微信
手机版
网站地图

密室逃脱,疑似APT-C-27使用WinRAR缝隙的定向进犯活动剖析,厄瓜多尔

2019-04-04 11:53:34 投稿人 : admin 围观 : 298 次 0 评论
随身秘籍之江别鹤

布景

2019年3月17日,360要挟情报中心截获了一例疑似“黄金鼠”APT安排(APT-C-27)运用WinRAR缝隙(CVE-2018-白纪亚20250[6])针对中东区域的定向侵犯样本。该歹意ACE压缩包内包含一个以恐怖袭击事情为钓饵的Of顾烟霍fice女星性感 Word文档,诱使受害者解压文件,当受害者在本地核算机上经过WinRAR解压该文件后八木优希便会触发缝隙,缝隙运用成功后将内置的后门程序(Telegram Desktop.exe)开释到用户核算机发动项目录中,当用户重启或登录体系都会履行该远控木马,然后操控受害者核算机。

360要挟情报中心经过相关剖析后发现,该侵犯活动疑似与“黄金鼠”APT安排(APT-C-27)相关,而且经过进一步溯源与相关,咱们还发现了多个与该安排相关的Android渠道的歹意样本,这类样本首要伪装成一些常用软件向特定方针人群进行侵犯,结合歹意代码中与侵犯者相关的文字内容,能够猜想侵犯者也比较了解阿拉伯语。

后门程序(TelegramDesktop.exe)在VirusTotal上的检测状况

谷宜成 密室逃脱,疑似APT-C-27运用WinRAR缝隙的定向侵犯活动剖析,厄瓜多尔

样本剖析

360要挟情报中心针对该运用WinRAR缝隙的样本进行了剖析,相关剖析如下。

运用恐袭事情诱导解压 MD5 314e8105f28530eb0bf54891b9b3ff69 文件名

该歹意压缩文件包含一个OfficeWord文档,文档内容为一次恐怖袭击相关事情。中东区域因为其政治、地舆等特别性,该区域遭受恐怖袭击繁复,公民深受其害,所以该区域公民关于恐怖袭击等事情灵敏,致使受害者解压文档的或许性添加:

钓饵文档翻译内容

用户假如解压该歹意压缩包,则会触发WinRAR缝隙,然后开释内置的后门程序到用户发动目录中:

当用户重新发动核算机或登录体系后将履行开释的后门程序Telegram Desktop.exe。

Backdoor(Telegram Desktop.exe) 文件名 Telegram Desktop.exe MD5 36027a4abfb702107a103478f6af49be SHA256 76fd23de8f977f51d832a87d7b0f7692a0ff8af333d74fa5ade2e99fec010卢海鹏试咪689 编译信息 .NET

后门程序TelegramDesktop.exe会从PE资源中读取数据并写入到:%TEMP%\Telegram Desktop.vbs,随后履行该VBS脚本,并休眠17秒直到VBS脚本运转完结:

该VBS脚本的首要功用为经过Base64天途易居解码内置的字符串,并将解码后的字符串写入到文件:%TEMP%\Process.exe,终究履行Process.exe:

Process.exe履行后会在%TEMP%目录下创立米高诺斯岛文件1717.txt,并写入与终究履行的后门程序相关的数据,以供Telegram Desktop.exe后续运用:

随后TelegramDesktop.exe便会读取1717.txt文件的内容,并将其间的特别字符替换:

之后再经过Base64解码数据,并在内存中加载履行解码后的数据:

终究在内存中加载履行的数据为njRAT后门密室逃脱,疑似APT-C-27运用WinRAR缝隙的定向侵犯活动剖析,厄瓜多尔程序,相关装备信息如下:

njRAT

内存加载履行的njRAT后门程序会首要创立互斥量,确保只要一个实例运转:

并判别当时运转途径是否为装备文件中设置的途径,若不是则仿制本身到该途径发动履行:

随后封闭附件查看器和防火墙:

并敞开键盘记录线程,将键盘记录的成果写入注册表:

敞开通讯线程,与C&C地址树立通讯并承受指令履行:

该njRAT远控还具有长途SHELL、插件下载履行、长途桌面、文件办理等多个功用:

Android渠道样本剖析

360要挟情报中心经过VirusTotal还相关到了“黄金鼠”(APT-C-27)APT安排最近运用的多个Android渠道的歹意样本,其相同运用了82.137.255.56作为C&C地址(82.137.2doskoinpo55.56:1740):

而近期相关到的Android渠道后门样本首要伪装为Android体系更新、Office晋级程序等常用软件。咱们以伪装为Office晋级程序的Android样本为例进行了剖析,相关剖析如下:

文件MD5 1c自缚教程c32f2a3无良王爷赖皮妃51927777fc3b2ae5639f4d5 文件名 OfficeUpdate2019.apk

该Android样本发动后,会诱导用户激活设备办理器,接着躲藏图标并在后台运转:

诱导用户完结装置后,样本会展现如下界面:

接着样本将经过Android默许的SharedPreferences存储接口来获取上线的IP地址和端口,假如获取不到,就解码默许的硬编码IP地址和端口上线:

相关IP地址的解码算法:

终究解码后的IP地址为:82.137.255.56,端口也是需要把硬编码后的端口加上100来得到终究的端口1740:

当衔接C&C地址成功后,便会发送上线包、承受操控者的指令并履行。该样本具有录音、摄影、GPS定位、上传联系人/通话记录/短信/文件、履行云端指令等功用:

