歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

APT組織PLATINUM使用的兩種新后門

來源:本站整理 作者:佚名 時間:2019-06-17 TAG: 我要投稿

2018年6月,卡巴斯基實驗室曾在南亞和東南亞的一些國家發現過一組不同尋常的惡意軟件樣本,以外交、政府和軍事實體為攻擊目標。此次行動被稱為EasternRoppels,最早可追溯到2012年,其幕后推手可能與臭名昭著的PLATINUM APT組織有關。惡意軟件的特點是多階段執行,以及用了一種前所未見的隱寫技術來隱藏通信過程。
在感染的第一個階段,攻擊者通過WMI訂閱功能來運行初始PowerShell下載器,以下載另一個小型的PowerShell后門。我們在收集了許多初始WMI PowerShell腳本后發現,它們的硬編碼C2的IP地址、加密密鑰、用于加密(以及用于初始加載器)的鹽、每天活躍的時間往往都不甚相同。C2地址位于免費托管服務上,攻擊者使用了大量Dropbox帳戶來存儲payload和泄露數據。PowerShell后門的目的是執行系統的初始指紋識別,支持的命令很有限:下載/上傳文件,以及運行PowerShell腳本。
當時,我們正在調查另一個威脅,有一定的依據認為它是上述行動的第二階段。該階段有一個實現為DLL并作為WinSock NSP (Nameservice Provider)工作的后門,能在機器重啟后駐留。該后門與上述的PowerShell后門有幾個特征是相通的,例如具有硬編碼的活動時間,以及使用免費域作為C2地址等。前者還有一些非常特殊的功能,比如它可以使用文本隱寫術隱藏與C2服務器的所有通信。
經過深入分析,我們意識到這兩種威脅是相關的,此外,兩種攻擊使用了相同的域來存儲泄露數據。同時我們發現,有一些受害者會被兩種類型的惡意軟件感染。值得一提的是,在第二階段,所有可執行文件都受到runtime加密器的保護,在打開后出現了另一個以前未發現的后門,而這個后門已知與PLATINUM有關。
本文僅將描述之前未被發現的兩種后門。
隱寫術后門
核心二進制后門裝有一個dropper,當dropper運行時,會解密嵌入其“.arch”部分的文件:

接下來,它為后門操作創建目錄,并將惡意軟件相關文件保存在這些目錄中,使用的路徑通常是合法軟件使用的。
接著,惡意軟件會植入兩個文件:后門本身及其配置文件。
在此之后,dropper運行后門,安裝它以啟用持久性機制并自行刪除。配置文件都是.cfg或.dat的擴展名,使用AES-256 CBC加密并編碼,并包含以下選項:

· pr  – 即“輪詢重試”(Poll Retries),并指定惡意軟件向C&C服務器發送執行新命令請求的時間間隔(以分鐘為單位);
· ht  – 未使用;
· sl  – 指定惡意軟件開始運行的日期和時間。當日期到來時,惡意軟件會清除此選項。
· opt  – 代表“辦公時間”,指定了惡意軟件的活動的小時和分鐘數;
· die  – 代表“存活日期”,即惡意軟件在計算機內的存活天數;
· “p”部分列出了惡意軟件C&C地址;
· “t”部分列出了用于確保互聯網連接可用的合法URL。
持久性
核心后門實現為一個動態鏈接庫(DLL),包含一個名為“NSPStartup”的函數。后門植入后,安裝程序在WSCInstallNameSpace API函數的幫助下將后門注冊為winsock2的命名空間提供程序,并通過調用WSCEnableNSProvider運行。
因此,在系統啟動并初始化“svchost -k netsvcs”進程期間,已注冊的命名空間提供程序將被加載到進程的地址空間中,并調用函數“NSPStartup”。

C&C交互
啟動并運行后,后門會將當前時間與“存活日期”、激活日期和“辦公時間”值進行比較,并在“憑據存儲”和“受保護存儲”中查找有效的代理憑據。
當滿足所有規則時,后門連接到惡意軟件服務器并下載HTML頁面。
從表面上看,HTML顯示C&C服務器已關閉:

實際上是用到了隱寫技術。頁面包含嵌入的加密命令,加密的密鑰也嵌入在頁面中。嵌入數據使用兩種隱寫技術進行編碼,并放置在標記中(見下面)。

在第31行,屬性“align”,“bgcolor”,“colspan”和“rowspan”按字母順序列出,而在第32行,相同的屬性卻是以不同順序列出的。第一種隱寫技術基于HTML不關心標簽屬性順序的原則,我們可以通過遍歷屬性來編碼消息。上例中的第31行包含四個標簽,四個標簽中的排列數為4!= 24,因此該行編碼有log2(24)= 4位信息。后門會逐行解碼并收集數據的加密密鑰,該密鑰也位于編碼狀態的HTML標簽之中,但使用的是第二種隱寫技術。

上圖顯示,數據被編碼為以制表符分隔的空間組。每個組包含0到7個空格,空格的數量表示后面的3位數據。例如,第944行上的第一個組包含6個空格,因此它將被解碼為610 = 1102。
接著使用解碼后的AES-256 CBC密鑰對解碼后的數據進行解密。

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.pcpbjo.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        云南快乐十分前三电视