe9f4f53bfc0
    2bdf97da0a1b3a40d12bf65f361e3baa
    1d3493a727c3bf3c93d8fd941ff8accd
    6e36f8ab2bbbba5b027ae3347029d1a3
    72df8c8bab5196ef4dce0dadd4c0887e
    Android样本
    5bc2de103000ca1495d4254b6608967f(?? ???? – ???????? ??? ????.apk)
    ed81446dd50034258e5ead2aa34b33ed(chatsecureupdate2019.apk)
    1cc32f2a351927777fc3b2ae5639f4d5(OfficeUpdate2019.apk)
    PDB路径
    C:\Users\Albany\documents\visual studio 2012\Projects\New March\New March\obj\Debug\New March.pdb
    C:\Users\Albany\documents\visual studio 2012\Projects\March\March\obj\Debug\March.pdb
    C:\Users\Albany\documents\visual studio 2012\Projects\December\December\obj\Debug\December.pdb
    C&C
    82.137.255.56:1921
    82.137.255.56:1994
    82.137.255.56:1740

    参考链接

    [1].https://twitter.com/360TIC

    [2].https://ti.360.net/blog/articles/analysis-of-apt-c-27/(?#24179;?#40736;组织–叙利亚地区的定向攻击活动)

    [3]. https://mp.weixin.qq.com/s/dkyD2k6dqt5SYS7qLPOqfw(无法解密!首个利用WinRAR漏洞传播的未知勒索软件(JNEC)分析)

    [4].https://mp.weixin.qq.com/s/hAoee3Z90FyxSdomHfqZqA(警惕!WinRAR漏洞利用升级:社工、?#29992;堋?#26080;文件后门)

    [5].https://mp.weixin.qq.com/s/Hz-uN9VEejYN6IHFBtUSRQ(首个完整利用WinRAR漏洞传播的恶意样本分析)

    [6].https://research.checkpoint.com/extracting-code-execution-from-winrar/

    [7].https://ti.360.net/advisory/articles/360ti-sv-2019-0009-winrar-rce/

    *本文作者:360天眼实验室,转载请注明来自FreeBuf.COM

    发表评论

    已有 4 条评论

    取消
    Loading...
    css.php 天津11选5开奖
    <input id="eiiko"></input>
    <menu id="eiiko"><blockquote id="eiiko"></blockquote></menu>
  • <bdo id="eiiko"><samp id="eiiko"></samp></bdo>
  • <input id="eiiko"></input>
    <menu id="eiiko"><blockquote id="eiiko"></blockquote></menu>
  • <bdo id="eiiko"><samp id="eiiko"></samp></bdo>