一、概述
在2019年9月,Proofpoint的研究人员观察到一个非常活跃的威胁参与者TA505持续发送电子邮件,尝试传播并诱导安装新型恶意下载工具Get2。我们观察到,Get2下载了FlawedGrace、FlawedAmmyy、Snatch和SDBbot(一种新型Rat)作为辅助Payload。
在本文中,Proofpoint将详细介绍与这些最新恶意活动相关的策略、技术和过程(TTP),并提供对Get2下载工具和SDBbot RAT的详细分析。
这些新的发展是一种既有模式的延续,从2018年以来,Proofpoint研究人员观察到众多威胁行为者越来越多地分发下载程序、后门程序、信息窃取程序、远程访问木马(RAT)以及更多形式的恶意软件,他们放弃了以勒索软件作为主要Payload。
而TA505一直处于这种趋势的前沿,他们首先在2018年11月发布了新型后门“ServHelper”,并且在今年年初发布了新型恶意下载工具AndroMut。
二、恶意活动
自2019年9月9日起,Proofpoint研究人员开始使用Get2作为其初始下载工具,来观察TA505。首先,它下载了传统的Payload,包括FlawedAmmyy和FlawedGrace。但是,在10月7日,Proofpoint研究人员观察到Get2下载了新型RAT SDBbot。
除了使用新型恶意软件之外,这些恶意活动还在其他方面进行了创新:
1. TA505恶意组织仍然占据每天恶意电子邮件发送排名的榜首位置,最近几天他们发出的邮件达到上万的数量,但此前可以达到数百万。
2. TA505继续主要针对金融机构发动攻击,但与针对其他行业的攻击活动交替进行。
3. 近期,该恶意组织将希腊、德国和美国乔治亚州作为目标地区。
4. 恶意组织发布新的Microsoft Office宏,专门用于Get2恶意下载工具。
2019年9月至10月期间,与Get2和SDBbot相关的垃圾邮件恶意活动:
下面,我们将分析几个典型的恶意电子邮件活动的详情。
2.1 2019年9月9日
9月9日,Proofpoint研究人员观察到数以万计的电子邮件,试图传递包含英语和希腊语的Microsoft Excel附件。这些电子邮件针对位于希腊、新加坡、阿联酋、美国乔治亚州、瑞典、立陶宛和其他一些国家的金融机构。
该电子邮件使用以下标题和附件名称:
1. 标题“HPE INV-02 – Invoice and documents”(HPE INV-02 – 发票和文件),附件“hpe_s_hp-inv_02[.]xls”;
2. 标题“Need to Apply”(需要回复),附件“dc123456[.]xls”;
3. 标题“Παραστατικό”(希腊语,翻译为:文档),附件“business cloud invoice no142 09-09-2019[.]xls”;
4. 标题“ΣΤΕΛΙΟΣ ΠΡΟΤΙΜΟΛΟΓΙΟ”(希腊语,翻译为:执行摘要),附件“προτιμολογιο[.]xls”。
这是我们首次观察到新型下载工具Get2的活动。但是,经过Proofpoint的分析,在当时没有观察到后期的Payload。
电子邮件样本传递了带有嵌入式Get2 Payload的恶意Microsoft Excel电子表格:
使用希腊语并针对希腊地区发起攻击的Microsoft Excel附件样本:
2.2 2019年9月20日
9月20日,我们观察到有数十万封恶意电子邮件,尝试传递带有英语和法语诱饵的Microsoft Excel和.ISO附件。这些电子邮件以美国、加拿大地区不同行业的公司为目标。
这些恶意电子邮件使用下列标题和附件名称:
1. 标题“Reçu de paiement (facture 12345)”,附件“facture_no_432478_v2[.]xls”;
2. 标题“Account opening form”,附件“formulaire_01234.iso”,在ISO中包含恶意Excel文件,文件名例如“0920_0123456[.]xls”。
在该恶意活动中,Proofpoint研究人员再次观察到了Get2的安装和执行,随后该恶意下载工具下载了FlawedGrace。
在以加拿大为目标,使用法语编写的电子邮件中,包含ISO附件:
在以加拿大为目标,使用法语编写的电子邮件中,包含Microsoft Excel附件:
2.3 2019年10月7日
10月7日,Proofpoint研究人员没有观察到直接附带恶意Microsoft Excel文件的邮件,而是发现了数千封包含URL短链接的电子邮件,这些电子邮件会重定向到登录页面,该登录页面又链接到Excel表格“request[.]xls”。这一恶意活动仅使用英语,主要针对美国各行业的公司发起攻击。
