行业新闻

The Turkish Rat攻击活动分析

The Turkish Rat攻击活动分析

近期Check Point研究人员发现大规模恶意邮件攻击活动,其主要针对80多家土耳其公司。恶意软件使用了不同的方法来绕过目标安防机制。

初始攻击媒介是含有Office文件的钓鱼邮件,该文件采用BIFF格式,普通的Office工具无法解析该文件。 运行后下载恶意Jar文件,该文件被高度混淆,使用了多种规避技术,避免自身被安全产品检测。Jar文件会在目标中植入多平台恶意软件Adwind RAT,窃取目标敏感信息,并将结果发送到攻击者的C&C服务器上,同时攻击者可获得对目标计算机的访问权。

目前这些文件在“Virus Total”中的检测率都很低,很可能是因为文件被高度混淆。

传播方式

1、攻击者向受害者发送恶意电子邮件。

2、受害者运行恶意文件。

3、恶意文件从GitHub下载恶意RAT。

4、恶意软件与C&C服务器建立连接。

image.png恶意JAR文件下载

恶意邮件

image.png附件内容

image.png下载器

最初的恶意文档是XLS或CSV文件。 XLS文件有外部引用,可触发下载恶意JAR文件:

image.png`cmd /c powershell –executionpolicy bypass –W Hidden –command`命令用来下载名为‘zpmqwjs.docx’的JAR文件。Externsheet Injection技术并不常见,因此可以规避部分安全产品的检测。

image.png攻击者在单元格内容中添加了许多垃圾字符和特殊字符,并使用了20年前的BIFF版本,因此检测工具无法解析该文件。 BiffView分析工具返回错误:

image.png

Github托管

攻击者使用GitHub Pages服务创建网站,利用网站传播托管在其存储库中的恶意软件。

image.png

名为“ 5308682”的用户与该github存储库有关, 该帐户还与18个不同的存储库有关。 攻击者托管的文件基本上都是同一个恶意JAR文件的变体,使用了不同的文件名:“ wucgy3jecwgpv.svg”,“ 6da7uj4b4oi2a.pdf”,“ zpmqwjs.docx”等。

攻击活动分析

TalosSophos报告了攻击活动的早期阶段。随着攻击活动的不断深入,攻击者正在不断改进其规避检测技术。

image.pngPayload植入

植入器和payload文件都被混淆,只有少部分安全产品可检测到。

image.pngimage.png

图9为Dropper的反编译代码。恶意软件使用了几种新的规避技术:

1、 检查JVM的默认语言环境是否为土耳其语。

2、检查机器语言是否为土耳其语。

3、检查计算机名称是否为土耳其语。

4、恶意软件连接到checkip.amazonaws.com查询IP,通过ipinfo.io/public_ip/country来查看IP所属国家/地区是否是土耳其。

如果不满足上述任何条件,恶意软件不会执行。然后,payload通过WMIC.exe搜索反病毒软件,并将信息发送到C&C服务器。

`WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName /Format:List`

攻击者利用Attrib.exe将payload设置为隐藏文件。恶意软件寻找不会引起怀疑的图标和名称,用户双击恶意软件将启动控制面板(如图11)来误导受害者。实际上,双击图标不会启动恶意文件,使用Java启动程序后恶意软件才会开始窃取信息。

image.png

image.png

写入注册表‘HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run’,确保计算机重启后自动运行恶意软件。恶意软件会尝试连接21736.xyz的1505端口:

image.png

上图为Adwind 3.0标准版操作界面,提供以下功能:

1、截屏

2、拍摄照片,录制视频或声音

3、窃取文件,缓存密码和Web数据

4、收集键盘记录

5、收集VPN证书

6、控制Android设备的SMS

7、目标网络横向移动

IOCs

C&C

15438[.]xyz

12724[.]xyz

21736[.]xyz

Documents

c71663808fcbab56682602c9e97de8c3a761f4ed

5749253092cad3e8f7ddf50ce04beda666005c06

aeb56403f3d3950a530663dca5ecb7530d7fec3d

b3281798cc961738f9c7e6b269492c0f9bb47f08

b4a8dfe2eebaf436c021458e515baf39ed812740

dd0e3c99d3a62e4b45008ffb2f9f046399dc9603

72bd643d71cd725ac59e6fc76a4617180e652ddf

0914962f88e854527d9b4822fa6d2ff31abc88d4

099a4689f83e9136877f707f853bd906e47abb28

57045445bb365d711c411f3d61dcc71c416a29b1

81dd7442049535b1e1c5f2904a1e02a6a67ce3ad

867226868146118784a1caad4509653524560008

1ad020f084ee146c4bff08e94c6c162c2cdc45b7

20043296337725ad3dc6e304642d1f932c781f48

43922917c4cbedc248808d592e3a2eec3671639b

5d87e1fdba078f591bee4cde00daf59d83e38129

884bf4ae3b1ecaea6c058f19fce92fbe09214ecf

8ca09bebe64bc1f8a2b5e50d4883f81d58a9f9fc

9c2360e8b2256cc7e839e215b5b1892d997378c7

20413ca7b6b034be9e492a949b92dad96171b96a

29f03c2651f1f555ec55d0cbee0d937c859c47af

2c71a5896716b12742be84f11a2b6644cb1d08d5

350618e55e6c7c2c572f7ba22319991881c956c9

40050a73fdb3dee718a77c2b300ca7d1c1a62b96

7c179f13f2e16bb77df0ef0105368be66477cb56

7d6c9f8b025cf5dcf2a214b3f407e46d2174d4d5

7ee216ddb55b31f6657d5ef2f4b383ca5205ca11

b3e8a2cfa3c711b4cca896e586fc2c0dd1a64576

ca6bb68098d965fc6d22e236d7147905a8a5b313

db7b06a0b551892ec93fe06fa3df4da07b3b407c

e13bcdcf48575579f1b6ec923cf0a61c6c9be1d0

efec9d9d8234ac7bee2482601cb44f295d72bf47

JAR dropper

8ca09bebe64bc1f8a2b5e50d4883f81d58a9f9fc

981c98fa370ee934a2754a457a830bcf1e381fbe

ce0b09339b565a6613***5a372f83f4003a81190

JAR payloads

1a5aefbf734564b499f2c0f7269da4b6ed1d95f6

7f3f31249c0390846df9ffdcb246ae49bc9fa1a4

*参考来源:checkpoint,由Kriston编译,转载请注明来自FreeBuf.COM

关闭