快捷搜索:  创意文化园  8)  无人驾驶  phpinfo  dir  8-2  8JyI=  set|set

皇冠下载(www.huangguan.us):Bandook恶意软件同时针对多个国家的差异行业提议了攻击

USDT交易所

U交所(www.payusdt.vip)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U交所开放usdt otc API接口、支付回调等接口。

一个被嫌疑与哈萨克斯坦和黎巴嫩政府有关联的网络特工组织对多个行业提议了新一轮攻击,该组织使用了一个已有13年历史的后门木马的升级版本。

Check Point Research在26号宣布的一份讲述中,发现了一个名为Dark Caracal组织的黑客,他们在已往一年中部署了几十个数字署名变种的Bandook Windows木马。

攻击者选择的差异垂直行业包罗位于智利、塞浦路斯、德国、印度尼西亚、意大利、新加坡、瑞士、土耳其和美国的政府、金融、能源、食物工业、医疗保健、教育、IT和执法机构。

目的市场和地址的种类异常多,进一步证实晰研究职员的假设,即该恶意软件不是内部开发,没有由单个工具使用,而是属于第三方出售给全球政府和攻击者的攻击性基础设施的一部门。

Dark Caracal普遍使用Bandook RAT在全球局限内执行特工流动是由电子前沿基金会(EFF)和Lookout于2018年头首次发现的,那时受害者笼罩了21个国家。

这个多产的组织至少从2012年最先运作,一直与黎巴嫩平安总局(GDGS)有联系,以是研究者以为该组织是国家至国家一级的连续威胁。

差其余组织同时使用相同的恶意软件基础设施举行看似不相关的流动,这让EFF和Lookout推测,APT的使用者正在使用或治理被视为承载许多普遍的全球网络特工流动的基础设施。

研究职员为此对照了差其余Bandook变种,并分享了其确立者用来阻碍对攻击流程中所有组件举行剖析和检测的种种手艺。

攻击链的三个阶段

随着攻击链的不停生长,研究职员形貌了攻击者从7月到现在所使用的攻击链。

整个攻击链的攻击可以分为三个主要阶段。与许多其他攻击链一样,第一阶段最先于一个ZIP文件中转达的恶意Microsoft Word文档。一旦文档被打开,恶意宏就会使用外部模板功效下载。宏的代码依次下降并执行第二阶段的攻击,这是在原始Word文档中加密的PowerShell剧本。最后,PowerShell剧本下载并执行攻击的最后阶段:Bandook后门。

下面形貌的种种工件的名称可能因攻击场景的差异而有所差异。

完整的攻击链

第一阶段:诱饵文件

第一阶段从嵌入加密的恶意剧本数据的Microsoft Word文档和指向包罗恶意VBA宏的文档的外部模板最先。

外部模板是通过缩短网址的Web服务(如TinyURL或Bitly)下载的,该服务重定向到攻击者控制的另一个域。

外部模板文档包罗一个自动运行的VBA代码,它从原始lure文档中解密嵌入的数据,并将解码后的数据放入内陆用户文件夹中的两个文件中:fmx.ps1(下一阶段PowerShell)和sdmc.jpg (base64编码的PowerShell代码)。

为了允许这种行为,攻击者使用了两种手艺的组合:将加密的数据嵌入到原始文档的形状工具中(通过小字体巨细和白色远景隐藏),并通过使用来从外部模板代码举行接见以下代码:

o4QQLW7zXjLbj = ActiveDocument.Shapes(1).TextFrame.TextRange.Text

为了举行适当的剖析,必须同时找到原始文档和外部模板,这对于观察职员而言有些难题。

为此,研究职员考察并剖析了多对文档和外部模板,使用了差其余诱饵图像以及差其余加密密钥。

诱饵文件示例:

用来说服用户启用宏的诱饵文档

带有宏的外部模板的示例:

包罗恶意宏的外部模板

外部模板对受害者不能见,它们的唯一目的是提供恶意宏。

有趣的是,每一次攻击,经由一段时间后,攻击者都将恶意的外部模板转换为良性模板,这使研究职员对攻击链的剖析加倍难题。

同样,外部模板看起来像随机的良性文档:

良性的外部模板

这些文档的主题通常是基于云的服务,例如Office365,OneDrive和Azure,这些服务包罗其他文件的图片,受害者只要点击“激活内容”就可以获得这些文件。

例如,其中一个稀奇引起研究职员注重的文档形貌了Office365徽标和迪拜政府揭晓的证书的预览。 JAFZA –文档顶部的Jebel Ali保税区是迪拜Jebel Ali口岸周围的工业区,全球7000多家跨国公司都在此落户。

诱饵文件(左)和类似的公共证书示例(右)

Malaysia Shipment.docx

Jakarta Shipment.docx

malta containers.docx

Certified documents.docx

Notarized Documents.docx

bank statement.docx

passport and documents.docx

Case Draft.docx

documents scan.docx

第二阶段:PowerShell加载程序

VBA代码删除两个文件(fmx.ps1和sdmc.jpg)后,它将挪用fmx.ps1。

fmx.ps1是一个简短的PowerShell剧本,可解码并执行存储在第二个拖放文件(sdmc.jpg)中的base64编码的PowerShell。

首先,已解码的PowerShell剧本从一个云服务(如Dropbox,Bitbucket或S3存储桶)下载一个包罗四个文件的zip文件。压缩文件存储在用户的公共文件夹中,四个文件在内陆提取。

