供应链攻击活动Red Signature分析

IssueMakersLab与Trend Micro的研究人员一起发现了Red Signature行动，一起窃取韩国企业信息的供应链攻击。研究人员7月底发现了这起攻击。

攻击者黑进了远程支持方案提供商的更新服务器，通过更新过程传播9002 RAT（remote access tool）。这个过程首先是窃取公司的证书，然后用窃取的证书对恶意软件进行签名。如果客户端位于目标组织的IP地址范围内，攻击者还会配置更新服务器使其只传播恶意文件。

9002 RAT还会安装其他的恶意工具，IIS 6 WebDav（利用CVE-2017-7269）的漏洞利用工具和SQL数据库密码复制器。安装的这些工具暗示攻击者的目标未web服务器和数据库。

图1. Red Signature行动供应链

Red Signature行动工作原理：

• 从远程支持解决方案提供商处窃取代码签名证书。证书窃取的时间大概是2018年4月，因为研究人员4月8日发现一个用被窃的证书签名的ShiftDoor恶意软件（4ae4aed210f2b4f75bdb855f6a5c11e625d56de2）。

• 准备恶意更新文件，用窃取的证书对恶意更新文件进行签名，然后上传到攻击者的服务器（207[.]148[.]94[.]157）。

• 黑掉该企业的更新服务器。

• 配置更新服务器。如果客户端从属于目标组织的IP地址范围内连接到服务器，配置更新服务为从攻击者的服务器接收update.zip文件。

• 当远程支持程序执行时，发送恶意update.zip文件到客户端。

• 远程支持程序验证签名认为更新文件为非恶意文件，然后执行update.zip文件中的9002 RAT恶意软件。

• 9002 RAT从攻击者服务器下载和执行其他恶意文件。

技术分析

更新文件update.zip中含有update.ini文件，含有恶意更新配置信息，其中说明了远程支持解决方案程序下载file000.zip和file001.zip，然后解压为rcview40u.dll和rcview.log到安装文件夹。

程序会执行用窃取的证书签名的rcview40u.dll和Microsoft register server (regsvr32.exe)。DLL文件负责解密加密的rcview.log文件并再内存中执行。9002 RAT是解密的rcview.log的payload，会连接到位于66[.]42[.]37[.]101的C2服务器。

图2. 恶意更新配置文件的内容

图3. 被黑的更新进程启动9002 RAT的过程

图4. 解密的rcview.log文件的payload中的9002 RAT字符串模式

9002 RAT

研究人员分析9002 RAT发现是RAT文件2018年7月编译的，update.zip文件中的配置文件是7月18日创建的。分析更新日志文件发现远程支持程序的更新进程是7月18日启动的，9002 RAT也是这个时间下载和执行的。

研究人员还发现特定攻击中使用的RAT文件在8月被设为不活动状态，所以RAT的活动日期是非常短暂的（7月18日-7月 31日）。

图5. 9002 RAT样本编译时间戳（上），恶意配置文件时间戳（中），程序更新日志截图（下）

图6. 9002 RAT检查系统时间并设定在2018年8月休眠的代码段

其他的恶意工具

9002 RAT还作为传播其他恶意软件的跳板。大多数的恶意软件都是以.cab压缩文件格式下载的。这也是绕过反病毒软件检测的一种方法。

下图为9002 RAT提取和传播的文件列表：

图7. 下载的Web.ex_ cabinet文件（左）和解压的Web.exe文件（右）

其中下载一个文件printdat.dll就是一个RAT，是PlugX恶意软件的变种，会连接到相同的C2服务器（66[.]42[.]37[.]101）。

图8. printdat.dll文件中的内部PlugX date dword值

如何缓解供应链攻击

供应链攻击不仅会影响用户和企业，因为利用的是厂商和客户之间的信任。通过木马化软件、应用，操作运行的基础设施和平台，供应链攻击会影响企业提供的商品和服务的完整性和安全性。比如在医疗领域，行业非常依赖第三方和云服务，供应链攻击会使个人身份信息隐私和知识产权数据处于威胁中，还可以破坏医院运营，甚至危及病人健康。随着欧盟GDPR等监管措施的实施，这种攻击的影响可能会加大。

下面是一些最佳实践供参考：

• 考虑第三方产品和服务的安全。除了确保企业自己的在线基础的安全性外，还要对使用的第三方应用应用安全控制措施。

• 开发应急响应策略。供应链攻击大多是有特定目标的，企业要完全理解、管理和监控第三方厂商的威胁。

• 主动监控网络中的异常流量。防火墙、入侵检测和预防系统能够帮助缓解基于网络的威胁。

• 最小权限原则。网络隔离、数据分类、系统管理工具的限制使用以及应用控制都可以帮助减少暴露的数据。