电子邮件使用“Admin shared "request[.]xls”(管理员共享了“request.xls”文件)作为标题,在邮件正文中包含Bit.ly的短网址URL。
在该恶意活动中,Proofpoint的研究人员观察了Get2的执行情况,发现该程序首次下载了SDBbot。
带有Bit.ly短网址的恶意电子邮件样本,该URL指向登录到恶意文件下载链接的登录页面,这会增强假冒特定组织的隐蔽性。
以Dropbox为主题的登录页面,其中包含诱导用户点击链接到恶意文档的按钮:
带有嵌入式Get2下载工具的Microsoft Excel电子表格,诱导用户打开文档并启用宏:
三、恶意Microsoft Excel文档分析
我们注意到,不仅TA505使用了新的恶意软件,并且新的Get2恶意加载程序还可以与新兴Microsoft Excel恶意宏结合使用。Get2作为对象,嵌入到Microsoft Excel文件中,我们可以在文档中找到它对应的图像图标。恶意宏使用下述逻辑完成提取:
1. 将原始的Microsoft Excel表格复制到%TEMP%目录下;
2. 将Microsoft Excel表格中的嵌入式对象“xl\embeddings\oleObject1[.]bin”复制到%TEMP%目录中;
3. ReadAndWriteExtractedBinFile函数提取OleObject1.bin中的DLL,并复制到%APPDATA%;
4. LoadLibraryA加载DLL;
5. 宏运行DLL的导出函数(例如:Get2)。
下面展示了Microsoft Excel文件中执行某些操作的VBA代码摘录。该代码中的一部分似乎是从Stack Overflow文章中借鉴的,作者将其修改为以“MZ”为开头的文件,而不再是“PDF”。
与Get2下载工具结合使用的恶意Microsoft Excel电子表格中的Visual Basic宏代码样本:
四、Get2恶意下载工具
Get2是一种使用C++编写的新型恶意下载工具,在近期TA505的恶意活动中使用。这个名称源自所分析的初始样本中使用的DLL导出名称。在接连开展的不同恶意活动中,他们使用了不同的导出名称,比如:Amway、Hadno、Seven和Wakeup。
恶意下载工具会收集基本的系统信息,并通过HTTP POST请求将其发送到硬编码的命令和控制(C&C)服务器(如下图所示):
POST数据中,包含以下URL编码后的参数:
D – 计算机名称
U – 用户名
OS – Windows版本
PR – 以竖线分隔的进程列表
下面展示了来自C&C服务器的一些响应样例:
C&C响应数据是以竖线进行分隔的,每部分都包含Payload URL和以分号分隔的可选参数。
在我们早期观察到的Get2版本中,其Payload是可执行文件,其运行参数是在命令行中传递的。在后面的样本中,作者使用了其他代码来检查“RD86”和“RD64”的参数(RD可能是“run DLL”的简称)。RD86指示Payload是要注入和加载的DLL。此外,恶意软件还计划随机将系统重新启动。在研究时,RD64的代码路径尚未实现,但可能与用于64位DLL的RD86相似。
五、SDBbot远程访问木马
SDBbot是使用C++语言编写的新型远程访问木马(RAT),由Get2下载工具在最新的TA505恶意活动中使用。该名称源于在最初分析的样本中使用的调试日志文件(sdb.log.txt)和DLL名称(BotDLL[.]dll)。它还利用应用程序Shimming的方式来保持持久性。SDBbot由三个部分组成,分别是安装工具、加载工具和远程访问木马组件。
5.1 安装工具组件
安装工具将RAT组件存储在注册表中,并为加载器组件创建持久性。在我们所分析的样本中,安装程序名称为“SdbInstallerDll[.]dll”。它的大多数重要字符串和数据都是使用硬编码的128字节密钥进行异或编码的。
根据用户权限,该组件会在HKEY_LOCAL_MACHINE或HKEY_CURRENT_USER中的“\SOFTWARE\Microsoft\<注册表子项中的随机3个字符>[值名称中的随机1个字符]”的位置创建一个注册表值,并将二进制Blob存储为该值处,具有以下结构:
1. 版权声明(“Copyright (C) Microsoft Corporation.”);
2. 加载工具Shellcode(作为函数存储在安装工具中);
3. 由“<注册表子项中的随机3个字符>0INIT”组成的字符串;
4. 压缩后的RAT Payload(存储在安装工具的“.data1”PE段中)。