存储在Dropbox.com上的恶意软件组件

,

USDT交易所

U交所(www.payusdt.vip),全球頂尖的USDT場外擔保交易平臺。

,

在受害者的装备上被提取的恶意软件组件

PowerShell剧本使用a.png,b.png和untitled.png这三个文件在统一文件夹中天生恶意软件载荷。与其他两个文件差异,untitled.png接纳有用的图像花样。它包罗一个隐藏的RC4函数,编码在像素的RGB值中,是使用一个已知的名为invoke-PSImage的工具确立的。

最终的可执行文件有用载荷是从以下文件毗邻而成的:

a.png ——使用RC4解密并存储为aps.png之后;

b.png——如上所述;

最后,PowerShell剧本执行恶意软件,打开draft.docx,并从“公共”文件夹中删除所有以前的工件。

draft.docx是一个良性文档,其唯一目的是使受害者确信该文档不再可用,而且总体执行乐成。

攻击后向用户显示的最终文档

第三阶段:Bandook装载机

该攻击链中的最终有用载荷是名为Bandook的老版的全功效RAT的变种。 Bandook由Delphi和C 编写,历史悠久,始于2007年,是一种商业化的RAT,由一个外号为PrinceAli的黎巴嫩人开发。随着时间的推移,该恶意软件构建器的几个变种被泄露到网络上,而且该恶意软件被也可被公然下载。

黑客论坛上形貌的Bandook的历史

Bandook的执行流程始于用Delphi编写的加载程序,该加载程序使用Process Hollowing手艺确立Internet Explorer历程的新实例并将恶意载荷注入其中。有用载荷联系C&C服务器,发送有关受攻击装备的基本信息,并守候来自服务器的其他下令。

由于该变种支持跨越100条下令,以是研究职员在这次攻击中考察到的Bandook恶意软件的变种不是之前被泄露到网络上的变种。

在此攻击中,攻击者仅通过11个受支持的下令行使了恶意软件的自界说测试版本,其中包罗:

文件操作

接纳截图

文件下载

文件上传

文件执行

有关下令及其响应请求代码的完整列表,请参见附件。

在这个版本中,与C&C服务器的通讯协议也被升级为使用AES加密。

野外Bandook变种的剖析

研究职员将在攻击中考察到的Bandook变种与由差其余泄露构建者确立的变种举行对照之后,研究职员最先寻找与他们考察到的更相似的变种。

搜索效果显示,MalwareHunterTeam (MHT)在2019-2020年宣布的推文中提到了种种Bandook样本,所有样本都用Certum揭晓的证书举行了数字署名。

MHT发现的带署名的Bandook示例

在研究职员考察到的较新的攻击流程中,研究职员再次发现有用的Certum证书被用来对Bandook恶意软件可执行文件举行署名。

新发现的Bandook示例的有用署名信息

通过剖析MHT纪录的所有Bandook示例,研究职员发现第一个示例于2019年3月举行了编译,并支持约120条下令。牢牢几天后就编译了另一个示例,一个差其余带署名的Bandook变种(仅11个下令)使用了完全相同的C&C服务器。从那时起,所有署名的示例仅使用11个基本下令。共享的C&C提供了明确的证据,解释恶意软件的测试版和完整版都是由单个攻击者操作的。

除了MHT讲述的Bandook示破例,研究职员还确定了统一时期(2019-2020年)的其他示例,这些示例未举行数字署名并包罗约120条下令。这些是研究职员在这段时间内能够找到的唯一ITW Bandook示例。

连系以上证据研究职员信托,这些有署名和无署名变种是特制的Bandook变种,由统一工具使用和开发。

两者都为其C&C域使用相同的域名注册服务:Porkbun或NameSilo。

它们共享一种类似的通讯方式,纵然用CFB模式下的AES加密算法,使用硬编码IV: 0123456789123456,此函数在恶意软件的公然泄露中是不能用的。

它们合并了研究职员在其他任何公然泄露或讲述中未发现的下令,最值得注重的是执行Python和Java有用载荷的下令。

从名为“dpx.pyc”的文件执行预编译Python的Bandook子例程

现在,研究职员总共发现了三种差其余恶意软件变种,研究职员信托它们会根据其泛起的时间顺序由单个工具操作和出售:

拥有120个下令(未署名)的成熟版本;

包罗120个下令(署名)的成熟版本(单个示例);

有11条下令(署名)的测试版本;

迁徙到测试版版本,仅对署名的可执行文件使用11个下令,这可能解释运营商希望削减恶意软件的占用空间,并最洪水平地提高他们针对高价值目的举行无法检测的流动的时机。

此外,这种最小化的后门可能解释Bandook的变种变型仅被用作加载器,用于接下来要下载的其他功效更全的恶意软件。

与Dark Caracal的联系

这并不是Bandook恶意软件第一次举行有针对性的攻击,这次流动的一些特点和与之前流动的相似之处使研究职员信托,在本文中形貌的流动确实是Dark Caracal行动中使用的基础设施的延续和生长:

1.在种种流动中使用相同的证书提供者(Certum);

2.Bandook木马的使用,它似乎是来自统一源代码的一个怪异的不停生长的分支(尚不公然)。与现在剖析的120个下令版真相比,来自Dark Caracal 流动(2017)的示例使用了约莫100个下令。

3.所选目的的行业和地理漫衍都存在极大差异。

Bandook下令

以下是Bandook测试版支持的下令列表。

本文翻译自:https://research.checkpoint.com/2020/bandook-signed-delivered/
发表评论
sunbet声明:该文看法仅代表作者自己,与本平台无关。请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片

您可能还会对下面的文章感兴趣: