疑似美国新网络武器披露:DePriMon下载器攻击框架
前言
突破性的捕获,可补充此前针对CIA Lambert网络武器的研究。
正文
DePriMon是一个恶意下载器,具有多个阶段,并且使用许多非传统技术。其自2017年3月以来一直处于活跃状态。而在ESET的观测来看,DePriMon在位于中欧的一家私营公司以及中东的数十台计算机中被检测到。其中用作C&C服务器的某些域名包含阿拉伯语单词,这表示针对特定地区的攻击活动。
而该攻击活动由于缺少投递环节发现,因此分析仅从投递完成后的阶段开始进行分析。
当然,这个恶意软件的特殊之处,在于ESET在报告里面说的这样一番话。
原文:
However, it should be noted that, in a fewcases, DePriMon was detected with ColoredLambert malware on the same computerswithin a short time frame. ColoredLambert is used by the Lamberts (akaLonghorn) cyberespionage group and linked to the Vault 7 leak of CIAcapabilities. Our colleagues from Symantec and Kaspersky published theiranalyses in April 2017.
译文:
但是,应该指出的是,在少数情况下,在很短的时间内在同一台计算机上检测到DePriMon下载器,并在同一台计算机上检测到ColoredLambert恶意软件。Lamberts(又名Longhorn)网络间谍组织使用了ColoredLambert,并将其与Vault 7的CIA能力泄漏联系在一起。
其中ColoredLambert指的便是Black Blue Green这些。
有更深兴趣可看CIA武器相关分析:
https://securelist.com/unraveling-the-lamberts-toolkit/77990/
https://www.symantec.com/connect/blogs/longhorn-tools-used-cyberespionage-group-linked-vault-7
下面是本例子的具体分析
技术分析
第二阶段
DePriMon的第二阶段和第三阶段DLL模块都在初始阶段被传送到受害者主机上。第二阶段将自行安装并使用加密的硬编码路径加载第三阶段。也许是在第一阶段投递后再配置的硬编码路径。
为了实现持久性,该恶意软件注册了一个新的本地端口监视器,这是Port Monitors(端口监视器) 技术的一个窍门。为此,其使用WindowsDefault Print Monitor(Windows默认打印监视器)命名,名称缩写后便是ESET的命名为DePriMon的依据,而从其复杂的模块化的架构可看出其是一个框架。
▲Port Monitors
而第二阶段通过创建以下注册表项和值,并将第三阶段的DLL注册为端口监视器:
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\WindowsDefault Print Monitor
Driver = %PathToThirdStageDLL%
创建此注册表项需要管理员权限。
在系统启动时,已注册的DLL将由具有系统权限的spoolsv.exe加载,从而绕过杀软。
“spoolsv.exe 是Print Spooler的进程,管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,本地计算机上的打印将不可用。该进程属 Windows 系统服务。”
此外,第二阶段会定期检查%system32%文件夹中是否存在与第三阶段DLL文件同名但没有扩展名“ .dll”的文件。该文件用作卸载触发器,如果DePriMon找到它,它将通过覆盖二进制文件然后删除它们,以安全的方式删除此文件及其自身的组件。
第三阶段
第三阶段负责从DePriMon的C2服务器处下载主要Payload,该方法还实现了一些有趣的技术。
对于C&C通信,它使用Microsoft实现的SSL / TLS,HTTPS安全通道,而不是WinAPI或WinInet之类的常见API 。它的配置非常复杂,恶意软件的处理方式也是如此。最后,作者在加密方面投入了大量精力,使得DePriMon恶意软件更加难以分析。
C&C通信
DePriMon通过TLS进行安全通信,但是与恶意软件中的典型情况相比,通信级别不高。该连接是使用Windows socket初始化,可以继续使用协商/ NTLM SSP初始化经过身份验证的安全支持提供程序接口(SSPI)会话。之后,DePriMon使用Microsoft 安全通道Schannel进行通信。
