krone
VIP Members
-
26/07/2016
-
141
-
259 bài viết
Rehashed RAT được sử dụng trong chiến dịch tấn công APT nhắm vào các tổ chức Việt Nam
Gần đây, FortiGuard Labs gặp một số tài liệu nhiễm mã độc khai thác lỗ hổng CVE-2012-0158. Để tránh bị nghi ngờ, các tệp RTF này sẽ ngụy trang thành các file văn bản có nội dung là các vấn đề liên quan đến chính phủ Việt Nam. Theo các chuyên gia, dựa vào các domain C&C server có thể thấy chiến dịch tấn công này được thực hiện bởi nhóm hacker Trung Quốc 1937CN. Trong bài viết này, chúng tôi sẽ tìm hiểu về phần mềm độc hại được sử dụng và sẽ cố gắng cung cấp nhiều thông tin về những kẻ đứng đầu chiến dịch này.
Khi tài liệu được mở ra, mã độc thả một số tệp trong một trong những thư mục sau:
%AppData%\Microsoft\Credentials
%AppData%\Microsoft\SystemCertificates
%AppData%\Microsoft\Windows\Templates
Một số mẫu thả các tệp sau:
SC&Cfg.exe – signed legitimate McAfee AV application
Vsodscpl.dll – contains the malware file
Những mẫu khác thả các tập tin sau đây:
Systemm.exe - signed legitimate GoogleUpdate.exe version 1.3.30.3
Systemsfb.ebd - encrypted blob containing malware file
Goopdate.dll – decrypter and loader of malware file
Tương tự như các cuộc tấn công khác của APT, chẳng hạn như MONSOON APT, APT này sử dụng tấn công DLL để trốn tránh các công nghệ giám sát hành vi của các chương trình an ninh.
DLL Hijacking
DLL hijacking là một kỹ thuật được sử dụng bởi một số phần mềm độc hại APT trong đó thay vì ứng dụng hợp pháp (.exe) tải các DLL lành tính, ứng dụng bị lừa vào tải một DLL chứa mã độc hại. Kỹ thuật này được sử dụng để tránh Host Intrusion Prevention System (HIPS) của các chương trình bảo mật giám sát các hành vi của các tập tin executive.
Hầu hết các công cụ HIPS whitelist chữ ký vào các tập tin hoặc files đáng tin cậy, do đó loại trừ phần mềm độc hại được tải bằng cách sử dụng DLL chiếm quyền điều khiển bằng các file đã đăng ký từ giám sát hành vi.
Trong bối cảnh cuộc tấn công này, taskeng.exe và SC & Cfg.exe đã đăng ký các ứng dụng hợp pháp; tuy nhiên, họ bị lừa khi tải phần mềm độc hại được ngụy trang dưới dạng tệp Goopdate.dll và Vsodscpl.dll hợp pháp.
Tiếp theo, Taskeng.exe cần tải và nhập một số chức năng từ tệp Goopdate.dll gốc; tuy nhiên, Goopdate.dll bị tấn công để chứa mã độc hại, có hiệu quả thay đổi việc thực hiện mã ban đầu để thực hiện mã độc hại.
Theo cùng một cách, SC & Cfg.exe nhập vào các "dll_wWinMain" chức năng từ vsodscpl.dll ban đầu, nhưng DLL này đã bị tấn công và cũng có chứa mã độc hại.
Một khi các DLL độc hại được nạp, các DLL giải mã (từ psisrndrx.ebd (trường hợp đầu tiên) hoặc từ phần body của nó (trường hợp 2)) và tải một Trojan downloader. Trojan downloader là một file DLL. Nó không được lưu trên đĩa cứng nhưng được thực hiện trong bộ nhớ. Ngoài ra, Trojan downloader thực tế trong bộ nhớ khi dump sẽ không chạy. Điều này là do 'MZ' trong IMAGE_DOS_HEADER, stub DOS và chữ ký 'PE' đã được cố tình xóa. Điều này đã được thực hiện để ngăn chặn các tập tin dumped được phân tích đúng trong một trình sửa lỗi và decompiler, tuy nhiên, chúng ta có thể dễ dàng sửa chữa bãi chứa bằng cách thêm 'MZ', một stub DOS và chữ ký 'PE'.
