巴基斯坦遭受诱惑性文档+Office 0day漏洞的APT攻击

前几天,微软发布了一个新的关于Microsoft Office的 安全警告,互联网上已经流传了关于这个漏洞的利用。这个漏洞影响到Office 2003到2007 和 2010版本,而且这个漏洞只能在Windows XP/2003 平台上触发。 

这个漏洞是由TIFF图片的解析不当引起的,微软也已经发布了一个简单的补丁,通过阻止TIFF图像的渲染来防止漏洞发生。

通过分析,这次攻击使用了ROP和ActiveX controls进行堆喷射攻击。(这里对溢出不算很在行ActiveX controls不知道是个干嘛的)

如果漏洞利用成功,会使用URLDownloadFileA函数从远程HTTP服务器上下载payload

巴基斯坦遭受诱惑性文档+Office 0day漏洞的APT攻击

被下载下来的payload是一个包含了一段payload和一个诱惑性的Office文档的RAR文件。

我们发现几个不同的payload都不约而同的指向了同一个C&C服务器,而那些诱惑性文档都是与巴基斯坦情报局或巴基斯坦军方有关。

巴基斯坦遭受诱惑性文档+Office 0day漏洞的APT攻击

巴基斯坦遭受诱惑性文档+Office 0day漏洞的APT攻击

巴基斯坦遭受诱惑性文档+Office 0day漏洞的APT攻击

巴基斯坦遭受诱惑性文档+Office 0day漏洞的APT攻击

payload与C&C服务系互交采用的是HTTP协议

GET /logitech/rt.php?cn=XXXXX@Administrator&str=&file=no HTTP/1.1 User-Agent: WinInetGet/0.1

当我们分析网络通信的时候我们注意到他们都是相似的协议。事实上他们所使用的payload是Operation Hangover中的一个。我们也可以确定他们使用的下载者基于Deksila downloader的,不单单是因为他们使用了相似的HTTP流量,而且他们在被入侵系统上收集信息的方式和payload中的字符串都是大致相同的。

巴基斯坦遭受诱惑性文档+Office 0day漏洞的APT攻击

如果服务器上存在如下文件即可断定被下载者感染

C:/Documents and Settings/<username>/Temp/iconfall.log  C:/Documents and Settings/<username>/HddLink.lnk      C:/Documents and Settings/<username>/Updates.exe  C:/Documents and Settings/<username>/wincert.exe  C:/Documents and Settings/<username>/kayani.doc      C:/Documents and Settings/<username>/Shanti.doc      C:/Documents and Settings/<username>/Locations.doc  C:/Documents and Settings/<username>/ISI.doc      C:/Documents and Settings/<username>/GoodLuck.doc      C:/cdata.txt

通过我们从C&C服务器上收集的被害者信息我们可以发现,大部分和C&C主机交互的IP地址都来自巴基斯坦。(不明白这个信息是如何收集到的)

如果一个被感染主机登入C&C服务器,C&C服务器上就会创建一个如下的文件

User : [USERNAME]   IP : [IP_ADDRESS]   AV : [NAME_OF_ANTIVIRUS_SOLUTION]

攻击者也可以通过HTTP请求的方式把其他payload送到被感染的主机(第二阶段)。通过C&C主机提供的信息,我们收集一个攻击者在第二阶段使用的payload文件名的列表。

alg.exe  connhost.exe  lgfxsrc.exe  lgfxsrv.exe  lgfxsrvc.exe  msctcd.exe  svchost.exe  taskmgr.exe  taskngr.exe  waulct.exe  wimhost.exe  winlog.exe  winlogon.exe  winnit.exe  winsoun.exe  winword.exe  wmpi.exe  wsqmocn.exe

和MD5列表

0d51296e5c74a22339ec8b7e318f274a  101852851d70dfc46c4d022ef077d586  2ed6a6c349cae3842023d83c6b1ed1c5  4e878b13459f652a99168aad2dce7c9a  654f558cf824e98dde09b197dbdfd407  6a57cda67939806359a03a86fd0eabc2  8378abb63da7e678c76c09f44b43d02a  e75ad6c8484f524d93eaf249770be699  fd51dc5f1683c666a4925af8f1361d5d  fd75a23d8b3345e550c4a9bbc6dd2a0e

我们把从C&C上收集来的payload,提交到Virustotal上面,你可以发现病毒识别率非常低。

fd75a23d8b3345e550c4a9bbc6dd2a0e  1 / 47      6a57cda67939806359a03a86fd0eabc2  1 / 47      4e878b13459f652a99168aad2dce7c9a  1 / 47      2ed6a6c349cae3842023d83c6b1ed1c5  0 / 47

通过我们对这些payload的分析有益于你建立IOCs(Indicators Of Compromise)或者识别被入侵的主机。

主下载者(Main Downloader)

互联网通信包中HTTP GET请求的几个例子

    /logitech/rt.php?cn=xx@<username>&str=&file=no       /green/srt.php?cn=xx@<username>&str=&file=no      /funbox/rt.php?cn=<MACHINE_NAME>@<USER>&str=&file=no      /joy/rt.php?cn=<MACHINE_NAME>@<USER>&str=&file=no

你可以在日志中匹配“&str=&file=no”来确定是否被入侵。

Yara规则(这是一套定义恶意软件特征码的规则)

rule Hangover2_Downloade {    strings:      $a = "WinInetGet/0.1" wide ascii      $b = "Excep while up" wide ascii      $c = "&file=" wide ascii      $d = "&str=" wide ascii      $e = "?cn=" wide ascii    condition:      all of them  }

文件窃取

他寻找固定后缀名的文件然后偷偷将其上传到C&C服务器

xls,xlsx  doc,docx  ppt,pptx  pdf  txt

互联网网通信包

POST /crks.php HTTP/1.1 Content-Length: 44 Content-Type: application/x-www-form-urlencoded User-Agent: MyWebClient Host: xxx Connection: Keep-Alive   POST /drkl.php HTTP/1.1 Content-Length: 44 Content-Type: application/x-www-form-urlencoded User-Agent: MyWebClient Host: xxx Connection: Keep-Alive   POST /max.php HTTP/1.1 Content-Length: 49 Content-Type: application/x-www-form-urlencoded User-Agent: MyWebClient Host: xxx Connection: Keep-Alive

Yara规则

rule Hangover2_stealer  {    strings:      $a = "MyWebClient" wide ascii      $b = "Location: {[0-9]+}" wide ascii      $c = "[%s]:[C-%s]:[A-%s]:[W-%s]:[S-%d]" wide ascii       condition:      all of them  }

远程后门

互联网网通信包在5858端口使用二进制数据传输

T VICTIM:1050 -> C&C:5858 [A]    FHEPF                                                                                                                                                                                                   #  T VICTIM:5858 -> C&C:1050 [AP]    Pass                                                                                                                                                                                                     #  T VICTIM:1050 -> C&C:5858 [AP]    Authjanettedoe @ [MACHINE_NAME]/#/[OPERATING_SYSTEM]/#/[IP_ADDRESS]/#/

Yara规则

rule Hangover2_backdoor_shell  {    strings:      $a = "Shell started at: " wide ascii      $b = "Shell closed at: " wide ascii      $c = "Shell is already closed!" wide ascii      $d = "Shell is not Running!" wide ascii       condition:      all of them  }

你也可以寻找如下注册表信息

HKCU/Software/Microsoft/Windows/CurrentVersion/Run /v WinLstart

 键盘记录

通过HOOk来进行键盘记录。

Yara规则

rule Hangover2_Keylogger  {    strings:      $a = "iconfall" wide ascii      $b = "/c ipconfig /all > "" wide ascii      $c = "Global/{CHKAJESKRB9-35NA7-94Y436G37KGT}" wide ascii    condition:      all of them  }

屏幕监控

会不断把截屏传送到C&C服务器

互联网网通信包

巴基斯坦遭受诱惑性文档+Office 0day漏洞的APT攻击

Yara从此处下载

最后给出攻击者所使用的IP和域名

krickmart.com  37.0.125.77  37.0.124.106  maptonote.com  myflatnet.com  lampur.com  appworldstores.com  similerwork.net  intertechsupport.net  lampur.com  twikstore.com

[原文地址,译/FreeBuf实习小编wyl]

发表评论