根据配置文件中的特定标志【使用/不使用SSPI】,可以利用计算机的本地代理设置。注:Security Support Provider Interface(Microsoft安全支持提供器接口)。该实现类似于Microsoft提供的此示例。
https://docs.microsoft.com/en-us/windows/win32/secauthn/using-sspi-with-a-windows-sockets-client
该恶意软件通过Schannel实现的TLS与Coast Research&Development的此示例相似。http://www.coastrd.com/c-schannel-smtp
它包括创建凭据,执行客户端握手以及验证服务器证书。
图1. Hex-Rays反编译器输出的部分SSPI实现方法
建立通信后,第三阶段每次都手动对消息进行加密和解密。
配置信息
DePriMon第三阶段的配置数据有27个成员变量,下载后将使用AES-256进行变量加密并嵌入二进制文件中。
在第一次运行期间,DePriMon使用密钥2解密配置数据,并使用密钥3加密配置数据存储在临时文件夹中。
其通过以下过程创建配置文件的文件名:从第二个字节开始,将密钥2的值转换为以36为底的数字,但使用自定义字母“ abc…xyz012…789”进行编码。配置文件的扩展名为“ .tmp”。
配置文件路径的示例:%temp%\ rb1us0wm99sslpa1vx.tmp。
在下一次运行期间,下载程序从文件而不是从自身读取配置数据,方便更新配置。
由于其安全的设计,配置不会以未加密的形式保留在内存中。每次下载程序需要使用配置文件的某些元素时,下载程序都会解密配置文件、检索指定成员变量并再次加密文件。
这种设计可保护恶意软件的主要功能(C&C通信)免受内存取证。
图2.代码说明了DePriMon恶意软件如何解密配置文件,将一些成员保存到局部变量并再次对其进行加密
配置文件具有以下特征(黑鸟水印):
1、配置文件中有两个用户名和密码,分别用于连接代理服务器。这意味着攻击者正准备通过具有凭据的代理来进一步进行攻击。(目前未见使用,黑鸟指给你看的上图代码中就有变量名)
2、配置文件中有三个C&C服务器地址,分别在不同场合使用。
3、配置文件中有三个端口,分别在不同场合使用。
4、配置文件中有指示下载程序是通过安全支持提供程序接口(SSPI)初始化Socket进行连接,还是通过代理进行连接。
除了从恶意软件样本中提取的C&C服务器之外,还确定了可能与此恶意软件相关的其他域名和服务器。
加密
该恶意软件将AES加密算法与三个不同的256位密钥分别用于不同的功能。
密钥1:用于解密恶意软件中的各种敏感字符串。
C097CF17DC3303BC8155534350464E50176ACA63842B0973831D8C6C8F136817
密钥2:用于对内存中的配置数据进行加密和解密(如前所述)。此密钥还用于生成第三个密钥。
8D35913F80A23E820C23B3125ABF57901BC9A7B83283FB2B240193ABDEDE52B9
密钥3:用于磁盘上配置文件的加密和解密。
该密钥不是硬编码的,而是使用32字节的数组派生的,然后对其进行加密。该数组的生成方式如下:前4个字节是系统驱动器的卷序列号,其余28个字节包含值5 –32。此数组用密钥2加密,得到密钥3。
结论
DePriMon是一个非常高级的下载器,其开发人员在建立体系结构和设计关键组件上付出了很大努力。
DePriMon被下载到内存中,并使用反射DLL加载技术从那里直接作为DLL执行。而它永远不会存储在磁盘上,并且其具有令人惊讶的庞大配置文件,其中包含几个有趣的元素,它的加密已正确实现,并有效地保护了C&C通信。
因此,DePriMon是一个功能强大,灵活且持久的工具,旨在下载并执行Payload,并在此过程中收集有关系统及其用户的一些基本信息。
而ESET并没有将下载器下载回来的Payload进行分析,而是在开头说明,在该下载器植入的受害者主机,运行着ColoredLambert系列的恶意软件,这也恰恰指出,该下载器即为美国CIA的武器库。
因此,请尽快通过原文给出的Hash,域名,IP,释放文件特征进行自查,防止被美利坚CIA入侵至今还未发现。
虽说文章已经在外网传开,但为了不影响工作,需要相关信息的请自行前去打开网址获取,若无需求请勿随意打开,防止留记录,你懂的。
地址:
https://www.welivesecurity.com/2019/11/21/deprimon-default-print-monitor-malicious-downloader/
若有更多有关美国CIA网络武器库的威胁情报,欢迎前来与黑鸟交流。
上期阅读
▲互联网泄露11.9亿份机密医疗图像:包含美国国防部军事防御人员ID
▲黑客窃密,前男友敲诈....伊拉克境内的图片勒索行为正在蔓延
鉴于该管理法即将颁布,因此我将知识星球封山了,有需要的赶紧扫码进入,比公众号好看的情报里面比比皆是,并且严禁传播,从此信息孤岛化时代,彻底来临。
转个发,每日一个奇葩情报故事