Trình tải xuống Trojan này tải về một RAT (Remote Access Trojan), tôi sẽ gọi là "NewCore" RAT, từ các domain sau:
web.thoitietvietnam.org
dalat.dulichovietnam.net
halong.dulichculao.com
Trojan Downloader
Trình tải Trojan đầu tiên tạo ra một mục nhập registry tự khởi động để nó chạy bất cứ khi nào máy khởi động lại:
HKLM/HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Windows Media = “%AppData%\Microsoft\Credentials\.exe”
Là một anti-VM, nó kiểm tra xem môi trường có khóa registry:
HKCR\Applications\VMwareHostOpen.exe
Trước khi có thể tải về NewCore RAT, nó cần phải gửi các thông tin sau đến máy chủ C&C:
Response là một dữ liệu được mã hóa XOR bao gồm NewCore RAT được mã hóa.
NewCore Remote Access Trojan
Tôi đã đặt tên NewCore RAT này sau khi chúng tôi tìm thấy tên dự án được sử dụng bởi tác giả, được chỉ ra trong chuỗi tệp PDB sau:
Malware project name
Theo tem thời gian biên dịch của nó, phần mềm độc hại này được biên soạn vào ngày 16 tháng 3 năm 2017.
Tuy nhiên, theo văn bản này, chỉ có một vài công cụ Antivirus, bao gồm Fortinet phát hiện phần mềm độc hại này theo VirusTotal.
RAT này là một tệp DLL. Các hành vi độc hại của nó được chứa trong chức năng import của nó "ProcessTrans". Nó cung cấp cho các chức năng các máy chủ C&C và một xử lý với các máy chủ C&C session trên mạng. Trong trường hợp này, phát hiện Heuristic dựa trên hành vi sẽ không hoạt động trên DLL độc lập.
RAT này có khả năng như sau:
Dựa trên các chuỗi tìm thấy trong body của nó, phần mềm độc hại này có thể đã được bắt nguồn từ backcalls PcClient và PcCortr có mã nguồn được công bố công khai. Đặc biệt là các diễn đàn viết mã tiếng Trung. Các phát hiện PcClient thường bao gồm PcCortr.
PcClient đã được sử dụng trong quá khứ bởi một số nhóm APT như Nitro, cũng đã được liên kết với một hacker ở Trung Quốc.
Theo chuỗi tệp PDB được nhúng trong cơ thể RAT NewCore, người tạo project là người sử dụng handle "hoogle168".
Chúng tôi có ít đầu mối về việc ai là người này, vì vậy chúng tôi đã cố gắng tìm kiếm thông tin về xử lý này. Cuộc điều tra của chúng tôi dẫn chúng tôi đến một số trang diễn đàn ngôn ngữ Trung Quốc. Nhìn vào các diễn đàn này, có vẻ như một người dùng sử dụng trình điều khiển "hoogle168" rất tích cực trên một diễn đàn mã hóa nhất định và thông thạo về C và VC ++. Người sử dụng này thậm chí đã trả lời một chủ đề và đưa ra lời khuyên về những gì để tìm hiểu để phát triển phần mềm điều khiển từ xa. Chúng tôi không biết chắc chắn nếu người này là tác giả của NewCore.
Solution:
Để ngăn kích hoạt tính năng khai thác RTF này, điều quan trọng là phải áp dụng các bản vá lỗi do Microsoft đưa ra để đề cập đến lỗ hổng CVE-2012-0158. Fortinet cũng bao gồm phát hiện các mối đe dọa này như là khai thác MSOffice / Dropper !.VE20120158 cho các tập tin RTF độc hại, và W32 / NewCore.A! Tr.bdr cho payload. Các URL C&C cũng bị chặn sử dụng Bộ lọc Web FortiGuard của Fortinet.
Conclusion:
NewCore RAT có thể chỉ là một PcClient RAT đã được sửa lại nhưng nó tỏ ra có hiệu quả trong việc tránh sự phát hiện AV bằng cách sử dụng một sự kết hợp của các kỹ thuật đơn giản như tấn công DLL, không ít tệp thực thi của phần mềm độc hại đã tải xuống và chuyển thông tin C&C dưới dạng thông số từ trình tải xuống vào tệp đã tải xuống.
P/s: "Lời cảm ơn từ Fortiguard Labs đến Tien Phan(I don’t who is this guy) vì những kiến thức thiếu sót."
Nguồn: Blog of Fortigate Blog, Fortiguard Labs topic về tấn công APT.
