一起针对韩国多个机构的窃密攻击活动分析
2.1 事件对应的ATT&CK映射图谱
图2‑1 技术特点对应ATT&CK的映射
表2‑1 ATT&CK技术行为描述表
ATT&CK阶段/类别 | 具体行为 | 注释 |
资源开发 | 获取基础设施 | 搭建C2服务器 |
能力获取 | 获取窃密程序 | |
初始访问 | 网络钓鱼 | 投放钓鱼邮件 |
执行 | 诱导用户执行 | 诱导用户执行 |
持久化 | 利用自动启动执行引导或登录 | 设置自启动 |
防御规避 | 反混淆/解码文件或信息 | 反混淆木马载荷 |
修改文件和目录权限 | 修改文件权限 | |
隐藏行为 | 隐藏行为 | |
混淆文件或信息 | 混淆木马载荷 | |
进程注入 | 创建自身进程并注入 | |
利用反射代码加载 | 利用反射机制加载代码 | |
凭证访问 | 从存储密码的位置获取凭证 | 窃取浏览器保存的密码 |
窃取Web会话Cookie | 窃取浏览器Cookie | |
发现 | 发现文件和目录 | 发现文件和目录 |
查询注册表 | 查询注册表 | |
发现软件 | 发现待窃密的软件 | |
发现系统信息 | 发现系统信息 | |
发现系统所有者/用户 | 发现系统用户名 | |
发现系统时间 | 发现系统时间 | |
收集 | 压缩/加密收集的数据 | 加密收集的数据 |
自动收集 | 自动收集数据 | |
收集电子邮件 | 收集电子邮件 | |
命令与控制 | 使用应用层协议 | 使用HTTP协议 |
数据渗出 | 自动渗出数据 | 自动回传数据 |
使用C2信道回传 | 使用与C2相同信道回传 |
有效防御窃密木马,提升安全防护水平,安天建议企业采取如下防护措施:
3.1 提升主机安全防护能力
3.2 使用沙箱分析可疑邮件
(1)接收邮件时要确认发送来源是否可靠,避免打开可疑邮件中的网址和附件;
(2)建议使用沙箱环境执行可疑的文件,在确保安全的情况下再使用主机执行。安天追影威胁分析系统(PTA)采用深度静态分析与沙箱动态加载执行的组合机理,可有效检出分析鉴定各类已知与未知威胁。
3.3 遭受攻击及时发起应急响应
(1)联系应急响应团队:若遭受恶意软件攻击,建议及时隔离被攻击主机,并保护现场等待安全工程师对计算机进行排查;安天7*24小时服务热线:400-840-9234。
图3‑1 安天智甲为用户终端提供有效防护
4.1 攻击流程图
图4‑1 攻击流程图
4.2 具体攻击流程
图4‑2 发送给韩国奖学金基金会的钓鱼邮件
图4‑3 发送给韩国某重工企业的钓鱼邮件
图4‑4 钓鱼邮件源代码
5.1 样本标签
病毒名称 | Trojan[Spy]/Win32.LokiBot |
原始文件名 | SGN-INC-27049.pdf.exe |
MD5 | 698CCE9E11CCC4763B8F76483708BB90 |
处理器架构 | Intel 386 or later, and compatibles |
文件大小 | 679.50 KB (695,808字节) |
文件格式 | BinExecute/Microsoft.EXE[:X86] |
时间戳 | 2022-01-28 00:15:36 |
数字签名 | 无 |
加壳类型 | 无 |
编译语言 | .NET |
VT首次上传时间 | 2022-01-28 01:37:17 |
VT检测结果 | 42/67 |
5.2 加载器分析
样本使用ReZer0(别称:CyaX-Sharp)加载器,该加载器含有多层嵌套加载的.NET载荷,使用图片隐写术隐藏数据,最终会将载荷镂空注入到新创建的自身进程中执行。
5.3 载荷分析
样本通过对比API函数名称的哈希值获取所需的API地址。
LokiBot特色哈希算法如下。
样本启动后,首先检查-u参数,若存在则延迟10秒执行,该参数用于样本自身升级。
使用WSAStartup函数初始化网络对象,并创建互斥体。互斥体名称为设备识别号的MD5哈希值大写前24个字符,若无法获取则为随机10位字符串。互斥体创建成功后的整体运行流程如下。
窃取数据
构建函数数组并依次执行数组中的函数,每个函数均包含针对某软件的窃密功能。
详细的窃密范围如下表所示。
浏览器 | Black Hawk | Chrome | Cyberfox86 | FireFox |
Flock | IceDragon | Internet Explorer | K-Meleon | |
Lunascape6 | Opera | Pale Moon | QtWeb | |
