概述

奇安信威胁情报中心一直在持续跟踪南亚方向的众 多 APT 攻击集合,发表了多篇系统性的技术报告:Operation Magichm[1]、Operation Angi[2]、operation Tejas[3]等,从 2019 年至今这些组织的手法几乎没有太大的变化,攻击技术上限较低,但通过广撒网的钓鱼模式仍能对政企客户造成一定程度的影响。

如何免杀是 Bitter 组织(APT-Q-37)一直以来为之奋斗的首要目标,抛开初始攻击载荷 chm、lnk 等过时技术不谈,仅后续下发的 wmrat 和 .net 特马都很难绕过特征查杀功能,攻击者在今年一直在尝试各种方法:6 月份通过 powershell 加载 havoc 框架、7 月份直接下发 2018 年就在使用的窃密插件,效果都不太理想,最终在 9 月份下发了全新的特马 MiyaRat 并被我们成功捕获。

我们建议政企客户在办公区和服务器区同时部署天擎EDR,在开启云查功能下可以实现对 chm、lnk 等通用威胁的发现和拦截。

MiyaRat指令分析

Bitter 使用的新型木马基本信息如下,PDB 显示该木马被攻击者命名为 “Miya”,当前版本为 1.1。

MD5

6edc889abbc186fbd5e187818d916dee

文件名

mspnx.exe

文件大小

410.00 KB (419840字节)

PDB路径

C:\\DRIVE_Y\\EDRIVE\\repos\\Miyav1.1_client_msi\\Release\\Miya1.1_client.pdb

该木马由 MSI 文件释放,MSI 文件信息如下:

MD5

5ff5e38943a134847e762f480dc84e09

文件名

mspnx.msi

文件大小

466.00 KB (477184字节)

下载链接

hxxp://locklearhealthapp.com/mspnx.msi

木马首先解密出 C2 域名 "samsnewlooker.com"。

解密方式为按字节减去 key,用于解密的 key 被设为 "doobiedoodoozie"。

木马的主体功能在函数 sub_406960 中,调用 WSAConnectByNameW 连接 C2 服务器的 56172 端口。

收集一系列信息发送给 C2 服务器,包括:磁盘信息、机器名、用户名、木马文件路径、%userprofile%环境变量、系统版本。

发送完收集的信息后,木马进入等待接收C2服务器下发指令的循环过程。木马支持的功能包括:文件信息枚举、命令执行、文件上传和下载、截屏等。下面对该木马涉及的指令依次进行介绍。

木马指令整理如下:

指令代码

功能

GDIR

列举指定目录下的文件和子目录信息,不遍历子目录

DELz

删除指定文件

GFS

递归枚举指定目录的所有文件信息

SH1cmd

创建命令执行的shell

SH1, SH2

将命令传入shell

SFS

连接C2服务器指定端口进行文件传输操作,二级指令UPL1上传文件,DWNL下载文件

GSS

截屏

SH1exit_client

退出木马进程

(1)GDIR

列举指定目录下的文件和子目录信息,类似 Windows 的 dir 命令或 Linux 的 ls 命令。列举信息包括文件和子目录名称、最近修改时间以及文件大小。目录枚举信息以 "[END]~!@" 结尾。

(2)DELz

删除指定文件。

(3)GFS

递归枚举指定目录的所有文件信息,包括每个文件的路径和大小。在发送给 C2 服务器信息的首行包含所有文件的总大小,输出信息用 "@@GFS" 标识。

(4)SH1cmd

创建一个 cmd.exe 进程作为 shell,执行管道传入的 cmd 指令,并将执行结果返回给 C2 服务器。

(5)SH1 & SH2

SH1 和 SH2 两个指令功能几乎一致,将参数携带的 cmd 指令写入命令管道,用于 shell 执行。

(6)SFS

SFS 指令用于上传和下载文件,但该指令并不直接执行文件传输操作。该指令的参数为端口号,在 sub_404640(MwFileOp)函数中调用 WSAConnectByNameW 连接同一 C2 服务器的另一个指定端口,木马与该端口进行文件传输。

MwFileOp 函数有两个二级指令 "UPL1" 和 "DWNL",分别完成文件上传和下载操作。

文件传输指令

格式

UPL1

UPL1 <上传文件路径>

DWNL

DWNL <下载文件保存路径>,filesize==<接收文件大小>

在文件下载过程中,C2 服务器如果发送 "CANCEL2",木马可以提前结束文件下载,不用等待接收完指定数量的文件数据。

(7)GSS

获取截屏,该指令的参数可以选择截屏保存图片的分辨率。输出信息用 "~!@SSS" 和 "~!@SSE" 标识截屏数据的开始和结束位置。

(8)SH1exit_client

退出木马进程。

总结

目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。

IOC

MD5:

6edc889abbc186fbd5e187818d916dee

b45c97ae0af336048529b8a3ef1749a5

0b8a556b9ce94a0559f153bf62ba2693

d9159838e82ea73effc18ef5b958dacd

26ed92fef383dfea8c40e4fd38668379

CC:

23.26.55.9:443(havoc)

samsnewlooker.com

96.9.215.155:56172

wmiapcservice.com

185.106.123.198:40269

locklearhealthapp.com

URL:

https://maxnursesolutions.com/cssvr.jpg

https://nurekleindesign.com/toronto.bin

https://viyoappmapper.com/flv.ol

https://locklearhealthapp.com/mspnx.msi

https://locklearhealthapp.com/mayred.msi

参考链接

[1].https://ti.qianxin.com/blog/articles/%22operation-magichm%22:CHM-file-release-and-subsequent-operation-of-BITTER-organization/

[2].https://www.secrss.com/articles/31785

[3].https://ti.qianxin.com/blog/articles/operation-tejas-a-dead-elephant-curled-up-in-the-kunlun-mountains/

声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。