查看原文
其他

一起针对韩国多个机构的窃密攻击活动分析

安天CERT 安天集团 2022-06-09
点击上方"蓝字"关注我们吧!



01概述
安天CERT监测到一起目标为韩国奖学金基金会、重工企业等多个机构的窃密攻击活动。攻击者利用钓鱼邮件的方式投递恶意载荷,主题为“请求基础产业报价”的报价单,以此诱导受害者解压并执行压缩包中的LokiBot窃密木马,导致用户的隐私和信息泄露。


LokiBot窃密木马执行后,会自动收集受害者的浏览器数据、电子邮件、远程连接凭据等数据并回传至攻击者服务器,造成受害者数据泄露。LokiBot还支持接收C2命令、执行下载其他恶意代码等功能,对受害者数据产生更多威胁。


经验证,安天智甲终端防御系统(简称IEP)可实现对该窃密木马的有效查杀和对用户终端的切实防护。



02事件对应的ATT&CK映射图谱

2.1 事件对应的ATT&CK映射图谱


事件对应的样本技术特点分布图:

图2‑1 技术特点对应ATT&CK的映射


具体ATT&CK技术行为描述表:


表2‑1 ATT&CK技术行为描述表

ATT&CK阶段/类别

具体行为

注释

资源开发

获取基础设施

搭建C2服务器

能力获取

获取窃密程序

初始访问

网络钓鱼

投放钓鱼邮件

执行

诱导用户执行

诱导用户执行

持久化

利用自动启动执行引导或登录

设置自启动

防御规避

反混淆/解码文件或信息

反混淆木马载荷

修改文件和目录权限

修改文件权限

隐藏行为

隐藏行为

混淆文件或信息

混淆木马载荷

进程注入

创建自身进程并注入

利用反射代码加载

利用反射机制加载代码

凭证访问

从存储密码的位置获取凭证

窃取浏览器保存的密码

窃取Web会话Cookie

窃取浏览器Cookie

发现

发现文件和目录

发现文件和目录

查询注册表

查询注册表

发现软件

发现待窃密的软件

发现系统信息

发现系统信息

发现系统所有者/用户

发现系统用户名

发现系统时间

发现系统时间

收集

压缩/加密收集的数据

加密收集的数据

自动收集

自动收集数据

收集电子邮件

收集电子邮件

命令与控制

使用应用层协议

使用HTTP协议

数据渗出

自动渗出数据

自动回传数据

使用C2信道回传

使用与C2相同信道回传



03防护建议

有效防御窃密木马,提升安全防护水平,安天建议企业采取如下防护措施:

3.1 提升主机安全防护能力


(1)安装终端防护系统:安装反病毒软件,建议安装安天智甲终端防御系统


(2)加强口令强度:避免使用弱口令,建议使用16位或更长的密码,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令;


(3)部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对恶意代码的发现与追踪溯源。安天探海威胁检测系统(PTD)以网络流量为检测分析对象,能精准检测出已知海量恶意代码和网络攻击活动,有效发现网络可疑行为、资产和各类未知威胁;


3.2  使用沙箱分析可疑邮件


(1)接收邮件时要确认发送来源是否可靠,避免打开可疑邮件中的网址和附件;


(2)建议使用沙箱环境执行可疑的文件,在确保安全的情况下再使用主机执行。安天追影威胁分析系统(PTA)采用深度静态分析与沙箱动态加载执行的组合机理,可有效检出分析鉴定各类已知与未知威胁。


3.3  遭受攻击及时发起应急响应


(1)联系应急响应团队:若遭受恶意软件攻击,建议及时隔离被攻击主机,并保护现场等待安全工程师对计算机进行排查;安天7*24小时服务热线:400-840-9234。


经验证,安天智甲终端防御系统(简称IEP)可实现对该窃密木马的有效查杀和对用户终端的切实防护。

                           

图3‑1 安天智甲为用户终端提供有效防护



04攻击流程

4.1 攻击流程图


攻击者投放钓鱼邮件,诱导受害者解压并执行邮件附件中的窃密木马。该木马执行后,会窃取浏览器、电子邮件等重要数据回传至指定的C2服务器,然后等待C2指令进行下一步操作,C2指令包括再次窃取数据、下载并执行插件、升级自身、自我删除等。

                    

图4‑1 攻击流程图


4.2 具体攻击流程


攻击者利用钓鱼邮件的方式投递名为“SGN-INC-27049.pdf.7z”的压缩包文件,主题为“请求基础产业报价”的报价单,以此诱导受害者解压并执行压缩包中的LokiBot窃密木马,实施窃密行动。

图4‑2 发送给韩国奖学金基金会的钓鱼邮件


图4‑3 发送给韩国某重工企业的钓鱼邮件


两封邮件内容均为:


大家好我是基础产业李贤泽


请尽快报价所附文件。


辛苦了。


用户点击附件后会从指定URL下载LokiBot窃密木马的压缩包,解压执行后将会感染该窃密木马。域名attach.mail.daum.net为某韩国邮件服务商用于提供邮件附件下载服务的域名。