如果该组件以常规用户权限运行,则会使用注册表中“Run”方法创建持久性。加载工具DLL组件将写入“%APPDATA%\mswinload[.]dll”,并将“mswinload”值添加到“Run”键中,以使用rundll32[.]exe执行DLL。
如果在Windows 7之前版本的系统上以管理员权限运行,那么将会使用注册表中“映像文件执行选项”创建持久性。它所使用的方法与FireEye发表的文章《FIN7利用填充数据库创建持久性》中描述的方法非常相似。攻击者创建了一个填充数据库(Shim Database),以使用加载工具代码修补services[.]exe,然后使用sdbinst[.]exe进行安装。
由SDBbot创建的填充数据库(SDB)样本:
所有这三种持久性机制,都需要重新启动才能生效,并且没有其他代码可以继续从安装工具执行加载工具和RAT组件。Proofpoint研究人员推测,在安装恶意软件后,Get2下载工具中的重新启动功能可以用于继续SDBbot的执行。
5.2 加载工具组件
在基于注册表的持久性机制中,单独的加载工具DLL用于执行RAT Payload。在我们分析的样本中,加载工具被命名为“RegCodeLoader[.]dll”,并以“mswinload[.]dll”或“mswinload0[.]dll”的形式保存到磁盘。基于Shimming的应用程序持久性方法不使用单独的DLL,但其修补到services[.]exe中的代码在功能上与之相似。在这两种情况下,随机注册表项和值名称都将被修补到加载工具代码中。
加载工具组件会读取存储在注册表中的二进制Blob,并开始执行存储在注册表中的加载程序Shellcode。Shellcode解压缩RAT Payload,然后加载并执行DLL。
5.3 远程访问木马组件
在我们分析的样本中,RAT组件被命名为“BotDLL[.]dll”。它具有一些典型的RAT功能,例如命令行Shell、记录屏幕内容、远程桌面、端口转发和文件系统访问。
SDBbot将其C&C存储在纯文本字符串或文件(ip.txt)中。它通过TCP/443端口使用纯文本协议,会话样本如下图所示。
SDBbot C&C协议样本:
恶意软件通过发送和接收Acknowledgment DWORD: 0xC0DE0000来启动通信。然后,通过发送基本系统信息来进一步实现信息泄露:
1. ver – 可能的恶意软件版本;
2. domain – 域名;
3. pc – 计算机名称;
4. geo – 国家代码;
5. os – Windows版本;
6. rights – 用户权限;
7. proxyenabled – 是否配置了代理。
在恶意软件发送了系统消息之后,C&C服务器将使用命令DWORD进行响应。然后,根据命令,C&C服务器将发送其他参数。一些命令利用48字节的数据结构来存储各种数据。此外,还有其他一些命令可以创建、删除和查询这些数据结构的状态,在下图中进行了定义。
某些命令使用的48字节数据结构:
可用命令如下:
2 – 从C&C获取子命令:
“cmd” – 启动一个cmd[.]exe Shell;
“shutdown_pc” – 关机;
“reboot” – 重新启动;
“sleep utc” – 设置睡眠时间;
“video online” – 获取现有视频,或创建新的视频数据结构;
“video stop” – 在视频结构中设置“停止”事件;
“rdpwrap install” – 该命令在注册表中启用RDP,但不能安装RDP包装器;
“rdpwrap uninstall” – 如果已经安装RDP,则将其卸载;
“portforward” – 在目标主机、端口和C&C之间设置代理;
“run” – 通过cmd[.]exe执行命令,但不将输出结果发送到C&C;
“runreflective” – 从C&C下载DLL文件,并将其注入到新创建的rundll32[.]exe中,以反射型方式加载该可执行文件;
“keep_bot_online on” – 设置一个标志和超时睡眠时间;
“keep_bot_online off” – 关闭标志,并将超时睡眠时间设置为0。
4 – 发送数据结构的编号、类型和索引。
5 – 如果启用了Shell或视频录制,则将Shell的输出或屏幕截图发送到C&C。
11 – 发送命令行Shell数据结构的编号、索引和标记。
12 – 将命令写入Shell。
13/32 – 创建一个新的空数据结构,并将其索引发送给C&C。
14 – 清理并删除现有数据结构。
15 – 写入文件。
23 – 获取驱动器信息或目录列表。
24 – 读取文件。
25 – 创建目录。
26 – 删除文件。
27 – 清理并删除所有数据结构。
31 – 确切功能尚不明确,它使用两种数据结构写入文件,一种是与文件相关联,另一种用于从C&C读取数据。
六、总结