Android后门样本的相关指令及功用列表如下:

指令 功用 16 心跳打点 17 connect 18 获取指定文件的基本信息 19 下载文件 20 上传文件 21 删去文件 22 依照云端指令仿制文件 23 依照云端指令移动文件 24 依照云端指令重命名文件 25 运转文件 28 依照云端指令创立目录 29 履行云端指令 30 履行一次ping指令 31 获取并上传联系人信息 32 获取并上传短信 33 获取并上传通话记录 34 开端录音 35 中止并上传录音文沙陀忠黑化件 36 摄影 37 开端GPS定位 38 中止GPS定位并上传位置信息 39 运用云端发来的ip/port 40 向云端陈述当时运用的ip/port 41 获取已装置运用的信息

值得注意的是,在该样本回传的指令信息中包含了阿拉伯语的相关信息,因而咱们估测侵犯者有较大或许了解运用阿拉伯语:

溯源与相关

经过查询本次捕获的后门程序C&C地址(82.137.255.56:1921)可知,该IP地址自2017年起便屡次被APT-C-27(黄金鼠)安排运用,该IP地址疑似为该安排的固有IP财物。经过360网络研究院大数据相关渠道能够看到与该IP地址相关的多个样本信息:

经过360要挟情报中心要挟剖析渠道(ti.360.net)查询该C&C地址,也被打上了APT-C-27相关的标签:

而且从本次捕获到的相关木马样本(Windows胡诺言和陈琪和Android渠道)的功用模块、代码逻辑、内置信息言语、方针人群、网络财物等信息都和早前曝光的APT-C-27[2]运用的木马样本信息高度类似。所以360要挟情报中心以为密室逃脱,疑似APT-C-27运用WinRAR缝隙的定向侵犯活动剖析,厄瓜多尔本次截获的相关样本相同也与“黄金鼠”APT安排(APT-C-27)相关。

总结

正如咱们的猜测,运用WinRAR缝隙(CVE-2018-20250)传达歹意程序的侵犯行为正处在迸发阶段,360要挟情报中心此前观察到多个运用此缝隙进行的APT侵犯活动,而本次截获的疑似“黄金鼠”APT安排(APT-C-27)运用WinRAR缝隙的定向侵犯活动仅仅只是很多运用该缝隙施行定向侵犯事例中的一例。因而360要挟情报中心再次提示各用户及时做好该缝隙防护办法。(见“缓解办法”一节)

缓解办法

1、 软件厂商现已发布了最新的WinRAR版别,好妹妹图片360要挟情报中心主张用户及时更新晋级WinRAR(5.70 beta 1)到最新版别,下载地址如下:

2、 如暂时无法装置补丁,能够直接删去缝隙的DLL(UNACEV2.DLL),这样不影响一般的运用,可是遇到ACE的文件会报错。

现在,根据360要挟情报中心的要挟情报数据的全线产品,包含360要挟情报渠道(TIP)、天擎、天眼高档要挟密室逃脱,疑似APT-C-27运用WinRAR缝隙的定向侵犯活动剖析,厄瓜多尔检测体系、360 NGSOC等,都现已支撑对此类侵犯的准确检测。

IOCs 歹意ACE 文件MD5 314e8105f28530eb0bf54891b9b3ff69 Backdoor(Telegram Desktop.exe) MD5 3602密室逃脱,疑似APT-C-27运用WinRAR缝隙的定向侵犯活动剖析,厄瓜多尔7a4abfb702107a103478f6af49be Process.exe ec69819462f2c844255248bb90cae801 Backdoor MD5 83483a2ca251ac498aac2abe682063da 9dafb0f428ef660d4923fe9f4f53bfc0 2bdf97da0a1b3a40d12bf65高兴大本营20150502f361e3baa 1d3493a727c3bf3c93d8fd941ff8accd 6e36f8ab2bbbba5b027ae3347029d1a3 72df8c8bab5196ef4dce0dadd4c0887e Android 样本 5bc2de103000ca1495d4254b6608967f( – .尚兰秀apk) ed81446dd50034258e5ead2aa34b33ed(cha密室逃脱,疑似APT-C-27运用WinRAR缝隙的定向侵犯活动剖析,厄瓜多尔tsecureupdate2019.apk) 1cc32f2a351927777fc3b2ae5639f4d5(OfficeUpdate2019.apk) PDB q245rhic途径 C:\Users\Albany\documents\visual studio 2012\Projects\New March\New March\obj\Debug\New March.pdb C:\Users\Albany\documents\visual st周绍宁udio 2012\Projects\March\March\obj\Debug\March.pdb C:\Users\Albany\documents\visual studio 2012\Projects\December\December\obj\Debug\December.pdb C&C 82.13密室逃脱,疑似APT-C-27运用WinRAR缝隙的定向侵犯活动剖析,厄瓜多尔7.255.56:1921 82.137.255.56:1994 82.137.255.56:1740 参阅链接

(黄金鼠安排–叙利亚区域的定向侵犯活动)

[3]. (无法解密!首个运用WinRAR缝隙传达的不知道勒索软件(JNEC)剖析)

[4].(警觉!WinRAR缝隙运用晋级:社工、加密、无文件后门)

[5].(首个完好运用WinRAR缝隙传达的歹意样本剖析)

*本文作者:360天眼实验室,转载请注明来自FreeBuf.COM

Android 360 AR
声明:该文观念仅代表作者自己,搜狐号系信息发布渠道,搜狐仅供给信息存储空间效劳。

相关文章

标签列表