图4‑4 钓鱼邮件源代码



05样本分析

5.1  样本标签


表5‑1 二进制可执行文件

病毒名称

Trojan[Spy]/Win32.LokiBot

原始文件名

SGN-INC-27049.pdf.exe

MD5

698CCE9E11CCC4763B8F76483708BB90

处理器架构

Intel  386 or later, and compatibles

文件大小

679.50  KB (695,808字节)

文件格式

BinExecute/Microsoft.EXE[:X86]

时间戳

2022-01-28  00:15:36

数字签名

加壳类型

编译语言

.NET

VT首次上传时间

2022-01-28  01:37:17

VT检测结果

42/67


5.2  加载器分析


样本使用ReZer0(别称:CyaX-Sharp)加载器,该加载器含有多层嵌套加载的.NET载荷,使用图片隐写术隐藏数据,最终会将载荷镂空注入到新创建的自身进程中执行。

                           

图5‑1 加载器中加载的LokiBot木马程序


5.3  载荷分析


样本通过对比API函数名称的哈希值获取所需的API地址。


图5‑2 使用函数名称的哈希值获取函数


LokiBot特色哈希算法如下。


图5‑3 用于计算函数名称哈希的函数

样本启动后,首先检查-u参数,若存在则延迟10秒执行,该参数用于样本自身升级。


图5‑4 检查-u参数

使用WSAStartup函数初始化网络对象,并创建互斥体。互斥体名称为设备识别号的MD5哈希值大写前24个字符,若无法获取则为随机10位字符串。互斥体创建成功后的整体运行流程如下。


图5‑5 总体功能

  • 窃取数据


构建函数数组并依次执行数组中的函数,每个函数均包含针对某软件的窃密功能。


图5‑6 窃密功能函数列表

详细的窃密范围如下表所示。


表5‑2 窃密数据范围

浏览器

Black Hawk

Chrome

Cyberfox86

FireFox

Flock

IceDragon

Internet Explorer

K-Meleon

Lunascape6

Opera

Pale Moon

QtWeb

QupZilla

Safari

SeaMonkey

Waterfox

密码管理器

1Password

Enpass

KeePass

mSecure

Roboform




远程管理工具

32BitFtp

AbleFTP

ALFTP

Automize

BitKinex

BlazeFtp

BvSshClient

ClassicFTP

Cyberduck

DeluxeFTP

EasyFTP

ExpanDrive

Far FTP Pulgins

Fastream NETFile

FileZilla

FlashFXP

Fling

FreshFTP

FTP Navigator

FTP Now

FTPBox

FTPGetter

FTPInfo

FTPShell

fullsync

GoFTP

JaSFtp

KiTTY

LinasFTP

MyFTP

NetDrive2

NexusFile

NovaFTP

NppFTP

Odin Secure FTP Expert

SecureFX

SftpNetDrive

sherrod FTP

SmartFTP

Staff-FTP

Steed

SuperPutty

Syncovery

Total Commander

UltraFXP

VNC

wcx_ftp

WinFtp Client

WinSCP

WS_FTP

Xftp


电子邮件

CheckMail

FossaMail

Foxmail

Gmail Notifier Pro

IncrediMail

MailBox

Mozilla Thunderbird

Opera Mail

Outlook

Pocomail

Postbox

Softwarenetz Mailing

Trojitá

TrulyMail

Ymail


笔记

Microsoft Sticky

NoteFly

NoteZilla

Stickies

To-Do




其他

*.SPN

Full Tilt Poker

Mikrotik Winbox

pidgin

Poker Stars

WinChips




  • 回传数据


在内存中解密C2地址“http://178.128.244.245/search.php?key=c7efe16273fb99ba59033ba0f61e25db”。

                           

图5‑7 获取C2地址

回传时使用的User Agent字段为“Mozilla/4.08(Charon; Inferno)”。


图5‑8 回传时使用的User Agent值


  • 持久化


将自身移动或复制到%Appdata%内的子文件夹并设置为隐藏文件,子文件夹名称为计算机硬件ID的MD5哈希值第8~13位,文件名为该MD5哈希的13~18位。


图5‑9 复制自身到%Appdata%目录下

使用SHRegSetPathW函数在注册表中设置自启动项,但样本实际设置的注册表路径为“HKEY_CURRENT_USER\<C2地址>”,并非自启动的“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”,疑似为攻击者在设置C2地址时出现的字符串修改错误。


图5‑10 样本设置的注册表项

  • 获取C2指令,执行后续功能


根据C2指令进行进一步操作,支持的功能包括再次窃取数据、下载并执行插件、升级自身、自我删除等。


图5‑11 接收模块下载指令



06IoCs

576F333C25BFD3703CA6648333A9EAF2

44C0492150737129197C9E9080695D32

698CCE9E11CCC4763B8F76483708BB90

https://attach.mail.daum.net/bigfile/v1/urls/d/1Utz1pQNfDRk9WIHIzhAzEiFM4A/y62N4Mx096L_VjDAfJy8hw

https://attach.mail.daum.net/bigfile/v1/urls/d/UXZowoyb1UMf5pgLGjPTvx2k-6A/H_Exi4Ced18csLvJ95AeHA

http://178.128.244.245/search.php?key=c7efe16273fb99ba59033ba0f61e25d



往期回顾

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存