概述
奇安信威胁情报中心一直在持续跟踪南亚方向的众 多 APT 攻击集合,发表了多篇系统性的技术报告:Operation Magichm[1]、Operation Angi[2]、operation Tejas[3]等,从 2019 年至今这些组织的手法几乎没有太大的变化,攻击技术上限较低,但通过广撒网的钓鱼模式仍能对政企客户造成一定程度的影响。
如何免杀是 Bitter 组织(APT-Q-37)一直以来为之奋斗的首要目标,抛开初始攻击载荷 chm、lnk 等过时技术不谈,仅后续下发的 wmrat 和 .net 特马都很难绕过特征查杀功能,攻击者在今年一直在尝试各种方法:6 月份通过 powershell 加载 havoc 框架、7 月份直接下发 2018 年就在使用的窃密插件,效果都不太理想,最终在 9 月份下发了全新的特马 MiyaRat 并被我们成功捕获。
我们建议政企客户在办公区和服务器区同时部署天擎EDR,在开启云查功能下可以实现对 chm、lnk 等通用威胁的发现和拦截。
MiyaRat指令分析
Bitter 使用的新型木马基本信息如下,PDB 显示该木马被攻击者命名为 “Miya”,当前版本为 1.1。
MD5 | 6edc889abbc186fbd5e187818d916dee |
文件名 | mspnx.exe |
文件大小 | 410.00 KB (419840字节) |
PDB路径 | C:\\DRIVE_Y\\EDRIVE\\repos\\Miyav1.1_client_msi\\Release\\Miya1.1_client.pdb |
该木马由 MSI 文件释放,MSI 文件信息如下:
MD5 | 5ff5e38943a134847e762f480dc84e09 |
文件名 | mspnx.msi |
文件大小 | 466.00 KB (477184字节) |
下载链接 | hxxp://locklearhealthapp.com/mspnx.msi |
木马首先解密出 C2 域名 "samsnewlooker.com"。
解密方式为按字节减去 key,用于解密的 key 被设为 "doobiedoodoozie"。
木马的主体功能在函数 sub_406960 中,调用 WSAConnectByNameW 连接 C2 服务器的 56172 端口。
收集一系列信息发送给 C2 服务器,包括:磁盘信息、机器名、用户名、木马文件路径、%userprofile%环境变量、系统版本。
发送完收集的信息后,木马进入等待接收C2服务器下发指令的循环过程。木马支持的功能包括:文件信息枚举、命令执行、文件上传和下载、截屏等。下面对该木马涉及的指令依次进行介绍。
木马指令整理如下:
指令代码 | 功能 |
GDIR | 列举指定目录下的文件和子目录信息,不遍历子目录 |
DELz | 删除指定文件 |
GFS | 递归枚举指定目录的所有文件信息 |
SH1cmd | 创建命令执行的shell |
SH1, SH2 | 将命令传入shell |
SFS | 连接C2服务器指定端口进行文件传输操作,二级指令UPL1上传文件,DWNL下载文件 |
GSS | 截屏 |
SH1exit_client | 退出木马进程 |
(1)GDIR
列举指定目录下的文件和子目录信息,类似 Windows 的 dir 命令或 Linux 的 ls 命令。列举信息包括文件和子目录名称、最近修改时间以及文件大小。目录枚举信息以 "[END]~!@" 结尾。
(2)DELz
删除指定文件。
(3)GFS
递归枚举指定目录的所有文件信息,包括每个文件的路径和大小。在发送给 C2 服务器信息的首行包含所有文件的总大小,输出信息用 "@@GFS" 标识。
(4)SH1cmd
创建一个 cmd.exe 进程作为 shell,执行管道传入的 cmd 指令,并将执行结果返回给 C2 服务器。
(5)SH1 & SH2
SH1 和 SH2 两个指令功能几乎一致,将参数携带的 cmd 指令写入命令管道,用于 shell 执行。
(6)SFS
SFS 指令用于上传和下载文件,但该指令并不直接执行文件传输操作。该指令的参数为端口号,在 sub_404640(MwFileOp)函数中调用 WSAConnectByNameW 连接同一 C2 服务器的另一个指定端口,木马与该端口进行文件传输。
MwFileOp 函数有两个二级指令 "UPL1" 和 "DWNL",分别完成文件上传和下载操作。
文件传输指令 | 格式 |
UPL1 | UPL1 <上传文件路径> |
DWNL | DWNL <下载文件保存路径>,filesize==<接收文件大小> |
在文件下载过程中,C2 服务器如果发送 "CANCEL2",木马可以提前结束文件下载,不用等待接收完指定数量的文件数据。
(7)GSS
获取截屏,该指令的参数可以选择截屏保存图片的分辨率。输出信息用 "~!@SSS" 和 "~!@SSE" 标识截屏数据的开始和结束位置。
(8)SH1exit_client
退出木马进程。
总结
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。
IOC
MD5:
6edc889abbc186fbd5e187818d916dee
b45c97ae0af336048529b8a3ef1749a5
0b8a556b9ce94a0559f153bf62ba2693
d9159838e82ea73effc18ef5b958dacd
26ed92fef383dfea8c40e4fd38668379
CC:
23.26.55.9:443(havoc)
samsnewlooker.com
96.9.215.155:56172
wmiapcservice.com
185.106.123.198:40269
locklearhealthapp.com
URL:
https://maxnursesolutions.com/cssvr.jpg
https://nurekleindesign.com/toronto.bin
https://viyoappmapper.com/flv.ol
https://locklearhealthapp.com/mspnx.msi
https://locklearhealthapp.com/mayred.msi
参考链接
[1].https://ti.qianxin.com/blog/articles/%22operation-magichm%22:CHM-file-release-and-subsequent-operation-of-BITTER-organization/
[2].https://www.secrss.com/articles/31785
[3].https://ti.qianxin.com/blog/articles/operation-tejas-a-dead-elephant-curled-up-in-the-kunlun-mountains/
声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。