最近,在回忆一些网络反常的时分,咱们发现了Cold River,一个歹意运用DNS地道作为C&C通讯的进犯安排。现在,咱们现已能够解密受害者与进犯者的通讯流量,也发现了进犯中运用的杂乱钓饵文档,这让咱们联想到了其他曾经不知道的样本,并发现了进犯者运用的很多根底设施。 这次举动首要针对中东安排,尤其是黎巴嫩和阿拉伯联合酋长国,此外,和这些中东国家关系密切的印度和加拿大公司也成为了进犯方针。 这次进犯中运用了新的TTP –例如Agent_Drable歹意程序运用Django结构来建立C2服务器,其技术细节会在后边的博客中发表。 咱们不确认这次举动背面是否有其他安排的推进,但这次(举动)运用了曾经没有被发现的东西,咱们估测其运用的栽培程序中发现的硬编码字符串”Agent_Drable”是一种从右到左的言语,它学习了2007年黎巴嫩戎行在“Nahr Elbard”巴勒斯坦收容所发作的抵触,该阵营是”Nahr el bared”的音译,而”Nahr Elbard”的英文翻译则是”Cold River”。 简略来说,“Cold River”是一个杂乱的进犯安排,运用了DNS子域绑架、证书诈骗、荫蔽的C2通道,具诈骗性的钓饵文档和之前不知道的投递木马发起进犯。 歹意doc文档dropper 咱们发现了两个歹意文档,两者差异仅在于钓饵内容:具有相同的VBA宏和payload,但第一个是带有歹意的空白文档(图1)。
图1:空文档截图 第二个则是来自SUNCOR公司的合法人力资源文档,里边添加了歹意payload和VBA宏(图2)。
图2:来自SUNCOR公司的文档截图 在搜集有关回调域0ffice36o[.]com的开源情报时,咱们又发现了来自Twitter的潜在相关文档(参见图3),尽管不包括相同的payload,但这个Twitter帐户用户或许附加了过错的文档。
图3:第三个文档的引证推文 表1中列出的时刻戳好像证明了Suncor文档是带payload的合法文档的假定,由于创立日期满足长,最终一次保存和进犯的时刻规模也相匹配。空文档很或许是用于测验宏或在与Suncor无关的环境中投递payload的。 SHA1 描述 创造时刻 最终保存时刻 1f007ab17b62cca88a5681f02089ab33adc10eec Empty doc 2019-10-05 07:10:00 2019-10-15 02:59:00 9ea865e000e3e15cec15efc466801bb181ba40a1 Suncor decoy 2012-06-07 18:25:00 2019-10-15 22:22:00 表1: Malicious documents and related metadata. 有关文档及其有用负载的时刻表,可参阅图4。 行为剖析 关于VBA宏,很根底但十分有用。宏分为两个部分,一个在文档翻开时履行,另一个在文档封闭时履行。实践payload不直接存储在VBA代码中,而是隐藏在文档中的表单里。 翻开Suncor文档时,用户有必要启用宏履行才干查看实践内容。也就是说答应宏履行关于一般的用户来说是合理的。仅有发生混杂的当地是运用了字符串衔接,例如“t”和“mp”,“Microsoft.XML”和“DOM”,“userp”和“rofile”等。 歹意宏包括一些根本的反沙箱代码,运用API Application.MouseAvailable查看核算机上是否有鼠标可用。总的来说,宏的逻辑如下: 文档翻开时: 1)查看Environ(“userprofile”).oracleServicessvshost_serv.exe是否存在 假如存在就退出;不存在则持续操作 2)假如Environ(“userprofile”).oracleServices不存在,则创立目录 3)读取UserForm1.Label1.Caption中存储的base64编码payload 4)解码并写进Environ(“userprofile”).oracleServicessvshost_serv.doc。 5)显现文档 文档封闭时: 1)把”svshost_serv.doc”重命名为”svshost_serv.exe” 2)创立一个命名为”chrome updater”的每分钟履行EXE文件的计划任务 最终一个值得重视的点是,设置计划任务的部分代码是从网上仿制而来的。 Payload与C&C通讯 咱们发现了两个相关的Payload,如表2所示,两者的差异在于其间一个有事情记载功用,这让咱们更简单确认歹意程序的目的,当然,也或许是前期开发的调试版别,像Suncor文档中的payload就没有记载功用。 SHA1 描述 编译时刻戳 1c1fbda6ffc4d19be63a630bd2483f3d2f7aa1f5 Payload with logs information 2019-09-03 16:57:26 UTC 1022620da25db2497dc237adedb53755e6b859e3 Payload without logs information 2019-09-15 02:31:15 UTC 表2: the Agent_Drable payloads. 在二进制文件中找到了一个风趣的字符串是“AgentDrable.exe”。这是PE头中的导出表里的DLL Name字段值,在这次进犯的其他部分(例如根底架构装备)也有呈现。咱们简直能够确定这是进犯者给程序的代号命名。不过,除了近期呈现在在线剖析平台上的少量提交以外,很少有依据能够证明是AgentDrable,因而还有一个假定是称之为”Elbard”。 两个样本的编译时刻戳也很风趣。咱们有必要充沛意识到时刻戳很简单被假造,可是,这些时刻戳能够在二进制文件的多个方位找到(调试目录,文件头),而且与进犯事情的其他部分保持一致。咱们把一切dropper和payload有用时刻戳都放在图4里。 [1][2][3]黑客接单网