Mẫu tài liệu
Khi tài liệu được mở ra, mã độc thả một số tệp trong một trong những thư mục sau:
%AppData%\Microsoft\Credentials
%AppData%\Microsoft\SystemCertificates
%AppData%\Microsoft\Windows\Templates
Một số mẫu thả các tệp sau:
SC&Cfg.exe – signed legitimate McAfee AV application
Vsodscpl.dll – contains the malware file
Những mẫu khác thả các tập tin sau đây:
Systemm.exe - signed legitimate GoogleUpdate.exe version 1.3.30.3
Systemsfb.ebd - encrypted blob containing malware file
Goopdate.dll – decrypter and loader of malware file
Tương tự như các cuộc tấn công khác của APT, chẳng hạn như MONSOON APT, APT này sử dụng tấn công DLL để trốn tránh các công nghệ giám sát hành vi của các chương trình an ninh.
DLL Hijacking
DLL hijacking là một kỹ thuật được sử dụng bởi một số phần mềm độc hại APT trong đó thay vì ứng dụng hợp pháp (.exe) tải các DLL lành tính, ứng dụng bị lừa vào tải một DLL chứa mã độc hại. Kỹ thuật này được sử dụng để tránh Host Intrusion Prevention System (HIPS) của các chương trình bảo mật giám sát các hành vi của các tập tin executive.
Hầu hết các công cụ HIPS whitelist chữ ký vào các tập tin hoặc files đáng tin cậy, do đó loại trừ phần mềm độc hại được tải bằng cách sử dụng DLL chiếm quyền điều khiển bằng các file đã đăng ký từ giám sát hành vi.
Trong bối cảnh cuộc tấn công này, taskeng.exe và SC & Cfg.exe đã đăng ký các ứng dụng hợp pháp; tuy nhiên, họ bị lừa khi tải phần mềm độc hại được ngụy trang dưới dạng tệp Goopdate.dll và Vsodscpl.dll hợp pháp.
Taskeng.exe and SC&Cfg.exe file information
Tiếp theo, Taskeng.exe cần tải và nhập một số chức năng từ tệp Goopdate.dll gốc; tuy nhiên, Goopdate.dll bị tấn công để chứa mã độc hại, có hiệu quả thay đổi việc thực hiện mã ban đầu để thực hiện mã độc hại.
Đoạn trích từ taskenge.exe load goopdate.dll
Theo cùng một cách, SC & Cfg.exe nhập vào các "dll_wWinMain" chức năng từ vsodscpl.dll ban đầu, nhưng DLL này đã bị tấn công và cũng có chứa mã độc hại.
Bảng nhập SC & Cfg.exe có chứa import từ vsodscpl.dll
Một khi các DLL độc hại được nạp, các DLL giải mã (từ psisrndrx.ebd (trường hợp đầu tiên) hoặc từ phần body của nó (trường hợp 2)) và tải một Trojan downloader. Trojan downloader là một file DLL. Nó không được lưu trên đĩa cứng nhưng được thực hiện trong bộ nhớ. Ngoài ra, Trojan downloader thực tế trong bộ nhớ khi dump sẽ không chạy. Điều này là do 'MZ' trong IMAGE_DOS_HEADER, stub DOS và chữ ký 'PE' đã được cố tình xóa. Điều này đã được thực hiện để ngăn chặn các tập tin dumped được phân tích đúng trong một trình sửa lỗi và decompiler, tuy nhiên, chúng ta có thể dễ dàng sửa chữa bãi chứa bằng cách thêm 'MZ', một stub DOS và chữ ký 'PE'.
Missing header items as anti-analysis
Trình tải xuống Trojan này tải về một RAT (Remote Access Trojan), tôi sẽ gọi là "NewCore" RAT, từ các domain sau:
web.thoitietvietnam.org
dalat.dulichovietnam.net
halong.dulichculao.com
Trojan Downloader
Trình tải Trojan đầu tiên tạo ra một mục nhập registry tự khởi động để nó chạy bất cứ khi nào máy khởi động lại:
HKLM/HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Windows Media = “%AppData%\Microsoft\Credentials\.exe”
Là một anti-VM, nó kiểm tra xem môi trường có khóa registry:
HKCR\Applications\VMwareHostOpen.exe
Trước khi có thể tải về NewCore RAT, nó cần phải gửi các thông tin sau đến máy chủ C&C:
- OS version
- Processor speed
- Number of processors
- Physical memory size
- Computer name
- User name
- User privilege
- Computer IP address
- Volume serial number
GET request đến C&C server
Response là một dữ liệu được mã hóa XOR bao gồm NewCore RAT được mã hóa.
