回归最本质的信息安全

;

Confucius组织情况更新:新工具和新技术,与patchwork更进一步的关联

2018年5月27日发布

46,448
0
0

导语:trendmicro安全人员分析了Confucius的新工作方式以及与patchwork的关联。

早在二月份,我们就注意到了Patchwork和Confucius组织之间的相似之处,并发现除了恶意代码中的相似之外,这两个组织都主要针对南亚的目标。在追踪Confucius的这几个月里,我们发现其仍然瞄准位于巴基斯坦的目标。

在之前的行动中,我们发现Confucius使用假浪漫网站诱骗受害者安装恶意Android应用程序。这一次,攻击者有了一种新的工作方式,建立了两个新的网站和新的有效载荷,以此来攻击目标。

假安卓色情app和Windows聊天应用程序作为诱饵

第一个网站通过名为Fuddi Duniya的Android应用程序将成人内容用作诱饵,该应用程序链接到一个每天显示裸体照片的网站。该应用的APK直接从网站主页链接,并声明Google Play不允许在其商店中出现色情内容。

图1:带有链接的虚假网站,下载Fuddi Duniya应用程序

该应用程序的功能类似于以前的恶意Android应用程序,例如具有录制音频和窃取特定目录中的SMS、帐户、联系人和某些文件类型的功能。此外,该应用程序现在检索最后一个已知位置,并使用开发平台Google Firebase上传被盗内容。

图2:Fuddi Duniya Android应用程序的窃取信息函数

第二个虚假网站又与聊天相关,后台提示它可以帮助用户找到合作伙伴。最初,存在一个与Google Play上托管的恶意Android应用程序的链接,该应用程序与上述应用程序共享相同的功能。但是当我们在进行研究时与Google联系后,该应用程序被从商店中删除,链接从假网站上移除。

图3.第二个假网站的屏幕截图

我们之前的研究中详细描述的假Tweety聊天应用程序相同,Windows应用程序提供基于开源聊天应用程序RocketChat的真实聊天功能。同样,这个应用程序也捆绑了恶意的.NET代码。

虽然体积小且相对简单,但我们发现这个恶意应用程序很有趣,因为它揭示了威胁发起者所针对的国家。该应用程序是一个简单的下载程序,它发送使用3DES加密的一些基本信息(用户名、防病毒软件、IP地址和操作系统版本)。

图4.app代码示例

恶意软件定期尝试联系命令和控制(C&C)服务器,并将用户名编码到参数中。根据获取的信息,运营者可以决定指示恶意软件下载第二阶段的有效载荷。该功能与我们在之前的blogwhitepaper中分析的各种后门程序(如sctrls和sip_telephone)类似。

下载器有一个有趣的功能:它使用在线服务来检索受害者的IP地址和国家,并将其与允许的国家列表进行比较。如果受害者来自不同的国家,该程序将自行删除并退出。该列表包含:

· 大部分南亚和东南亚国家(包括蒙古)

· 大多数中东国家

· 大多数非洲国家

· 欧洲只有乌克兰

· 美洲只有特立尼达和多巴哥

· 没有来自大洋洲的国家

图5.有效国家列表的摘录

我们注意到它同时在客户端和服务器端执行IP过滤,表明攻击者已经改进了其基础架构。在去年年底,来自同一威胁行为者的C&C不仅可以从任何IP地址访问,而且可以在不进行身份验证的情况下浏览服务器目录树。

在模仿一个假兴趣受害者后,我们获得了第二阶段有效载荷(检测为TROJ_DELF.XXWZ),这是一个基于Delphi编程语言的文件编辑器,类似于我们之前的博客中描述的svctrls恶意软件。这个称为sysctrls,它查找具有以下扩展名的文件:

1.png

然后通过POST HTTP请求将它们发送到windefendr[.]com/description.php。

对这个档案编辑器的进一步分析揭示了与其他威胁组织的有趣联系。

Delphi链接

我们在之前的博客已经提到,Confucius在有可能与其他组织有联系,其中提到了Patchwork和Confucius之间的代码共享。两个组织都使用了一个具有相同配置文件结构和命令的后门。

我们发现这两个威胁行为者的恶意软件之间共享更多的代码。Patchwork最近使用了一些类似于我们之前描述的Delphi恶意软件的多个Delphi恶意软件。

我们最初发现了所使用的恶意软件之间一些视觉上的相似性。尽管在恶意软件运行时没有显示任何表单,但我们可以在Delphi反编译器中看到它的TForm对象。TForm对象通常有两个TTimer对象,但有时我们看到了一个或者甚至三个这样的对象,通常都使用随机名。有时候,还会添加带加密字符串的列表框。

