针对APAC地区Windows服务器的信息窃取行动

恶意软件开发者也在不断创新方式方法以绕过安全产品的检测。在分析过程中，研究人员发现一起攻击APAC地区的Windows服务器的攻击活动，其中会上传包括Windows登陆凭证、操作系统版本、内外网IP地址这样的敏感信息。

研究人员发现攻击者使用了Squiblydoo、download cradle和WMI Event Subscription等多种驻留漏洞利用来运行恶意内容。恶意软件将恶意行为隐藏在合法的Windows进程之后来绕过AV的检测。目前，VirusTotal的数据显示安全产品对该恶意软件的检测率还非常低。

在分析的过程中，研究人员发现一起主要攻击亚洲国家的攻击活动。其中，攻击者会使用Mimikatz从Windows服务器中窃取敏感信息，并将窃取的信息上传到FTP服务器上。每秒钟都会有新的数据被发送。

图1: 攻击流

研究人员首先发现一个从66[.]117.6.174/ups.rar下载了一个可执行文件ups.rar，该文件被保存并在受害者机器上执行。研究人员还发现类似的感染链，下载的可执行文件分别是u.exe, cab.exe, ps.exe。可执行文件会发送GET请求到223[.]25.247.240/ok/ups.html，响应数据是从66[.]117.6.174发回的，如图2所示。

图2: 从恶意服务器IP地址接收数据的初始GET请求

研究人员分析了IP地址 223[.]25.247.240，发现攻击者复制了Egan Ballard Jam House的网站http://www.ballardjamhouse.com/，这是位于西雅图的真实地址。

两个网站的比较如下，真实如左，伪造的如右：

图3: 真实网站和攻击者伪造的网站

只有被攻击的机器是Windows服务器的话，攻击才会继续，如图4所示：

图4: 恶意软件会检查操作系统版本

恶意软件如何确定Windows操作系统版本？

恶意软件会调用GetVersionExA，如图所示，该函数会返回OSVERSIONINFOEXA struct。

在检查完操作系统后，恶意软件不会在以下版本中运行：

· Windows 10

· Windows 8

· Windows 7

· Windows Vista

· Windows XP Professional

· Windows XP Home Edition

· Windows 2000 Professional

图5: 决定操作系统版本的方法

下一步，文件会发送另两个GET请求：

到<IP>/txt的请求最后会释放batch文件，这会出啊发无文件攻击，如图6所示。

到<IP>/txt的请求会与C2服务器同步，以获取最新版本。

图6: 下载恶意batch文件my1.bat的GET请求

大多数反病毒软件无法检测 my1.bat文件，如图7所示：

图7: 恶意batch文件在VirusTotal中的检测率

Mirai

Batch文件的部分代码其实是Mirai僵尸网络的一部分。腾讯、Check Point, Kaspersky, Netlab等都对Mirai进行过分析了。经过深入分析，研究人员发现batch文件中有一个增强的模块。该模块含有应用新恶意行为的模块，如图8所示：

图8: 与mirai版本的代码进行比较

新模块会运行连接到外部URL的PowerShell命令。

1、创建运行PowerShell和使用admin权限的WMI Event客户对象。

2、创始下载和执行“Mirai”, “Dark cloud”和“XMRig” 挖矿机等恶意软件。

3、收集用户名、密码和保存在本地机器中的其他私有信息，并发送到FTP服务器中。

4、运行之前攻击中出现过的JS文件。

第三阶段是一个无文件攻击过程，其中攻击机制很简单但是可以绕过所有的AV检测。这是通过使用Windows签名的进程和在多个URL之间进行跳转来隐藏真实的payload的。

具体工作流如下：

1、机器会用下载cradle的方法来调用命令：

a. 调用http://173[.]208.139.170/s.txt中的内容来绕过检测。该命令会调用另一个下载cradle的命令

b. 下面的命令会下载一个ps1文件的字符串会运行不同的命令。

2、ps1文件的恶意内容流如下：

a. 提取本地IP地址

b.用http://2019[.]ip138.com/ic.asp查询公网IP地址

c. 用下面的命名规则创建文本文件:

  <publicip>_<localip>.txt, e.g. 198.25.62.14_5.5.5.5.txt

d. 保存每个进程和命令行到文件中

e. 保存本地操作系统的版本

f. 保存内存容量

g. 保存处理器的详情（负载、名）

h. 从外部URL调用Mimikatz ，并复制所有的用户名密码

i. 提取密码并保存到文件中

j. 发送所有信息到攻击者的FTP服务器，如图9所示。

图9: 与攻击者FTP服务器的连接

目前，该FTP服务器仍然可以访问，每秒钟都回有被窃取的数据上传到该服务器。如下图所示，可以看出同一秒钟内不同的受害者的变化。

图10: FTP站点上受害者的数据