概述

奇安信威胁情报中心在日常威胁发现过程中发现一个专门针对金融、证券、软件、游戏等行业进行攻击的APT团伙,主要目的为敛财和发起供应链打击,盗用了大量的证券服务和软件公司的白证书,样本较为轻量化,外加带有窃取而来的白签名,免杀效果极好,较难发现。

经过溯源我们发现该团伙最晚于2019年末开始活跃,具有很强的渗透能力,代码能力较弱。通过使用Web层面的Nday漏洞的方式对目标进行渗透,横向移动拿到了域管的账号密码,经过长期摸排后向高价值人员的计算机中植入木马,我们将该团伙命名为EICAR Group,奇安信内部跟踪编号为APT-Q-28。

该攻击活动的第一阶段的木马多为.net编写的Downloader,攻击者会对不同变种的木马采用不同的执行策略,对于功能非常简单的变种,攻击者一般不会打上签名,以减少签名暴露的概率。后续持续化使用的dll由VC编写带有白签名。

与之前的文章类似,本文内容也仅仅是对在过去一段时间内攻击手法做一个分享,不讨论受害单位。

样本分析

攻击者在下发木马时,先尝试执行bitsadmin.exe从远程服务器拉取payload,但被拦截,后续通过csc.exe和cvtres.exe的现场编译方式生成对应的下载套件。

MD5

文件名

功能

01cc52333c576d36849cb0f118f04877

F.exe

下载者

a65d0d869958ce0d23ff9e466193ac59

Fl.exe

解密并内存加载

f.exe通过外部传参从远程服务器下载加密的shellcode输出到本地文件。

接着攻击者调用fl.exe,读取目录的文件解密并内存加载。

解密出来的shellcode如下,msf生成的payload:

攻击者在横向移动过程中还会调用wmic远程执行process call的方式启动相关进程,再次过程中使用了不同的downloader变种。

MD5

文件名

功能

9dc8cc19242c1f68de9690823ebbf1da

ro.exe

下载并内存加载

核心逻辑如下:

MD5

文件名

功能

c813095a9314be9ab40f4013459c85de

www4.exe

下载并内存加载

核心逻辑如下,C2硬编码。

MD5

文件名

功能

c813095a9314be9ab40f4013459c85de

www.exe

下载并内存加载

带有签名,混淆版的downloader。

除此之外攻击者还会尝试调用msiexec去远程执行带有签名的msi文件。

MD5

文件名

功能

406af6c315bc156d217ed4bd413132ea

www4.msi

下载并内存加载

被窃取的签名信息如下:

功能与上述一致。Msf在后续会下发一些如SharpChromium等开源的浏览器窃密器和键盘记录工具,获取目标机器上的敏感数据。

攻击者在释放VC编写的持久化模块时,会先执行wmic获取第三方软件的进程ID、文件路径、名称

wmic process where name="xshell.exe" get processid,executablepath,name

获取的第三方软件列表如下

Xshell

Notepad++

7Zip

xmanager enterprise

Foxit reader

dnplayer2

在对应软件的目录下释放名为Version.dll的后门模块用于持久化。

MD5

文件名

功能

98b34aded523537bf017af4611d823b0

ef2d17efa530c40fac08b04e66781a03

version.dll

Loader执行

签名如下:

样本带有反沙箱的操作,解密执行msf payload

该团伙所用的msf payload中均出现了字符串:"$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*"。

经过查询我们发现该字符串的含义是反病毒软件测试文件,可能是国外友商之间的约定。

很显然该字符串是攻击者手动植入进shellcode中的,这引起了我们的兴趣。

测试文件滥用

2021年上半年我们内部跟踪某团伙时,发现样本后续解密的msf payload中也出现了这些字串, 我们暂且将该团伙命名为Group A,该团伙投递的样本均为SFX打包文件,样本如下:

SFX信息如下:

诱饵内容与新冠疫情、经费有关,txt诱饵如下:

jpg诱饵如下:

样本会判断当前语言,排除英文并检测虚拟机

解密payload。

最后进行内存加载。

解密后的msf payload如下:

我们并没有十足的把握确认Group A与EICAR Group存在强关联,无论是解密算法、攻击目标还是攻击手法均与EICAR Group不同。这意味着不止一个团伙喜欢在shellcode中插入测试文件字符串,也可能这些团伙向相同的供应商购买的木马,无论如何,这都值得我们对这种现象进行持续跟踪。

总结

目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。

IOC

EICAR Group

MD5

01cc52333c576d36849cb0f118f04877

a65d0d869958ce0d23ff9e466193ac59

9dc8cc19242c1f68de9690823ebbf1da

c813095a9314be9ab40f4013459c85de

c813095a9314be9ab40f4013459c85de

406af6c315bc156d217ed4bd413132ea

98b34aded523537bf017af4611d823b0

ef2d17efa530c40fac08b04e66781a03

CC:

www.yf*****fd.com

www.u****dg.com

www.h********fi.com

www.y*********ng.com

www.mic********ing.com

4*.**.**.2*0:80

4*.2**.1**.10*:80

4*.**.2**.14*:80

GroupA

CC:

1*0.*1*.2*.*52:3333

4*.2*6.1*7.1*9:5656

1*5.*4.1*3.*0*:5656

9*.2**.1*9.5*:5555

声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。