近日,兰云科技在某客户局点监测发现了一批未知威胁样本,样本被检测到有CVE-2017-11882漏洞利用,并报告为高风险事件。经过分析,该样本的攻击手法与 APT 组织“响尾蛇”非常相像,经过进一步分析,样本对应局点确认遭受到了APT 组织“响尾蛇”攻击。
在 “兰眼下一代威胁感知系统” 对该样本检测情况截图如下:
以下为 APT 组织“响尾蛇”对该组织单位机构的攻击流程,如图 2.1 所示
诱饵文件为 Office 中的 RTF 文档,文档内容与某科技研究中心有限公司有关,如图 3.1.1 所示:
利用 RTF 扫描工具对文档进行扫描,结果如图 3.2.1 所示:
从上面扫描结果来看,扫出来了一段 shellcode,再查看 dump 出来的数据,可以发现有不少东西,如图 3.2.2 所示:
从圈出来的可以明显地察觉到这段 shellcode 在利用公式编辑器,另外还有一些敏感的 API 字眼。根据以往经验,可初步断定这是在利用 Office 中的栈溢出漏洞,经结构判定该漏洞为 CVE-2017-11882,这个漏洞也是 APT 组织经常利用的一个漏洞。我们再来看看第一个 dump 出来的文件,虽然没扫出 shellcode,但还是不妨看一看,如图 3.2.3 所示:
在第一个 dump 出来的文件中,发现有 Package,这个 Package 会在双击文档时自动释放,路径为 %temp% 目录下,文件名为 1.a,除此之外,还发现了 Javascript 的关键字,由此可知,这个 1.a 文件为一个 Javascript 脚本文件,代码如图 3.2.4 所示:
以上就完成了诱饵文件的第一个任务:在 %temp% 目录下释放 1.a 这个 Javascript 文件,等待下一步操作。
在完成上述释放 1.a 这个操作后,紧接着便是触发漏洞执行 Shellcode,这段 Shellcode 会在内存中解密出另一个 Javascript 脚本文件,解密后如图 3.3.1 所示:
从上图可知这个脚本文件会去执行 1.a,1.a 会将下面这个字符串解密成 dll 数据,为 StInstaller.dll,如图 3.3.2 所示:
至此 Shellcode 的工作也完成了。
主体为 StInstaller.dll,该 dll 会在生成目录 C:\ProgramData\AuthyFiles,并在目录下释放以下文件,如图 3.4.1 所示:
PROPSYS.dll:此文件为伪造的系统 dll 文件,目的是要 write.exe 去加载它;
qwWtVpw.tmp(文件名随机):这个文件比较重要;
write.exe:从系统目录拷贝过来的正常写字板程序,用来加载恶意的 PROPSYS.dll 文件;
write.exe.config:配置文件,考虑到 NET 版本问题;
除释放外,还把 write.exe 设置为注册表自启动项,如图 3.4.2 所示:
以下为释放文件的主要文件详细分析。
该 dll 为一个 .NET 程序,如图 3.4.1.1 所示:
对 PROPSYS.dll 进行反编译后,结果如图 3.4.1.2 所示:
该 dll 的主要作用是用来对 tmp 文件进行解密。解密关键部分如图 3.4.1.3 所示:
图 3.4.1.3
该 tmp 文件的文件名为随机命名,并也会产生一个 dll 文件,名为 SystemApp.dll,这个 dll 是由上述 tmp 文件的前 32 字节作为密钥循环解密后 32 字节数据,如图 3.4.2.1 所示:
由上可看到,通过解密两个字符已经露出 MZ 标志了,通过这个标志可知这是一个 PE 文件,该文件的密钥为:
8824E3C0 8AB18617 3CA6545A 83279433 DE9ADF6E 3751C5D9 6CD88810 67456A2E
通过自动化解密工具可将其数据批量解出,配置好规则即可,如图 3.4.2.2 所示:
完整解密后如图 3.4.2.3 所示:
通过上图的结构可知,这明显为一个 PE 文件,再由 IMAGE_FILE_DLL 字段值为 1 可知该文件为一个 dll 文件。如图 3.4.2.4 所示:
该 dll 文件为一个 .NET 程序,如图 3.4.2.5 所示:
将 dll 进行反编译后,查看源代码,主要作用为收集用户机器上的信息,设置两个定时器线程,每 5 秒执行一次,分别用于远程下载执行和上传数据,主线程用于收集信息,如图 3.4.2.6 所示
在开始收集之前,程序会先去加载 Default 配置,如图 3.4.2.7 所示:
收集信息相关,如图 3.4.2.8 所示:
收集来的信息经过加密(DecodeDate)后存放在用户注册表目录下,如图 3.4.2.9 所示:
通过分析发现,这个键值隔一小段时间会发现变化,上图只是随机捕获到的一个键值,将其解密后如图 3.4.2.10 所示:
从上图可以看出,它在收集电脑上的 office 文档信息,除此之外,还发现有一条网址,该网址经分析为上传服务器端网址(CC),并且会随着键值数据变化而变化,该网址为:
hxxps://trans-can.net/ini/CgybmDNw9ksnrELyRJUjbT0ou6ncuW1c2CrZAcWo/-1/1410/bd213508
在反编译代码中,发现硬编码的地址,如图 3.4.2.11 所示:
硬编码的地址为:
hxxps://trans-can.net/ini/CWybmDNw9ksnrELyRJUjbT0ou6ncuW1c2srZAcWo/-1/1410/bd213508
请求 URL,远程下载恶意资源然后解密装载执行,如图 3.4.2.12 所示:
将收集来的信息上传后删除,如图 3.4.2.13 所示:
收集的信息如图 3.4.2.14 所示:
write.exe.config 文件为一个配置文件,文件内容如图 3.4.3.1 所示:
从 xml 配置代码上来看,其目的是为了不同 .NET 版本出现兼容性问题。
根据木马程序的CC域名在威胁情报平台进行查询,基本确认是APT 组织“响尾蛇”实施的攻击。如图 4.1 所示:
整个攻击过程大致流程如下:
· 攻击者将含有诱饵文档的邮件投递到受害人或组织机构单位的邮箱;
· 若受害者运行了文档,则会向 %temp% 目录下释放 1.a 脚本文件;
· 释放后触发 CVE-2017-11882 漏洞执行 Shellcode 解密出另一个 js 脚本;
· 解密出来的 js 脚本会去执行 1.a,再次解密出 StInstaller.dll;
· StInstaller.dll 会创建 C:\ProgramData\AuthyFiles 目录,生成一个随机命名的 tmp 文件、PROPSYS.dll 以及一个配置文件,并从系统目录下拷贝正常的 write.exe 文件到工作目录下并执行 write.exe(加载 PROPSYS.dll),除此之外,还会将 write.exe 设置为注册表自启动项;
tmp 文件会解密出,该会去收集文档内容、系统信息、磁盘信息等上传到指定的服务云端。
若不幸中了该木马,可采取如下措施进行处置:
· 立即结束 write.exe 进程;
· 将 C:\ProgramData\AuthyFiles 目录以及目录下的所有文件删除;
· 将注册表中的自启动项中名为 authy 键删除;
· 打上 CVE-2017-11882 漏洞补丁[1];
· 为进一步加固,可禁用 Office 公式编辑器[2];
URL:
[1] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882
[2] https://support.microsoft.com/zh-cn/help/4055535/how-to-disable-equation-editor-3-0
建议在互联网出口处部署“兰眼下一代威胁感知系统”等基于全流量进行威胁监测和分析的产品,可及时感知各类恶意流量,发现各类新型木马病毒在网内的活动情况,有效保护企业的网络信息安全。
在终端上,建议不要打开来历不明的邮件,及时更新系统、软件补丁:同时安装有效的安全软件加强防御。
MD5:
BFAD291D000B56DDD8A331D7283685B2
45F9C86D7539995DBC67DB9155EE857F
086A5C197814CAFC9B74E1BD5A8111FD
6E8EACC0B339365D79A2C06896865D3D
70ECD7E0BDF8F8D01F7F58BE6525E079
3B70A0FBCC1FDF0C24CE298EF6A48E6C
URL:
hxxps://trans-can.net/ini/CgybmDNw9ksnrELyRJUjbT0ou6ncuW1c2CrZAcWo/-1/1410/bd213508
hxxps://trans-can.net/ini/CWybmDNw9ksnrELyRJUjbT0ou6ncuW1c2srZAcWo/-1/1410/bd213508
京公网安备 11010802024705号 京ICP备20030588号 Copyright © 兰云科技 www.lanysec.com 版权所有