ChessMaster的技术分析及缓解措施 - 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体,4hou.com

ChessMaster的技术分析及缓解措施

TRex Web安全 2018年4月7日发布

导语:在本文中,我们分析了目前ChessMaster的状态,包括其武器库中更新的工具,特别关注了ANEL的演变以及如何在行动中使用。

趋势科技在2017年7月发现了ChessMaster,这是我们监控保护客户的一部分。当时,我们发现ChessMaster针对日本的学术界、媒体和政府机构。威胁组织使用各种攻击工具和技术来窥探其目标。

当时,我们注意到ChessMaster的复杂性,这意味着该行动可能会发生变化。果然在几个月之后,行动中使用的工具和策略发生了变化。尽管初始行动非常全面,并且使用了远程特洛伊木马(RAT),如ChChes和RedLeaves,但新攻击中使用了一种新的后门程序(趋势科技检测为BKDR_ANEL.ZKEI),该程序利用CVE-2017-8759漏洞进行网络间谍活动。

在本文中,我们分析了目前ChessMaster的状态,包括其武器库中更新的工具,特别关注了ANEL的演变以及如何在行动中使用。

微信截图_20180403144112.png

一、技术分析

(一)、突破

图1. 目前ChessMaster感染链

目前,ChessMaster的流程从熟悉的钓鱼攻击开始,这些攻击涉及使用带有doc、docx、rtf、csv和msg格式附件恶意文件的电子邮件。电子邮件标题和附件名是用日语编写的,包含一般商业、政治和经济主题的短语,如

· 世界経済(World economy)

· 経済政策(economic policy)

· 予算概算要求(budget estimation request)

· 日米対話(Japan-US dialogue)

· 安倍再任(re-appointment of Prime Minister Abe)

· 連絡網(contact network)

· 職員採用案(staff recruitment plan)

· 会議(meeting)

但是,利用文档有所变化。当我们在11月份追踪ChessMaster时,注意到它利用了Microsoft .NET框架内的SOAP WSDL解析器漏洞CVE-2017-8759(2017年9月修补)来下载其他恶意软件。尽管ChessMaster仍然使用以前的漏洞,但它还为其武器添加了更多方法:其一是利用另一个漏洞CVE-2017-11882(2017年11月修补),该漏洞也被利用来传播非法版本的Loki infostealer。

图2. 利用CVE-2017-11882

它也滥用了三个合法的MS Office功能:

1212.png

图3. 利用DDEAUTO

图4. 利用Microsoft Word’s “Frames/Frameset”

图5. 利用Link自动更新

ChessMaster可以利用这些方法中的任何一种下载感染链中的下一个恶意软件,即之前的攻击中使用过的开源利用工具Koadic。该工具负责窃取目标系统的信息——特别是环境信息。

(二)、Koadic

Koadic执行以下命令:

%comspec% /q /c <cmd> 1> <Output> 2>&1

Koadic的命令和输出将根据攻击中使用的ANEL版本而改变。下表列出了ANEL版本5.1.1 rc和5.1.2 rc1的命令和输出示例。请注意,如果下载了ANEL 5.1.2 rc1,攻击者将使用HTTPS,避免抓取明文形式的下载数据。

图6. 使用ANEL 5.1.1 rc 时,Koadic命令和输出

图7. 使用ANEL 5.1.2 rc时,Koadic命令和输出

下表列出了Koadic的所有功能:

5555.jpg

图8. 当Koadic RAT下载时加载的命令(使用{Variable}.shell.exec command)

如果Koadic发现该系统符合攻击者的利益,它会从命令与控制(C&C)服务器下载一个base64加密版本的ANEL恶意软件并执行。加密的ANEL使用certutil -decode命令进行解密。当ANEL执行时,在内存中释放名为lena_http_dll.dll的解密DLL文件。该文件包含一个导出函数—— crt_main或lena_main。

图9. Koadic下载Base64 编码的ANEL

(三)、ANEL

ANEL将环境信息发送给C&C服务器。发送信息时,ANEL使用基于blowfish,XOR和Base64的加密方法对数据进行加密。ANEL用于发送数据的格式与ChChes相似,但ANEL的加密方法更易于使用。

图10. blowfish使用的加密密钥

我们最初在2017年11月发现了ANEL恶意软件。当时,ChessMaster使用ANEL作为目标系统的后门,之后将代码注入svchost.exe,最后解密并激活嵌入式后门。ANEL的初始版本有一个标有5.0.0 beta1的硬编码版本,其中包含不完整的代码。我们注意到这可能意味着未来版本的发布。

我们发现了ANEL的四种不同版本,而不仅仅是一个新的版本:

· 5.0.0 beta1

· 5.1.1 rc

· 5.1.2 rc1

· 5.2.0 rev1

不同的版本的更改包括ANEL加载程序和主ANEL DLL。下图显示了每个版本之间的变化:

图11. 各个版本的ANEL之间的变化

后门命令的差异:

