又雙叒叕是你!有人開始利用虛假《權利的遊戲》泄漏資源發起APT攻擊
前言
《權力的遊戲》資源被盜已經不是什麼新鮮事,除了背後的黑客能用它來賺取贖金外,最高興的莫過於追劇的粉絲了。粉絲的邏輯通常是這樣的:資源泄漏>資源出現>下載種子>瘋狂追劇。所以,對看片一族來說,種子是個神奇的東西。
對於愛看片的同胞來說,能夠找到種子無疑是件幸福無比的事情。但是在欣喜之餘,你的種子也有可能被黑客盯上,趁機對用戶發起攻擊,比如有APT攻擊者開始利用虛假的《權利的遊戲》泄漏資源發起攻擊。
釣魚攻擊
Proofpoint最近觀察到一個有針對性的釣魚電子郵件,標題為《想提前看看權力的遊戲劇情嗎?》,該郵件的附件包含有Word文檔以及《權力的遊戲》的高清截圖來吸引用戶下載,一旦你下載了這個附件,攻擊者就會在你電腦上安裝「9002」遠程控制木馬。回顧「9002」遠程控制木馬的攻擊,可以發現:
1.它與Google 2016年1月發現的Aurora攻擊事件有關,這次攻擊以Google和其它大約20家公司為目標,是一種高級的持續性威脅,它是由一個有組織的網路犯罪團體精心策劃的,目的是長時間地滲入這些企業的網路並竊取數據。
2.2014年,FireEye發現有黑客組織利用新的IE10 0day漏洞 (CVE-2014-0322) ,對美國軍方目標人員發起代號「雪人」(SnowMan)的「酒吧攻擊」,目標是竊取軍事情報。
3.2016年,Palo Alto發現有組織利用「9002」遠程控制木馬對亞洲某些國家發起攻擊
一旦安裝,9002 RAT就能為攻擊者提供強大的數據查看功能。
8月10號,Proofpoint檢測到標題為《想提前看看權力的遊戲劇情嗎?》的惡意電子郵件,聲稱包含未發布的《權力的遊戲》的內容。今年7月末,黑客從HBO盜走了1.5TB的數據,其中包括《權力的遊戲》主創人員的個人信息、一些還未播放的劇集和腳本。
圖1:具有包含.docx附件的的電子郵件
上圖所示的電子郵件包含一個名為「game of thrones preview.docx」的Word附件(下圖所示),與電子郵件類似,該文件的內容都是關於一些未播放的內容。實際上,未播放的內容是一個嵌入式的.LNK(一個OLE包裝器shell對象),如果運行,則就會執行惡意PowerShell腳本,導致「9002」RAT的安裝。
圖2:包含惡意的.LNK打包程序對象的.docx文檔附件
有效載荷分析
當嵌入的.LNK對象由潛在的受害者執行時,它使用修改的Invoke-Shellcode PowerShell腳本運行PowerShell命令,以下載使用XOR和base64混淆的兩個文件。第一個下載的文件包含9002 RAT shellcode,它被注入到合法的Windows Mail二進位wabmig.exe中。(如圖3所示)。另一個下載的文件是一個.LNK文件,用於在受感染的計算機上維護攻擊的持久性。檢索編碼有效載荷的HTTP請求是相當基礎的,不需要偽裝成合法的瀏覽器請求(圖4)。有趣的是,如果使用任何類型的用戶代理請求相同的URI,則會返回合法的JPG(圖5)。持久性.LNK作為UpdateCheck.lnk存儲在啟動目錄中,並包含與.LNK下載器幾乎相同的PowerShell腳本。然而,它不是下載shellcode,而是將已經下載的shellcode打開,解碼並注入到新創建的wabmig.exe進程中。
圖3:從LNK包中找到的PowerShell腳本的摘要
圖4:HTTP請求下載編碼的有效載荷
圖5:用戶代理接收合法JPG而不是有效載荷的HTTP請求
9002的這種變體能夠通過HTTP和似乎很假的SSL進行通信。假的SSL組件至少包含兩個硬編碼數據包:一個用於Client_Hello,另一個用於Client_Key_Exchange。大多數硬編碼的值,如會話ID(圖6,7),保持不變。但是,隨機欄位是動態生成的(GMT Unix時間和隨機位元組)。最後,Client_Hello嘗試通過在SNI欄位中發送該域來模擬SSL流量到 login.live[.]com(圖8)。
圖6:9002中Client_Hello硬編碼的會話ID
圖7:Client_Hello硬編碼的會話ID出現在網路流量中
圖8:SNI欄位中的合法 login.live[.]com域發送到C&C
在這種9002變體中使用的HTTP流量和編碼有幾個不同的特徵。發送到HTTP POST的客戶端中的命令和控制(C&C)的數據使用自定義演算法(後跟基於base64的編碼)以編碼狀態傳輸(圖9)。
圖9:HTTP POST請求發送到9002 C&C
幾個標題是硬編碼的,包括Accept和用戶代理標頭:
Accept:text/html,application/xhtml+xml,application/xml,*/*
用戶代理:Mozilla / 5.0(兼容; MSIE 9.0; Windows NT 6.1; WOW64; Trident / 5.0)另外還有兩個不同的硬編碼URI(圖10):n
