2.1 事件对应的ATT&CK映射图谱
图2‑1 技术特点对应ATT&CK的映射
表2‑1 ATT&CK技术行为描述表
|
ATT&CK阶段/类别 |
具体行为 |
注释 |
|
资源开发 |
获取基础设施 |
搭建C2服务器 |
|
能力获取 |
获取窃密程序 |
|
|
初始访问 |
网络钓鱼 |
投放钓鱼邮件 |
|
执行 |
诱导用户执行 |
诱导用户执行 |
|
持久化 |
利用自动启动执行引导或登录 |
设置自启动 |
|
防御规避 |
反混淆/解码文件或信息 |
反混淆木马载荷 |
|
修改文件和目录权限 |
修改文件权限 |
|
|
隐藏行为 |
隐藏行为 |
|
|
混淆文件或信息 |
混淆木马载荷 |
|
|
进程注入 |
创建自身进程并注入 |
|
|
利用反射代码加载 |
利用反射机制加载代码 |
|
|
凭证访问 |
从存储密码的位置获取凭证 |
窃取浏览器保存的密码 |
|
窃取Web会话Cookie |
窃取浏览器Cookie |
|
|
发现 |
发现文件和目录 |
发现文件和目录 |
|
查询注册表 |
查询注册表 |
|
|
发现软件 |
发现待窃密的软件 |
|
|
发现系统信息 |
发现系统信息 |
|
|
发现系统所有者/用户 |
发现系统用户名 |
|
|
发现系统时间 |
发现系统时间 |
|
|
收集 |
压缩/加密收集的数据 |
加密收集的数据 |
|
自动收集 |
自动收集数据 |
|
|
收集电子邮件 |
收集电子邮件 |
|
|
命令与控制 |
使用应用层协议 |
使用HTTP协议 |
|
数据渗出 |
自动渗出数据 |
自动回传数据 |
|
使用C2信道回传 |
使用与C2相同信道回传 |
有效防御窃密木马,提升安全防护水平,安天建议企业采取如下防护措施:
3.1 提升主机安全防护能力
3.2 使用沙箱分析可疑邮件
(1)接收邮件时要确认发送来源是否可靠,避免打开可疑邮件中的网址和附件;
(2)建议使用沙箱环境执行可疑的文件,在确保安全的情况下再使用主机执行。
3.3 遭受攻击及时发起应急响应
(1)联系应急响应团队:若遭受恶意软件攻击,建议及时隔离被攻击主机,并保护现场等待安全工程师对计算机进行排查;
4.1 攻击流程图
图4‑1 攻击流程图
4.2 具体攻击流程
图4‑2 发送给韩国奖学金基金会的钓鱼邮件
图4‑3 发送给韩国某重工企业的钓鱼邮件
图4‑4 钓鱼邮件源代码
5.1 样本标签
|
病毒名称 |
Trojan[Spy]/Win32.LokiBot |
|
原始文件名 |
SGN-INC-27049.pdf.exe |
|
MD5 |
698CCE9E11CC**763B8F76483708BB90 |
|
处理器架构 |
Intel 386 or later, and compatibles |
|
文件大小 |
679.50 KB (695,808字节) |
|
文件格式 |
BinExecute/Microsoft.EXE[:X86] |
|
时间戳 |
2022-01-28 00:15:36 |
|
数字签名 |
无 |
|
加壳类型 |
无 |
|
编译语言 |
.NET |
|
VT首次上传时间 |
2022-01-28 01:37:17 |
|
VT检测结果 |
42/67 |
5.2 加载器分析
样本使用ReZer0(别称:CyaX-Sharp)加载器,该加载器含有多层嵌套加载的.NET载荷,使用图片隐写术隐藏数据,最终会将载荷镂空注入到新创建的自身进程中执行。
5.3 载荷分析
样本通过对比API函数名称的哈希值获取所需的API地址。
LokiBot特色哈希算法如下。
样本启动后,首先检查-u参数,若存在则延迟10秒执行,该参数用于样本自身升级。
使用WSAStartup函数初始化网络对象,并创建互斥体。互斥体名称为设备识别号的MD5哈希值大写前24个字符,若无法获取则为随机10位字符串。互斥体创建成功后的整体运行流程如下。
-
窃取数据
构建函数数组并依次执行数组中的函数,每个函数均包含针对某软件的窃密功能。
详细的窃密范围如下表所示。
|
浏览器 |
Black Hawk |
Chrome |
Cyberfox86 |
FireFox |
|
Flock |
IceDragon |
Internet Explorer |
K-Meleon |
|
|
Lunascape6 |
Opera |
Pale Moon |
QtWeb |
|
|
QupZilla |
Safari |
SeaMonkey |
Waterfox |
|
|
密码管理器 |
1Password |
Enpass |
KeePass |
mSecure |