66.png

上表中显示存在的差异很微小。例如,最早的ANEL版本5.0.0 beta1与其他版本相比使用了不同的C&C服务器。一旦ANEL演变为5.1.1 rc,它将文件类型更改为可执行文件,同时也更改C&C服务器。我们发现的第三个版本(5.1.2 rc1)恢复为DLL文件类型,但保留了C&C服务器。ANEL的第四个版本(5.2.0 rev1)更改了主ANEL DLL中的导出函数并使用不同的C&C服务器。总的来说,我们可以看到微小的变化,这表明ANEL背后的威胁攻击者正在对恶意软件逐步改进以完善它。

图12. ANEL 5.0.0 beta1 / 5.1.1 rc / 5.1.2 rc1(左)和ANEL 5.2.0 rev1(右)之间的后门功能差异

一旦ANEL进入用户系统,它将下载各种可用于恶意目的的工具,包括密码窃取工具以及恶意邮件服务和辅助工具,以便收集相关系统的信息。这其中就包括Getpass.exe和Mail.exe,它们是密码和信息窃取者。

它还下载以下工具:

· Accevent.exe< – >Microsoft Accessible Event Watcher 7.2.0.0

· event.dll< – > ssssss.ddd的加载程序,(检测为TROJ_ANELLDR)

· ssssss.ddd(lena_http.bin)< – >加密的BKDR_ANEL(检测为BKDR_ANELENC)

这三个文件使用了常见的DLL Side-Loading或DLL劫持技术。在此情况下,accevent.exe是主要的可执行文件,通常是合法的。执行accevent.exe后,加载event.dll,它将被放置在同一文件夹中(因此需要加载优先级),之后event.dll将解密并加载加密的后门程序ssssss.ddd,即BKDR_ANEL。当我们分析ANEL 5.1.1 RC时,加密的ANEL 5.1.2 RC1被下载并执行。

二、短期缓解措施

当用户打开文档DDEAUTO或链接自动更新时,Office将显示一条消息。如果用户点击“否”按钮,恶意行为将不会启动。

图13: DDEAUTO弹框

图14. Link自动更新弹框

Koadic以纯文本形式发送自己的JavaScript代码。我们能够在流量中检测到可疑通信。

图15. Koadic通信流量

三、中长期缓解措施

乍一看,ChessMaster在过去几个月的改进只涉及微妙的变化。然而,功能和攻击媒介的不断添加和变化表明,背后的攻击者不可能停下来,他们在持续改进工具和战术。

组织可以实施各种技术和最佳实践来抵御有针对性的攻击,例如定期打补丁以防止漏洞利用,并使用提供跨不同网络级别保护的工具。具备行为监控、应用程序控制、电子邮件网关监控和入侵/检测系统的解决方案可以为此提供帮助。

鉴于网络犯罪工具、策略和程序不断改进,组织将不得不超越其典型的日常安全需求,并找到一种先于攻击的方法。因此,迫切需要通过主动事件响应策略来检测和解决威胁。从本质上讲,这涉及到创建有效对付威胁的补救计划,并使用全天候入侵检测和威胁分析来防止攻击进入系统。主动策略对于有针对性的攻击可能更有效,因为这类攻击通常被设计为难以检测,因此需要将它们排除在外。涉及主动事件响应的全面安全策略需要决策者和技术人员的投入,因为他们需要在同一层面上才能有效。

四、IoC

下载器Hash :

· 76b1f75ee15273d1226392db3d8f1b2aed467c2875e11d9c14fd18120afc223a

· 4edcff56f586bd69585e0c9d1d7ff4bfb1a2dac6e2a9588f155015ececbe1275

· 1b5a1751960b2c08631601b07e3294e4c84dfd71896453b65a45e4396a6377cc

部分BKDR_ANEL家族Hashes:

5.0.0 beta1

· af1b2cd8580650d826f48ad824deef3749a7db6fde1c7e1dc115c6b0a7dfa0dd

5.1.1 rc

· 2371f5b63b1e44ca52ce8140840f3a8b01b7e3002f0a7f0d61aecf539566e6a1

5.1.2 rc1

· 05dd407018bd316090adaea0855bd7f7c72d9ce4380dd4bc0feadc6566a36170

5.2.0 rev1

· 00030ec8cce1f21120ebf5b90ec408b59166bbc3fba17ebae0fc23b3ca27bf4f

lena_http.bin

· 303f9c00edb4c6082542e456a30a2446a259b8bb9fb6b0f76ff318d5905e429c

工具:

Getpass.exe

· 52a8557c8cdd5d925453383934cb10a85b117522b95c6d28ca097632ac8bc10d

event.dll

· 6c3224dbf6bbabe058b0ab46233c9d35c970aa83e8c4bdffb85d78e31159d489

mail.exe

· 2f76c9242d5ad2b1f941fb47c94c80c1ce647df4d2d37ca2351864286b0bb3d8

URLs及IP :

· www[.]nasnnones[.]com

· trems[.]rvenee[.]com

· contacts[.]rvenee[.]com

· 91[.]207[.]7[.]91

· 89[.]18[.]27[.]159

· 89[.]37[.]226[.]108

· 185[.]25[.]51[.]116

· 185[.]81[.]113[.]95

· 185[.]144[.]83[.]82

· 185[.]153[.]198[.]58

· 185[.]159[.]129[.]226

本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/chessmaster-adds-updated-tools-to-its-arsenal/如若转载,请注明原文地址: http://www.4hou.com/technology/10966.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论