概述
奇安信威胁情报中心在日常威胁发现过程中发现一个专门针对金融、证券、软件、游戏等行业进行攻击的APT团伙,主要目的为敛财和发起供应链打击,盗用了大量的证券服务和软件公司的白证书,样本较为轻量化,外加带有窃取而来的白签名,免杀效果极好,较难发现。
经过溯源我们发现该团伙最晚于2019年末开始活跃,具有很强的渗透能力,代码能力较弱。通过使用Web层面的Nday漏洞的方式对目标进行渗透,横向移动拿到了域管的账号密码,经过长期摸排后向高价值人员的计算机中植入木马,我们将该团伙命名为EICAR Group,奇安信内部跟踪编号为APT-Q-28。
该攻击活动的第一阶段的木马多为.net编写的Downloader,攻击者会对不同变种的木马采用不同的执行策略,对于功能非常简单的变种,攻击者一般不会打上签名,以减少签名暴露的概率。后续持续化使用的dll由VC编写带有白签名。
与之前的文章类似,本文内容也仅仅是对在过去一段时间内攻击手法做一个分享,不讨论受害单位。
样本分析
攻击者在下发木马时,先尝试执行bitsadmin.exe从远程服务器拉取payload,但被拦截,后续通过csc.exe和cvtres.exe的现场编译方式生成对应的下载套件。
MD5 | 文件名 | 功能 |
01cc52333c576d36849cb0f118f04877 | F.exe | 下载者 |
a65d0d869958ce0d23ff9e466193ac59 | Fl.exe | 解密并内存加载 |
f.exe通过外部传参从远程服务器下载加密的shellcode输出到本地文件。
接着攻击者调用fl.exe,读取目录的文件解密并内存加载。
解密出来的shellcode如下,msf生成的payload:
攻击者在横向移动过程中还会调用wmic远程执行process call的方式启动相关进程,再次过程中使用了不同的downloader变种。
MD5 | 文件名 | 功能 |
9dc8cc19242c1f68de9690823ebbf1da | ro.exe | 下载并内存加载 |
核心逻辑如下:
MD5 | 文件名 | 功能 |
c813095a9314be9ab40f4013459c85de | www4.exe | 下载并内存加载 |
核心逻辑如下,C2硬编码。
MD5 | 文件名 | 功能 |
c813095a9314be9ab40f4013459c85de | www.exe | 下载并内存加载 |
带有签名,混淆版的downloader。
除此之外攻击者还会尝试调用msiexec去远程执行带有签名的msi文件。
MD5 | 文件名 | 功能 |
406af6c315bc156d217ed4bd413132ea | www4.msi | 下载并内存加载 |
被窃取的签名信息如下:
功能与上述一致。Msf在后续会下发一些如SharpChromium等开源的浏览器窃密器和键盘记录工具,获取目标机器上的敏感数据。
攻击者在释放VC编写的持久化模块时,会先执行wmic获取第三方软件的进程ID、文件路径、名称
wmic process where name="xshell.exe" get processid,executablepath,name
获取的第三方软件列表如下 |
Xshell |
Notepad++ |
7Zip |
xmanager enterprise |
Foxit reader |
dnplayer2 |
在对应软件的目录下释放名为Version.dll的后门模块用于持久化。
MD5 | 文件名 | 功能 |
98b34aded523537bf017af4611d823b0 ef2d17efa530c40fac08b04e66781a03 | version.dll | Loader执行 |
签名如下:
样本带有反沙箱的操作,解密执行msf payload
该团伙所用的msf payload中均出现了字符串:"$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*"。
经过查询我们发现该字符串的含义是反病毒软件测试文件,可能是国外友商之间的约定。
很显然该字符串是攻击者手动植入进shellcode中的,这引起了我们的兴趣。
测试文件滥用
2021年上半年我们内部跟踪某团伙时,发现样本后续解密的msf payload中也出现了这些字串, 我们暂且将该团伙命名为Group A,该团伙投递的样本均为SFX打包文件,样本如下:
SFX信息如下:
诱饵内容与新冠疫情、经费有关,txt诱饵如下:
jpg诱饵如下:
样本会判断当前语言,排除英文并检测虚拟机
解密payload。
最后进行内存加载。
解密后的msf payload如下:
我们并没有十足的把握确认Group A与EICAR Group存在强关联,无论是解密算法、攻击目标还是攻击手法均与EICAR Group不同。这意味着不止一个团伙喜欢在shellcode中插入测试文件字符串,也可能这些团伙向相同的供应商购买的木马,无论如何,这都值得我们对这种现象进行持续跟踪。
总结
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。
IOC
EICAR Group
MD5:
01cc52333c576d36849cb0f118f04877
a65d0d869958ce0d23ff9e466193ac59
9dc8cc19242c1f68de9690823ebbf1da
c813095a9314be9ab40f4013459c85de
c813095a9314be9ab40f4013459c85de
406af6c315bc156d217ed4bd413132ea
98b34aded523537bf017af4611d823b0
ef2d17efa530c40fac08b04e66781a03
CC:
www.yf*****fd.com
www.u****dg.com
www.h********fi.com
www.y*********ng.com
www.mic********ing.com
4*.**.**.2*0:80
4*.2**.1**.10*:80
4*.**.2**.14*:80
GroupA
CC:
1*0.*1*.2*.*52:3333
4*.2*6.1*7.1*9:5656
1*5.*4.1*3.*0*:5656
9*.2**.1*9.5*:5555
声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
