SLUB最新变种分析:仅靠 Slack进行C2通信

ang010ela 新闻 2019年7月28日发布
Favorite收藏

导语:SLUB 恶意软件最新版变种不再使用 GitHub,仅靠 Slack 作为 C&C 控制媒介

4个月之前,研究人员发现一起使用一款新出现的恶意软件SLUB的攻击活动。SLUB利用CVE-2018-8174 VBScript引擎漏洞来进行传播,使用GitHub和Slack作为恶意软件与控制器和控制器之间的通信工具。

7月9日,研究人员发现一个新的SLUB变种通过了一个水坑网站进行传播。该恶意站点使用了IE 漏洞CVE-2019-0752。这是研究人员从4月开始发现该漏洞之后首次发现在野漏洞利用。

新版本的SLUB恶意软件已经不再使用GitHub来进行通信,而是使用Slack。Slack是一个协作的消息系统,用户可以通过频道(channel)来创建自己的工作空间。研究人员发现这些传播SLUB恶意软件的站点都与朝鲜政府有关。

感染链

SLUB恶意软件是通过注入了CVE-2018-8174或CVE-2019-0752漏洞利用的水坑站点来传播的。如果受害者使用未修复漏洞的IE浏览器访问该站点就会感染SLUB加载器。

下面是漏洞利用脚本执行加载器的步骤。感染链与之前SLUB相似,但该版本使用不同的技术来绕过AV检测和机器学习算法:

· 打开PowerShell作为传播机制,其中含有隐藏的WindowStyle和混淆方法。

· 使用Rundll32来调用从水坑站点下载的伪装为C++运行态名的恶意DLL(伪装为mfcm14u.dll)。

· 恶意DLL根据Windows Naming Convention应用导出标志,并使用真实的Windows API名:AfxmReleaseManagedReferences。注意:使用Windows命名规则可以帮助攻击者绕过机器学习算法。 Figure. 1

图1. 下载和启动SLUB loader的 PowerShell脚本

PowerShell脚本会查看系统的架构来检查应该下载哪个DLL文件。下载的恶意DLL文件就是SLUB Loader。对x86系统来说,会下载32位的SLUB Loader和CVE-2019-0808漏洞利用。对x64系统来说,会下载64位的SLUB Loader和CVE-2019-0803漏洞利用。下载的漏洞利用的作用就是为了在Windows系统中进行全新提升。然后,loader会检查系统的架构来决定要下载和使用x86还是x64版本的SLUB恶意软件来感染受害者。

所有的漏洞利用、加载器和SLUB恶意软件都直接保存在水坑站点上。

Figure. 2

图2. SLUB恶意软件感染链

Figure. 3

图3. SLUB恶意软件感染链流量模型

后门

自上次分析SLUB恶意软件之后,该后门做了一些更新和改进。最明显的变化是完全采用Slack来组织受害者机器和发布命令。下面是一些具体的变化,包括:

· 不再使用Github

· 运营者创建Slack workspace

· 每个受感染的机器都会加入该workspace,并且在workspace中创建一个名为<use_name>-<pc_name>的独立信道

· C2通信只使用Slack信道,如果运营者想要在受感染的机器上执行命令,就要特定受害者信道中插入消息

· 受害者读取特定信道的消息,并对消息进行分析,然后执行请求的命令

除了这些变化外,研究人员还发现了2个Slack token中发现的新消息(硬编码在二进制文件中)。

Figure. 4

这些token用来向slack API查询一些元数据信息,比如team info、用户列表、信道列表等。通过进一步调查研究人员发现用用户将workspace的时区设置为了韩国标准时间。

在检查token response header时,研究人员看到OAuth范围有一些不同:

C&C token:

Figure. 3

Notify token:

Figure. 4

C&C token在OAuth scope中含有admin,允许它管理workspace。

如果操作者需要修改这些token,可以更新toni132[.]pen[.]io页面的内容。Web页面的源码会分析特定的关键词:HELLO^, WHAT^, !!!。

如果找到关键词,就会token进行分析和更新:

Figure. 5 

C2通信

通信流程如下:如果运营者想要发送命令给受害者,就要发布一条消息到特定信道上。消息的text值指定了要执行的命令。

下面的例子说明了截图的capture命令:

Figure. 8 

在给定目录中列出命令:

Figure. 9 

列出受害者桌面的所有文件的命令:

Figure. 10 

然后受害者机器会读取命令并执行,然后上传截图和分享该链接的文件作为响应。注意upload的值被设置为true。

 Figure. 11

其他支持的命令还有exec, dnexec, capture, file, drive, reg和tmout,这与之前分析的SLUB是相似的。在运行命令时,命令运行的结果会上传到file.io。

在攻击过程中,研究人员发现SLUB恶意软件使用了2个Slack组sales-yww9809和marketing-pwx7789。Workspace的创建时间未知。在组sales-yww9809中,含有2个用户,Lomin ([email protected][.]me)和Yolo ([email protected][.]me),创建时间都是2019年5月23日。Lomin的timezone设置为GMT时间,Yolo的timezone设置为韩国标准时间。marketing-pwx7789组中有2个用户Boshe ([email protected][.]cc)和Forth ([email protected][.]lu),创建时间都是2019年4月17日。Boshe timezone设置为GMT时间,Forth的timezone设置为韩国标准时间。

这些邮件地址都使用免费的加密邮件服务,无法根据用户名找出更多信息。

结论

使用Slack, cock.li, pen.io这样的在线服务使研究人员很难追踪攻击者。研究人员没有发现其他变种,也没有发现该攻击者进行的其他攻击活动。该攻击活动的目标是访问水坑站点的特定用户。为了应对此次攻击事件,Slack回应称会未被黑,但是会防止平台被滥用来进行恶意行为。

本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/slub-gets-rid-of-github-intensifies-slack-use/如若转载,请注明原文地址: https://www.4hou.com/info/news/19273.html
点赞 3
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论