随着国家对网络安全的日益重视,越来越多的单位开始定期、不定期举办攻防演习,这几年红蓝对抗已经形成常态。
作为行业从业人员,一直以来都有一个问题萦绕在笔者心头:国外同行是如何组织红蓝对抗的呢?
近日我们在QDE引擎日常样本运营中发现了一例疑似国外攻击队的样本,该样本来自于国外的公共样本分析平台,样本上传时仅有五家杀软检出,虽然经过重新扫描之后依然还是五家但是这五家并不是第一次的五家,见下图(截图时间为23年6月份左右):
由此可见新检出的杀毒软件应该是经过某种自动化(甚至是人工)运营,我们也可以通过如此低的检出率从一个侧面看出攻击队在投放样本时做的前置功课(免杀)较为充足。
本来我们以为这仅仅是又一例免杀做的不错的木马——毕竟国内也有很多组织免杀做的也很好(例如本次护网中某攻击队的钓鱼样本)——但是经过分析之后还是发现草率了,因为该样本不仅免杀做的好,其执行链也比较另类,甚至其真正的恶意代码在执行的过程中全程都没有落地文件到硬盘上。
该样本伪装成一份调查问卷,利用.NET的即时编译特性在内存中加载恶意代码,其整个执行流程如下:
样本被打包为ISO文件.解压后其中包含一个目录和一个可执行文件,该样本伪装成FM Global职工调查问卷:
分析后发现该可执行文件是一个经过修改的Asp.net Web Server, 其相关开源项目为:Portable-Asp.net-Web-Server.其通过在代码里MainForm函数中添加代码来打开浏览器访问本地Data目录中的Survey.html:
上面的代码执行后会通过本机的默认浏览器访问相关页面:
页面中会让点击参加调查,点击后会访问Data目录下的questions.html页面,该页面伪装为一个调查表单页面并加载同目录下的feedback.aspx,该apsx文件中使用<script runat="server"> 插入代码,该文件会由csc.exe进程编译为一个DLL生成在如下路径(路径和系统中安装的.net版本有关):
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\root\{随机}\{随机}\App_Web_{随机}.dll
然后会由Web Server 程序加载并执行.代码中定义了一个Page_Load事件的响应函数,每次当页面加载时都会调用该函数, Page_Load函数中包含一段Shellcode,当该函数执行时会一并在内存中执行:
Shellcode会在内存中加载一个Dll文件,并执行其Start导出函数.该Dll是一个未知的后门程序,我们目前无法将其和已知的后门家族进行关联
其导出模块名为"VCReference2019.lib",在调用其导出函数后,首先创建一个名为"__SessionImmersiveColorMutex"
的互斥量来避免重复实例,然后异或解密出其C&C:
接着解密出User-Agent:Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko
而后连接到其C&C服务器:
接着会收集机器的一些指纹信息,收集的信息如下:
序号 | 信息 |
1 | MachineGuid |
2 | ComputerName |
3 | 网卡信息 |
4 | 本机IP |
5 | 系统架构 |
6 | 系统版本(不知是否为后门作者手误还是故意为之, 其在格式化版本时末尾多了一个0, 比如6.1版本的系统会变成6.10), |
7 | 当前进程令牌的指定权限(SeDebugPrivilege, SeBackupPrivilege, SeCreateTokenPrivilege, SeLoadDriverPrivilege, SeRestorePrivilege, SeTakeOwnershipPrivilege, SeTcbPrivilege, SeImpersonatePrivilege)是否存在 |
8 | 2.1 |
9 | 1(和睡眠时间有关) |
10 | 当前进程ID |
11 | 当前进程用户信息 |
12 | 域控信息(不在域则为 "NoDomainController") |
13 | 当前进程路径 |
最后会将这些信息依次拼接为一个字符串:
然后会将该字符串使用Chacha20算法进行加密:
然后将加密后的数据Base64编码后设置为cookie, cookie的name为"CARTSTATE"(购物车状态):
设置完cookie后会通过GET方法访问下列Url将信息发送到C&C服务器:hxxps://d1lhk2kflvant7.cloudfront.net/orders
由于目前该域名已无法解析到IP,暂不清楚后续具体会响应什么内容
不过通过分析后面的代码,其后续会从响应内容中查找'<meta name="shopping_cart" content="' 包含的内容,并且会根据内容中的值执行不同的功能,其中包括加载Beacon对象文件,在内存中执行相应的payload和结束指定进程的功能:
目前这个木马的工作机制已经基本分析清楚了,查询一下上文中分析得出的C2(d1lhk2kflvant7.cloudfront.net)解析情况。
可以看到解析量非常的低,仅有的两个波峰经过排查还是我们沙箱跑样本产生的。
结合本文一开始的特定企业与点击后才展开恶意行为的分析结论,再一次印证此样本为演习场景下攻击队定向攻击的可能性很高。
目前新颖的后门样本层出不穷,单一的传统特征杀软在防御新出现的未知威胁时较为滞后,无法及时针对新出现的未知威胁进行防御,而通过基于大量样本为基础进行训练的AI引擎,加上相关专业人员对新出现威胁的及时跟进训练,通过引擎的泛化能力,可以针对新出现威胁进行零延迟防御。
目前本文所述样本,天擎等相关产品已经可以对其进行检出:
c2 | d1lhk2kflvant7.cloudfront.net |
url | hxxps://d1lhk2kflvant7.cloudfront.net/orders |
md5 | 7eae565b5633682ffe2fe6c8fdff260f |
md5 | b79f6f79ee576ed2c6461fd0fbc559f5 |
md5 | f988d77e8a3d2a6446df1d6167949a27 |
奇安信病毒响应中心是北京奇安信科技有限公司(奇安信集团)旗下的病毒鉴定及响应专业团队,背靠奇安信核心云平台,拥有每日千万级样本检测及处置能力、每日亿级安全数据关联分析能力。
结合多年反病毒核心安全技术、运营经验,基于集团自主研发的QOWL和QDE(人工智能)引擎,形成跨平台木马病毒、漏洞的查杀与修复能力,并且具有强大的大数据分析以及实现全平台安全和防护预警能力.
奇安信病毒响应中心负责支撑奇安信全线安全产品的病毒检测,积极响应客户侧的安全反馈问题,可第一时间为客户排除疑难杂症。
中心曾多次处置重大病毒事件、参与重大活动安全保障工作,受到客户的高度认可,提升了奇安信在业内的品牌影响力。