Response from the server
Giải mã XOR của response từ máy chủ C&C
NewCore Remote Access Trojan
Tôi đã đặt tên NewCore RAT này sau khi chúng tôi tìm thấy tên dự án được sử dụng bởi tác giả, được chỉ ra trong chuỗi tệp PDB sau:
Malware project name
Theo tem thời gian biên dịch của nó, phần mềm độc hại này được biên soạn vào ngày 16 tháng 3 năm 2017.
Compilation time
Tuy nhiên, theo văn bản này, chỉ có một vài công cụ Antivirus, bao gồm Fortinet phát hiện phần mềm độc hại này theo VirusTotal.
VirusTotal positives
RAT này là một tệp DLL. Các hành vi độc hại của nó được chứa trong chức năng import của nó "ProcessTrans". Nó cung cấp cho các chức năng các máy chủ C&C và một xử lý với các máy chủ C&C session trên mạng. Trong trường hợp này, phát hiện Heuristic dựa trên hành vi sẽ không hoạt động trên DLL độc lập.
RAT này có khả năng như sau:
- Shutdown the machine
- Restart the machine
- Get disk list
- Get directory list
- Get file information
- Get disk information
- Rename files
- Copy files
- Delete files
- Execute files
- Search files
- Download files
- Upload files
- Screen monitoring
- Start command shell
Shutdown and restart machine commands
File manager, monitor screen, command shell commands
File manager subcommands
Dựa trên các chuỗi tìm thấy trong body của nó, phần mềm độc hại này có thể đã được bắt nguồn từ backcalls PcClient và PcCortr có mã nguồn được công bố công khai. Đặc biệt là các diễn đàn viết mã tiếng Trung. Các phát hiện PcClient thường bao gồm PcCortr.
Chuỗi liên quan đến các mô-đun PcCortr
Các mã nguồn PcClient và PcCortr có thể được tải về từ các diễn đàn viết mã của Trung Quốc.
PcClient đã được sử dụng trong quá khứ bởi một số nhóm APT như Nitro, cũng đã được liên kết với một hacker ở Trung Quốc.
Theo chuỗi tệp PDB được nhúng trong cơ thể RAT NewCore, người tạo project là người sử dụng handle "hoogle168".
Chúng tôi có ít đầu mối về việc ai là người này, vì vậy chúng tôi đã cố gắng tìm kiếm thông tin về xử lý này. Cuộc điều tra của chúng tôi dẫn chúng tôi đến một số trang diễn đàn ngôn ngữ Trung Quốc. Nhìn vào các diễn đàn này, có vẻ như một người dùng sử dụng trình điều khiển "hoogle168" rất tích cực trên một diễn đàn mã hóa nhất định và thông thạo về C và VC ++. Người sử dụng này thậm chí đã trả lời một chủ đề và đưa ra lời khuyên về những gì để tìm hiểu để phát triển phần mềm điều khiển từ xa. Chúng tôi không biết chắc chắn nếu người này là tác giả của NewCore.
Solution:
Để ngăn kích hoạt tính năng khai thác RTF này, điều quan trọng là phải áp dụng các bản vá lỗi do Microsoft đưa ra để đề cập đến lỗ hổng CVE-2012-0158. Fortinet cũng bao gồm phát hiện các mối đe dọa này như là khai thác MSOffice / Dropper !.VE20120158 cho các tập tin RTF độc hại, và W32 / NewCore.A! Tr.bdr cho payload. Các URL C&C cũng bị chặn sử dụng Bộ lọc Web FortiGuard của Fortinet.
Conclusion:
NewCore RAT có thể chỉ là một PcClient RAT đã được sửa lại nhưng nó tỏ ra có hiệu quả trong việc tránh sự phát hiện AV bằng cách sử dụng một sự kết hợp của các kỹ thuật đơn giản như tấn công DLL, không ít tệp thực thi của phần mềm độc hại đã tải xuống và chuyển thông tin C&C dưới dạng thông số từ trình tải xuống vào tệp đã tải xuống.
P/s: "Lời cảm ơn từ Fortiguard Labs đến Tien Phan(I don’t who is this guy) vì những kiến thức thiếu sót."
Nguồn: Blog of Fortigate Blog, Fortiguard Labs topic về tấn công APT.
Chỉnh sửa lần cuối bởi người điều hành:
.