供应链攻击活动Red Signature分析

ang010ela 事件 2018年9月29日发布

导语:IssueMakersLab与Trend Micro的研究人员一起发现了Red Signature行动,一起窃取韩国企业信息的供应链攻击。研究人员7月底发现了这起攻击。

IssueMakersLab与Trend Micro的研究人员一起发现了Red Signature行动,一起窃取韩国企业信息的供应链攻击。研究人员7月底发现了这起攻击。

攻击者黑进了远程支持方案提供商的更新服务器,通过更新过程传播9002 RAT(remote access tool)。这个过程首先是窃取公司的证书,然后用窃取的证书对恶意软件进行签名。如果客户端位于目标组织的IP地址范围内,攻击者还会配置更新服务器使其只传播恶意文件。

9002 RAT还会安装其他的恶意工具,IIS 6 WebDav(利用CVE-2017-7269)的漏洞利用工具和SQL数据库密码复制器。安装的这些工具暗示攻击者的目标未web服务器和数据库。

 图片.png

图1. Red Signature行动供应链

Red Signature行动工作原理:

  • 从远程支持解决方案提供商处窃取代码签名证书。证书窃取的时间大概是2018年4月,因为研究人员4月8日发现一个用被窃的证书签名的ShiftDoor恶意软件(4ae4aed210f2b4f75bdb855f6a5c11e625d56de2)。

  • 准备恶意更新文件,用窃取的证书对恶意更新文件进行签名,然后上传到攻击者的服务器(207[.]148[.]94[.]157)。

  • 黑掉该企业的更新服务器。

  • 配置更新服务器。如果客户端从属于目标组织的IP地址范围内连接到服务器,配置更新服务为从攻击者的服务器接收update.zip文件。

  • 当远程支持程序执行时,发送恶意update.zip文件到客户端。

  • 远程支持程序验证签名认为更新文件为非恶意文件,然后执行update.zip文件中的9002 RAT恶意软件。

  • 9002 RAT从攻击者服务器下载和执行其他恶意文件。

技术分析

更新文件update.zip中含有update.ini文件,含有恶意更新配置信息,其中说明了远程支持解决方案程序下载file000.zip和file001.zip,然后解压为rcview40u.dll和rcview.log到安装文件夹。

程序会执行用窃取的证书签名的rcview40u.dll和Microsoft register server (regsvr32.exe)。DLL文件负责解密加密的rcview.log文件并再内存中执行。9002 RAT是解密的rcview.log的payload,会连接到位于66[.]42[.]37[.]101的C2服务器。

 图片.png

图2. 恶意更新配置文件的内容

 图片.png

图3. 被黑的更新进程启动9002 RAT的过程

 图片.png

图4. 解密的rcview.log文件的payload中的9002 RAT字符串模式

9002 RAT

研究人员分析9002 RAT发现是RAT文件2018年7月编译的,update.zip文件中的配置文件是7月18日创建的。分析更新日志文件发现远程支持程序的更新进程是7月18日启动的,9002 RAT也是这个时间下载和执行的。

研究人员还发现特定攻击中使用的RAT文件在8月被设为不活动状态,所以RAT的活动日期是非常短暂的(7月18日-7月 31日)。

 图片.png

图5. 9002 RAT样本编译时间戳(上),恶意配置文件时间戳(中),程序更新日志截图(下)

 图片.png

图6. 9002 RAT检查系统时间并设定在2018年8月休眠的代码段

其他的恶意工具

9002 RAT还作为传播其他恶意软件的跳板。大多数的恶意软件都是以.cab压缩文件格式下载的。这也是绕过反病毒软件检测的一种方法。

下图为9002 RAT提取和传播的文件列表:

 图片.png 图片.png

图7. 下载的Web.ex_ cabinet文件(左)和解压的Web.exe文件(右)

其中下载一个文件printdat.dll就是一个RAT,是PlugX恶意软件的变种,会连接到相同的C2服务器(66[.]42[.]37[.]101)。

图片.png

图8. printdat.dll文件中的内部PlugX date dword值

如何缓解供应链攻击

供应链攻击不仅会影响用户和企业,因为利用的是厂商和客户之间的信任。通过木马化软件、应用,操作运行的基础设施和平台,供应链攻击会影响企业提供的商品和服务的完整性和安全性。比如在医疗领域,行业非常依赖第三方和云服务,供应链攻击会使个人身份信息隐私和知识产权数据处于威胁中,还可以破坏医院运营,甚至危及病人健康。随着欧盟GDPR等监管措施的实施,这种攻击的影响可能会加大。

下面是一些最佳实践供参考:

  • 考虑第三方产品和服务的安全。除了确保企业自己的在线基础的安全性外,还要对使用的第三方应用应用安全控制措施。

  • 开发应急响应策略。供应链攻击大多是有特定目标的,企业要完全理解、管理和监控第三方厂商的威胁。

  • 主动监控网络中的异常流量。防火墙、入侵检测和预防系统能够帮助缓解基于网络的威胁。

  • 最小权限原则。网络隔离、数据分类、系统管理工具的限制使用以及应用控制都可以帮助减少暴露的数据。

如若转载,请注明原文地址: http://www.4hou.com/other/13204.html
点赞 4
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论