多年来,我们不断更新关于TA505的攻击者画像,主要依据于该恶意组织在2017年底和2018年底进行的大量攻击活动。在过去两年中,Proofpoint的研究人员观察到TA505和许多威胁行为者接连开发出恶意下载工具、远程访问木马、信息窃取工具和银行木马。而在2019年10月,TA505也采取了这样的行动,攻击了许多垂直领域和国家地区,该恶意组织仍然针对金融领域发起攻击,与此前的行为模式保持一致。在攻击者将新型Get2下载工具与SDBbot结合使用时,他们所使用的Payload是我们首次看到,并对其加以重点分析。
七、参考
[1] https://attack.mitre.org/techniques/T1138/
[2] https://attack.mitre.org/techniques/T1060/
[3] https://www.fireeye.com/blog/threat-research/2017/05/fin7-shim-databases-persistence.html
[4] https://github.com/stascorp/rdpwrap
八、威胁指标
8.1 URL
https[://update365-office-ens[.com/rb8(Get2 callback – 2019-09-09)
https[://windows-update-sdfw[.com/trase(Get2 callback – 2019-09-20)
https[://office365-update-en[.com/frey(Get2 callback – 2019-09-27)
https[://windows-wsus-en[.com/version(Get2 callback – 2019-10-01)
https[://windows-msd-update[.com/2019(Get2 callback – 2019-10-07)
https[://windows-fsd-update[.com/2020(Get2 callback – 2019-10-08)
https://windows-sys-update[.com/2021(Get2 callback – 2019-10-09)
https[://windows-me-update[.com/2021(Get2 callback – 2019-10-10)
https[://windows-se-update[.com/2022(Get2 callback – 2019-10-11)
https[://office365-eu-update[.com/2023(Get2 callback – 2019-10-14)
8.2 域名和IP地址
update365-office-ens[.com|212.80.216[.172(Get2 C&C – 2019-09-09)
37.59.52[.229:53(Snatch C&C – 2019-09-19)
windows-update-sdfw[.com|167.114.194.56(Get2 C&C – 2019-09-20)
office365-update-en[.com|5.149.252[.171(Get2 C&C – 2019-09-27)
office365-update-eu[.com|147.135.204[.64(Get2 C&C – 2019-09-27)
en-gb-facebook[.com|95.169.190[.29(FlawedGrace C&C – 2019-09-20 > 27)
102.130.114[.246(FlawedAmmy C&C – 2019-09-24 > 2019-10-01)
news-server-drm-google[.com|170.75.175[.209(SDBbot C&C – 2019-10-07)
static-google-analtyic[.com|103.75.118[.231(SDBbot C&C – 2019-10-08/09/10/11)
windows-wsus-en[.com|192.99.211.205(Get2 C&C – 2019-10-01)
windows-msd-update[.com|94.44.166.189(Get2 C&C – 2019-10-07)
windows-cnd-update.com|185.176.221.64(Serving Get2 payload – 2019-10-07)
windows-fsd-update[.com|185.86.148.144(Get2 C&C – 2019-10-08)
