1. Win徽標+R調出“運行”, 在文本框中輸入:regedit���,點擊“確定”
近日���,FortiGuard Labs公開披露了一場針對海外華人的網絡攻擊活動。在這場活動中,攻擊者利用了已知的WinRAR文件漏洞(CVE-2018-20250)和RTF文件漏洞(CVE-2017-11882)來使惡意軟件能夠繞過常規的認證檢查。
此外��,“水坑攻擊(Watering hole)”在這場活動中也得到了運用——攻擊者利用了一個被黑掉的國外中文新聞網站來傳播惡意軟件��。也可以這么理解��,這場網絡攻擊活動瞄準的正是海外華人。
被黑掉的國外中文新聞網站
FortiGuard Labs表示��,這個被黑掉的中文新聞網站位于美國����,被攻擊者注入了惡意網絡釣魚鏈接,大多偽裝成該網站的介紹頁面�。此外����,還有一個“聯系我們的Twitter”的鏈接���,實際上是一個網絡釣魚Twitter登錄頁面���。
圖1.偽裝成網站介紹頁面的釣魚鏈接(紅框)和虛假Twitter登錄頁面鏈接(藍框)
惡意JS腳本首先會檢查cookie數據����,以確保訪問來自Windows系統。然后��,它會檢查是否存在“___utma”���,這是一個用于區分Google Analytics中用戶和會話的Cookie����。
如果存在�,它接下來就會將另一個腳本從“hxxps://click.clickanalytics208[.]com/s_code.js?cid=239&v=243bcb3d3c0ba83d41fc”下載到被黑網站上。
那么����,這個腳本是用來干嘛的呢��?它能夠執行從C2服務器接收到的任意JS腳本。
惡意軟件分析
如上所述�����,感染有兩種途徑:一種是利用了WinRAR文件漏洞(CVE-2018-20250)�����,另一種是利用RTF文件漏洞(CVE-2017-11882)�。
圖4.WinRAR漏洞利用(CVE-2018-20250)
1.利用WinRAR漏洞(CVE-2018-20250)提取后門
惡意.rar文件實際上是一個.ace文件���,它有一個對應的解壓路徑���,見圖4藍框��。通過利用WinRAR漏洞(CVE-2018-20250)將conf.exe解壓縮到啟動文件夾中��,它可以實現在系統啟動時自動執行��。
FortiGuard Labs表示,攻擊者發起這場活動很有可能只是為了對惡意軟件進行測試�,因為只有當用戶名為“test”時,conf.exe才能夠被正確提取。
此外,FortiGuard Labs還發現conf.exe感染了Sality,一種多態的感染型惡意軟件。執行conf.exe時��,conf.exe中的后門payload和Sality傳染源shellcode(Sality C2服務器目前處于非活躍狀態)將同時執行����。
圖5.后門C2(綠框)和Sality C2(紅框)
2.利用RTF漏洞(CVE-2017-11882)下載后門
提取的.doc文件實際上是一個.rtf文件,它會觸發Microsoft公式編輯器�,運行regsvr32.exe連接到154.222.140[.]49��,然后下載一個被命名為“123.sct”的惡意腳本。
圖6.RTF漏洞利用(CVE-2017-11882)
圖7.用于下載惡意軟件下一階段payload的腳本“123.sct”
執行后�,123.sct會將“hxxp://154.222.140[.]49/qq.exe”下載到“C:\Windows\Temp\conf.exe”�����。需要說明的是,通過這種渠道提取的conf.exe沒有感染Sality��。
后門payload分析
FortiGuard Labs表示�,他們在這場活動中共發現了2個不同版本的后門payload,但都具有相同的后門功能��。當它們運行時��,它們都會分配內存并動態加載一個惡意DLL�,且導出函數也都一樣��,如下圖所示���。
1. DealC
該函數負責收集系統信息����,并上傳到C2服務器����。
2. DealR
該函數被用于惡意軟件的安裝。有兩種安裝方式:第一種是將惡意軟件注冊到“HKCU\Software\Classes\Folder\Shell\test\Command”,以便為復制的惡意軟件添加快捷方式�����;第二種是將惡意軟件注冊到“HKCU\Software\Microsoft\Windows\CurrentVersion\Run”��,并使用路徑“[%PROGRAMDATA%]\Mpclient.exe”作為參數,以實現持久性。
有意思的是,它還會檢查自己的名字是否是“kphonewiz(金山手機助手)”或“kminisite(金山毒霸熱點新聞)”�,這進一步表明這個后門惡意軟件針對的是中國人�。
圖9.有意思的字符串�����,進一步表明該惡意軟件針對的是中國人
3. DealS
在運行后門的主組件之前���,DealS將加載Windows庫��。它這樣做的目的是為了收集Windows API調用函數地址,以便在內存中生成函數表�。通過移動特定索引����,使用簡單的字符表對所有庫名稱和函數名稱進行編碼�。
然后,它會將其安裝路徑從注冊表“Software\Microsoft\Windows\CurrentVersion\Run”文件保存到文件“[%PROGDATA%]/Destro”�����。
主要功能
這種惡意軟件包含了一些隱秘的功能�����,旨在收集系統信息并將信息上傳到C2服務器�����。此外,它還可以下載文件,并為進一步的攻擊創建一個反向shell��。
后門功能:
- 收集系統信息
- 收集磁盤硬件信息
- 收集特定目錄下的目錄列表
- 收集特定目錄中的文件列表
- 收集已安裝的程序列表
- 收集進程列表
- 從不同的應用程序收集數據���,例如Skype����、Fetion、SogouInput和SogouDesktopBar等
- 收集網絡適配器信息
- 搜索文件
- 收集截圖
- 創建一個反向shell
- 下載文件
- 獲取收集的文件MD5哈希
- 收集剪貼板文本
- 收集CPU信息
惡意軟件開發歷程
FortiGuard Labs表示��,這個后門惡意軟件自2017年以來一直在被使用�����,以下是開發的時間表:
有意思的是���,這個后門惡意軟件總是使用一些中文軟件的名稱來誘使受害者執行它�����。起初,它只是一個可執行文件����,但在2018年被更改為了DLL版本�,被加密并保存在加載程序的數據部分中�����。當加載程序運行時��,后門DLL將被解密并加載。
最新的樣本被命名為“XLAccount.dll”(似乎是想要偽裝成“迅雷游戲盒子”)�����,它有一個有意思的新功能���,能夠收集有關一款名為“Shadowsocks”的VPN工具的信息���。用過的人都知道�����,這是一款“翻墻”工具。
結論
在這場網絡攻擊活動中����,黑客入侵了一家美國中文新聞網站�,并注入了網絡釣魚鏈接����,且惡意腳本到目前為止仍在運行。
自2017年以來,雖然攻擊者已經多次更新了他們的后門惡意軟件,但仍就一直試圖通過使用一些中文軟件的名稱來偽裝它們����。
通過對后門惡意軟件的功能以及C2服務器的分析��,FortiGuard Labs認為攻擊者仍在進行他們的惡意軟件測試活動,以便為他們的惡意軟件增加新的功能,進而竊取數量更大��、類型更多的信息和數據�����。