|
Roboform |
||||
|
远程管理工具 |
32BitFtp |
AbleFTP |
ALFTP |
Automize |
|
BitKinex |
BlazeFtp |
BvSshClient |
ClassicFTP |
|
|
Cyberduck |
DeluxeFTP |
EasyFTP |
ExpanDrive |
|
|
Far FTP Pulgins |
Fastream NETFile |
FileZilla |
FlashFXP |
|
|
Fling |
FreshFTP |
FTP Navigator |
FTP Now |
|
|
FTPBox |
FTPGetter |
FTPInfo |
FTPShell |
|
|
fullsync |
GoFTP |
JaSFtp |
KiTTY |
|
|
LinasFTP |
MyFTP |
NetDrive2 |
NexusFile |
|
|
NovaFTP |
NppFTP |
Odin Secure FTP Expert |
SecureFX |
|
|
SftpNetDrive |
sherrod FTP |
SmartFTP |
Staff-FTP |
|
|
Steed |
SuperPutty |
Syncovery |
Total Commander |
|
|
UltraFXP |
VNC |
wcx_ftp |
WinFtp Client |
|
|
WinSCP |
WS_FTP |
Xftp |
||
|
电子邮件 |
CheckMail |
FossaMail |
Foxmail |
Gmail Notifier Pro |
|
IncrediMail |
MailBox |
Mozilla Thunderbird |
Opera Mail |
|
|
Outlook |
Pocomail |
Postbox |
Softwarenetz Mailing |
|
|
Trojitá |
TrulyMail |
Ymail |
||
|
笔记 |
Microsoft Sticky |
NoteFly |
NoteZilla |
Stickies |
|
To-Do |
||||
|
其他 |
*.SPN |
Full Tilt Poker |
Mikrotik Winbox |
pidgin |
|
Poker Stars |
WinChips |
-
回传数据
在内存中解密C2地址“http://178.128.244.245/search.php?key=c7efe16273fb99ba59033ba0f61e25db”。
回传时使用的User Agent字段为“Mozilla/4.08(Charon; Inferno)”。
-
持久化
将自身移动或复制到%Appdata%内的子文件夹并设置为隐藏文件,子文件夹名称为计算机硬件ID的MD5哈希值第8~13位,文件名为该MD5哈希的13~18位。
使用SHRegSetPathW函数在注册表中设置自启动项,但样本实际设置的注册表路径为“HKEY_CURRENT_USER<C2地址>”,并非自启动的“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”,疑似为攻击者在设置C2地址时出现的字符串修改错误。
-
获取C2指令,执行后续功能
根据C2指令进行进一步操作,支持的功能包括再次窃取数据、下载并执行插件、升级自身、自我删除等。
|
576F333C25BFD3703CA6648333A9EAF2 |
|
44C0492150737129197C9E9080695D32 |
|
698CCE9E11CC**763B8F76483708BB90 |
|
https://attach.mail.daum.net/bigfile/v1/urls/d/1Utz1pQNfDRk9WIHIzhAzEiFM4A/y62N4Mx096L_VjDAfJy8hw |
|
https://attach.mail.daum.net/bigfile/v1/urls/d/UXZowoyb1UMf5pgLGjPTvx2k-6A/H_Exi4Ced18csLvJ95AeHA |
|
http://178.128.244.245/search.php?key=c7efe16273fb99ba59033ba0f61e25d |
本文作者:AntiyLab
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/177321.html
如有侵权请联系:admin#unsafe.sh