windows-sys-update[.com|195.123.228.14(Get2 C&C – 2019-10-09)
windows-me-update[.com|95.217.16[.248(Get2 C&C – 2019-10-10)
windows-se-update.com|185.238.3.76(Get2 C&C – 2019-10-11)
office365-eu-update[.com|45.8.126[.7(Get2 C&C – 2019-10-14)
drm-server13-login-microsoftonline[.]com|195.123.242[.250(SDBbot C&C 2019-10-14)
8.3 SHA-256
0683d9f225d54d48081f53abd7d569b32bc153d98157a5a6b763bc3cf57a6ad6(Get2 – 2019-09-09)
cfce53335bbe61de612353cdd83ce17953b1f230c576ed6de1463626aff9088e(Snatch 更新版本 – 2019-09-19)
f27c5375046c734dfe62d2efe936b92cd519da091d04f22db713514caafece2a(Get2 – 2019-09-20)
34f3733177bbe3d7a8d793fe3c4fd82759519ddc6545b608613c81af9019a52d(FlawedGrace – 2019-09-20)
e3ec2aa04afecc6f43492bfe2e0d271045ab693abfa332a2c89a5115ffe77653(FlawedGrace – 2019-09-27)
4efcc22da094e876346cff9500e7894718c8b6402ff3735ea81a9e057d488849(FlawedAmmyy – 2019-09-27)
133121ea82269ec943847e04cb070109ca94612aed23a471868937f119ae8175(FlawedAmmyy – 2019-10-01)
edb838be33fde5878010ca84fc7765c8ff964af9e8387393f3fa7860c95fc70b(SDBbot – 2019-10-07)
9eaad594dd8038fc8d608e0c4826244069a7a016ffd8881d8f42f643c972630f(SDBbot – 2019-10-07)
99c76d377e1e37f04f749034f2c2a6f33cb785adee76ac44edb4156b5cbbaa9a(SDBbot – 2019-10-08/09/10/11)
6b3aa7a7a9771f7464263993b974c7ba233ec9bd445ea635e14a0764523cbef(SDBbot – 2019-10-08/09/10/11)
f4fed12625e2b983b918f239bf74623746cfc6b874717e6d8dd502a45e073d32(Get2 – 2019-10-10)
84f7c3fcf3a53f37ecbb21d0b9368d332901fe8c3f06b3d1a92123479c567c95(Get2 – 2019-10-11)
8916a09f205910759edb082175bf2808d2acae00c7ded5bb8c9c174f60ebe152(SDBbot – 2019-10-14)
c2f99a2bba225fe3ab49cb952e418b2ab29ba7f2e34db6cf9bc51b0349d0acd8(SDBbot – 2019-10-14)
编者注:在发布本篇报告后,我们注意到,AhnLab发现了SDBbot的早期版本,并在近期发布的Q3 ASEC报告中将其描述为“恶意SDB文件”。AhnLab主要描述了韩国地区的恶意软件传递过程,该木马作为FlawedAmmyy的辅助Payload。2019年期间,TA505在韩国地区较为活跃,并且经常分发FlawedAmmyy RAT,但我们目前暂无法验证其关联性。
本文翻译自:https://www.proofpoint.com/us/threat-insight/post/ta505-distributes-new-sdbbot-remote-access-trojan-get2-downloader如若转载,请注明原文地址: https://www.4hou.com/malware/21223.html
如有侵权请联系:admin#unsafe.sh