图6:Confucius样本的反编译表单结构

图7:Patchwork样本的反编译表单结构

在查看任意一个TTimers的OnTimer方法时,我们经常发现某种结构:指向存储在EDX寄存器中的加密字符串的指针,然后是对解密函数的调用。

图8:调用解密函数

这鼓励我们全面彻底分析字符串加密程序。

我们的分析了其中的三个。第一个涉及一个非常简单的例程,用于翻转字符串的每一位。第二种算法包含一个硬编码密钥,该密钥通过取每个字符的低五位进行变换,然后用作XOR密钥。在某些情况下,密钥在二进制文件中被分割成两部分,因此在使用之前它首先被重新合并。最后,我们的第三个算法使用一个94个字符的替换表。安全研究人员在Confucius相关的博客中曾经讨论过该算法。

对于这些算法中的每一个,我们都发现最近的一个样本会回溯到属于Patchwork基础架构的域名。

第三个算法的替换表是在构建时随机生成的,而攻击者似乎设置了第二种算法中使用的密钥。我们在后一类中发现了六个不同的密钥,这对于拼Patchwork和Confucius来说是不同的。

图9.左边是Confucius的代码,右边是Patchwork的代码

有趣的是,其中一个密钥“xldbszcd”在Confucius使用的文件窃取程序中找到(472ea4929c5e0fb4e29597311ed90a14c57bc67fbf26f81a3aac042aa3dccb55,检测为TSPY_CONFSTEAL.A),同样存在于另外两个文件窃取程序中。

第一个文件窃取程序(cca74bb322ad7833a21209b1418c9837e30983daec30d199a839f46075ee72f2,检测为TSPY_DELF.SUW)于2013年由安全研究人员发布并与域名myflatnet[.]com相关联,归属于Hangover组织。

另一个文件窃取程序(1f0dabd61947b6df8a392b77a0eae33777be3caad13698aecc223b54ab4b859a,检测为TROJ_DELF.XXWZ)与2016年9月报告的域名相关。该报告还提到了InPage软件和Delphi后门程序。

图10.左:Confucius组织,中间:Hangover组织,右:未命名的组织

经过一番研究,我们发现有多个Delphi后门使用了三种解密程序中的一种。后门还链接到旧的Hangover域名以及与2016年9月博客帖子中的域名相匹配的基础设施。其中一些样本已有好几年的历史,并且保留了“EnDecrypt”这个按位取反解密算法的原始名称。该算法与以下代码匹配。

Patchwork的持续运动

除了Delphi恶意软件,Patchwork仍然活跃。最近,他们一直在利用CVE-2017-8570发送多个RTF文件。投放的有效载荷是可以追踪到域名sastind-cn [.] org和tautiaos [.] com的远程管理工具QuasarRAT的修改版本。

图11.成功感染后的进程树

攻击者有时会将武器文件设计成目标感兴趣的合法文件。有的文件非常大,通常超过10兆字节。

图12.左侧是武器化文档,右边是CSBA的合法文件

该组织仍然使用Badnews恶意软件,这是一种具有信息窃取和文件执行功能的后门,虽然在2017年末加密程序略有修改。当时他们在我们之前patchwork博文描述的自定义加密算法之上添加了Blowfish算法。

防御Confucius和Patchwork

像Confucius和Patchwork这样的组织以其大量的工具和不断发展的技术而闻名,这些技术使传统的安全解决方案无效。为了帮助抵御这些威胁,企业需要采取更加主动和专注的安全态势,以保证安全性。一些可以实施的特定安全措施:

· 识别社会工程。恶意移动app是网络犯罪分子常见的感染媒介,因为它们可以吸引特定的目标受众。在本文的案例中,Confucius就用了常见的“sex sells”。

· 主动监控企业的网络。攻击者因创造可绕过简单网络监控的隐形恶意软件而臭名昭著。包括正确应用防火墙、入侵检测和预防系统在内的更主动的措施可以帮助减轻攻击的影响。

· 实施网络分段。即使采用最好的安全技术,仍然有可能发生攻击。将网络分成若干段,并限制只有那些真正需要它的人才可以访问,在遭受攻击时减少损失。

· 定期更新系统。应该修补和更新从终端到网络软件到物联网设备的所有内容,以防止或最大限度地减少攻击者利用漏洞的机会。

在理想情况下,企业的内部安全团队实施所有这些以及其他安全措施。现实情况是,小型到大型组织的IT部门没有能力处理像Confucius这样的组织在攻击中使用的更高级的威胁。由于这些团队也负责企业的日常IT需求,因此可能并不容易采取更加积极主动的态度。在这种情况下,企业可以寻求专业的第三方安全提供商,这样可以更好地应对高级威胁。

本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/confucius-update-new-tools-and-techniques-further-connections-with-patchwork/如若转载,请注明原文地址: http://www.4hou.com/system/11816.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

TRex

这个人很懒,什么也没留下

发私信

发表评论