QupZilla | Safari | SeaMonkey | Waterfox | |
密码管理器 | 1Password | Enpass | KeePass | mSecure |
Roboform | ||||
远程管理工具 | 32BitFtp | AbleFTP | ALFTP | Automize |
BitKinex | BlazeFtp | BvSshClient | ClassicFTP | |
Cyberduck | DeluxeFTP | EasyFTP | ExpanDrive | |
Far FTP Pulgins | Fastream NETFile | FileZilla | FlashFXP | |
Fling | FreshFTP | FTP Navigator | FTP Now | |
FTPBox | FTPGetter | FTPInfo | FTPShell | |
fullsync | GoFTP | JaSFtp | KiTTY | |
LinasFTP | MyFTP | NetDrive2 | NexusFile | |
NovaFTP | NppFTP | Odin Secure FTP Expert | SecureFX | |
SftpNetDrive | sherrod FTP | SmartFTP | Staff-FTP | |
Steed | SuperPutty | Syncovery | Total Commander | |
UltraFXP | VNC | wcx_ftp | WinFtp Client | |
WinSCP | WS_FTP | Xftp | ||
电子邮件 | CheckMail | FossaMail | Foxmail | Gmail Notifier Pro |
IncrediMail | MailBox | Mozilla Thunderbird | Opera Mail | |
Outlook | Pocomail | Postbox | Softwarenetz Mailing | |
Trojitá | TrulyMail | Ymail | ||
笔记 | Microsoft Sticky | NoteFly | NoteZilla | Stickies |
To-Do | ||||
其他 | *.SPN | Full Tilt Poker | Mikrotik Winbox | pidgin |
Poker Stars | WinChips |
回传数据
在内存中解密C2地址“http://178.128.244.245/search.php?key=c7efe16273fb99ba59033ba0f61e25db”。
回传时使用的User Agent字段为“Mozilla/4.08(Charon; Inferno)”。
持久化
将自身移动或复制到%Appdata%内的子文件夹并设置为隐藏文件,子文件夹名称为计算机硬件ID的MD5哈希值第8~13位,文件名为该MD5哈希的13~18位。
使用SHRegSetPathW函数在注册表中设置自启动项,但样本实际设置的注册表路径为“HKEY_CURRENT_USER\<C2地址>”,并非自启动的“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”,疑似为攻击者在设置C2地址时出现的字符串修改错误。
获取C2指令,执行后续功能
根据C2指令进行进一步操作,支持的功能包括再次窃取数据、下载并执行插件、升级自身、自我删除等。
576F333C25BFD3703CA6648333A9EAF2 |
44C0492150737129197C9E9080695D32 |
698CCE9E11CCC4763B8F76483708BB90 |
https://attach.mail.daum.net/bigfile/v1/urls/d/1Utz1pQNfDRk9WIHIzhAzEiFM4A/y62N4Mx096L_VjDAfJy8hw |
https://attach.mail.daum.net/bigfile/v1/urls/d/UXZowoyb1UMf5pgLGjPTvx2k-6A/H_Exi4Ced18csLvJ95AeHA |
http://178.128.244.245/search.php?key=c7efe16273fb99ba59033ba0f61e25d |