/?FORM=Desktop&setmkt=en-us&setlang=en-us
/config/signin動態生成的URI也可以使用以下格式:「/%x.htm?」。n
圖10:HTTP Post請求發送到9002顯示另一個硬編碼的URI
該9002版本中使用的編碼演算法是FireEye分析的「4個位元組的XOR版本9002」的迭代。代替在舊版本中使用的標準動態4位元組XOR運算,動態4位元組XOR密鑰與「x3Ax42x46x41x53x41x39x41x46x2Dx44x38x37x32x6DxF1x51x4AxC0x2Dx3Ax43x31x30x2Dx30x30x43x30x35x4Ax4Dx39xF3xD3x38x2Bx7D」的靜態38位元組種子一起使用,生成最終的256位元組XOR密鑰。為了產生最終的密鑰,首先使用38位元組的種子進行迭代加法以產生一個256位元組的值(圖11)。
圖11:使用迭代加法和靜態38位元組種子值的256位元組種子初始化
接下來,編碼數據的前4個位元組與256位元組值進行XOR運算,以產生最終的256位元組XOR(圖12)。然後,該密鑰與其餘的編碼數據進行XOR運算(圖13)。
圖12:生成最終256位元組的XOR密鑰
圖13:使用最終256位元組XOR密鑰進行XOR運算
類似於以前9002的版本,類似於日期(「 x17 x05 x15 x20」)的值在惡意軟體中被硬編碼,並且可以在發送到其C&C的信標中的偏移量0x1C處找到(圖14)。
圖14:發送到其C&C的9002流量被解碼,並顯示硬編碼值
該值可能代表的是2015年5月17日的日期,但是我不知道這個日期是否有意義。另外一個值201707在這個變體中是硬編碼的,可能是指2017年7月(圖15)。
圖15:9002變式中的硬編碼201707
這是最有可能的解釋,因為這是惡意LNK PowerShell下載工具最早使用過的(SHA256 9e49d214e2325597b6d648780cf8980f4cc16811b21f586308e3e9866f40d1cd),我已經確定它是一個壓縮文件(SHA256 bdd695363117ba9fb23a7cbcd484d79e7a469c11ab9a6e2ad9a50c678097f100),並與2017年7月6日上傳到一個惡意文件掃描服務。該ZIP包包含在《權利的遊戲》攻擊中使用的LNK的四個相同副本中,以及似乎是一張庫存圖片的合法JPG 「party」。我還在名為「need help.docx」的DOCX文檔附件中確定了使用相同LNK的第三個可能的運行(圖16)。在這種情況下,攻擊者會誘惑用戶雙擊用LNK偽裝成的視頻。
圖16:使用相同的LNK的惡意文件,如ZIP和Game of Thrones文件
在搜索其他可能相關的攻擊活動時,我發現至少早在2014年4月就發生了類似的攻擊。包含類似LNK下載工具(圖17)的幾個ZIP壓縮文件被上傳到惡意文件掃描服務。
圖17:2014年觀察到的惡意LNK PowerShell下載工具
這五個 檔案文件都包含了一個類似的庫存圖片,以及多個副本的惡意LNK,以聚會圖片為主題的名稱。 LNK PowerShell下載程序使用與最近攻擊類似的路徑以及相同的「/ x /」URI。而不是使用代碼注入,但打包的可執行文件(PE)嵌入在PowerShell腳本中,保存為x.exe,用於執行保存為y.exe的下載的有效內容。另一個相似之處在於,2014年發現的LNK與最近的攻擊(0xCC9CE694)共享與LNK相同的卷序列號。卷序列號是LNK文件中的元數據,由於卷序列號匹配,我知道它們更有可能在設備上創建或使用相同的構建器。
不過,我並不知道在mn1[.]org上託管了什麼有效載荷。然而,兩個ZIP存檔包含一個名為PhotoShow.jar的Java有效載荷,最終執行一個無磁碟的9002變體,並帶有mx[.]i26[.]org的C&C。此變體具有硬編碼的標識符 「x28x02x13x20」(圖18)。
圖18:9002硬編碼標識符
總結
在此,作為經常追劇小編,我的建議是,碰到喜歡的影片,我們最好還是看正版或通過正規渠道觀看。
本文翻譯自:https://www.welivesecurity.com/2017/08/01/view-torrents-threat/ ,嘶吼編輯編譯,文章略有刪減,如若轉載,請註明來源於嘶吼: http://www.4hou.com/info/news/7420.html 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:
※黑客技能:快速提取Windows密碼和Wi-Fi密鑰憑證
※華盟暨神州祥升安全聯盟峰會 圓滿閉幕!
※《絕對控制》啟示錄:信息安全和便捷的相對矛盾論
※威脅預警!福斯康姆Foscam C1網路攝像頭存在多個遠程代碼執行漏洞
※【轉載】Shadow-Brokers所泄露文件的介紹、技術分析(上)
TAG:信息安全 |