攻击者借助Office漏洞传播FELIXROOT后门

图9. 敕令履行后的日志

收集通信

FELIXROOT会经由过程HTTP与HTTPS POST协议与C2办事器通信

一、进击活动细节

2017年9月,在针对乌克兰的进击活动中FireEye发清楚明了FELIXROOT后门这款恶意载荷,并将其反馈给我们的情报感知客户该进击活动应用了一些恶意的乌克兰银行文档,此中包孕一个宏,用来下载FELIXROOT载荷并将其送达给进击目标

近来FireEye察看到有新的进击活动顶用到了同样的FELIXROOT后门在此次进击活动中,武器化的诱骗文档涉及到与情况保护研讨会相关的话题,使用了两个已知的Microsoft Office破绽(CVE-2017-0199以及CVE-2017-11882)来将后门法度榜样开释到受害者主机上并加以履行,进击活动流程图如图1所示

图1. 进击流程图

恶意软件借助俄语文档(如图2所示)进行传播,文档用到了已知的Microsoft Office破绽使用技巧在这次进击活动中,我们察看到进击者使用CVE-2017-0199以及CVE-2017-11882破绽来传播恶意软件所应用的恶意文档名为“Seminar.rtf”,文档使用CVE-2017-0199破绽从193.23.181.151这个地址处(如图3所示)下载第二阶段所应用的进击载荷,所下载的文档包孕了CVE-2017-11882破绽使用技巧

图2. 诱饵文档

图3. Seminar.rtf文档中的URL信息(十六进制数据)

图4注解第一个载荷正考试测验下载进击第二阶段所应用的Seminar.rtf

图4. 下载第二阶段所应用的Seminar.rtf

下载的Seminar.rtf文档中包孕一个二进制文件,经由过程公式编辑器将可履行文件开释到%temp%目录中该文件将可履行文件开释到%temp%目录(MD5:78734CD268E5C9AB4184E1BBE21A6EB9),后者用来下载并履行FELIXROOT开释器组件(MD5:92F63B1227A6B37335495F9BCB939EA2)

开释出来的可履行文件(MD5:78734CD268E5C9AB4184E1BBE21A6EB9)在PE(Portable Executable)覆盖区中包孕颠末压缩处置惩罚的FELIXROOT开释器组件当该文件被履行时会创建两个文件:指向%system32%rundll32.exe路径的一个LNK文件以及FELIXROOT加载器组件LNK文件会被移动到启动目录中LNK文件中包孕用来履行FELIXROOT加载器组件的敕令,如图5所示:

图5. LNK文件中包孕的敕令

内置的后门组件应用了自定义加密算法进行加密该文件会直接在内存中解密并履行,不涉及到落盘操作

二、技巧细节

成功使用破绽后,开释器组件会履行并开释加载器组件加载器组件借助RUNDLL32.EXE来履行后门组件会被加载到内存中,只包孕一个导出函数

后门中包孕的字符串颠末自定义的加密算法进行加密处置惩罚,加密算法为XOR(异或)算法,采纳了4字节的密钥ASCII字符串对应的解密逻辑如图6所示

图6. ASCII解密历程

Unicode字符串的解密逻辑如图7所示

图7. Unicode解密历程

履行起来后,后门会创建一个新的线程,然后休眠10分钟,接着确认自身是否由RUNDLL32.EXE应用#1参数启动,假如前提满意,则后门会在履行敕令与节制(C2)收集通信操作之前先辈行初始的系统信息网络为了网络系统信息,后门经由过程ROOTCIMV2命名空间连接到Windows Management Instrumentation(WMI)

全部操作历程如图8所示:

图8. 后门组件初始履行流程

从ROOTCIMV2及RootSecurityCenter2命名空间中引用的类如表1所示:

WMI命名空间

Win32_OperatingSystem

Win32_ComputerSystem

AntiSpywareProduct

AntiVirusProduct

FirewallProduct

Win32_UserAccount

Win32_NetworkAdapter

Win32_Process

表1. 引用的类

WMI及注册表

用到的WMI查询语句如下所示:

SELECT Caption FROM Win32_TimeZone

SELECT CSNAME, Caption, CSDVersion, Locale, RegisteredUser FROM Win32_OperatingSystem

SELECT Manufacturer, Model, SystemType, DomainRole, Domain, UserName FROM Win32_ComputerSystem

后门会读取注册表相关键值信息,网络治理员权限提升信息及代理信息

1、查询SOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem路径中的ConsentPromptBehaviorAdmin及PromptOnSecureDesktop表项值;

2、查询SoftwareMicrosoftWindowsCurrentVersionInternet Settings路径中的ProxyEnable、Proxy:(NO)、Proxy及ProxyServer表项值

FELIXROOT后门的功能如表2所示每条敕令都邑在自力的线程中履行

[1] [2] [3]下一页

敕令

描述

0x31

经由过程WMI及注册表网络系统指纹信息

0x32

开释文件并加以履行

0x33

远程Shell

0x34

终止与C2办事器的连接

0x35

下载并运行批处置惩罚脚本

0x36

下载文件到本地

0x37

上传文件

表2. FELIXROOT后门敕令

应用图6及图7的解密措施后,我们从内存中提掏出了每条敕令履行后的日志信息,如图9所示经由过程收集发送的数据颠末加密处置惩罚,采纳自定义的数据布局所有的数据都颠末AES加密,转换为Base64数据然后再发送给C2办事器(如图10所示)

图10. 发送给C2办事器的POST哀求

Request及Response数据包头部中的其他所有字段(如User-Agents、Content-Type及Accept-Encoding)都颠末XOR加密处置惩罚,可以在恶意软件中找到恶意软件调用Windows API获取谋略机名、用户名、卷序列号、Windows版本、处置惩罚器架构以及其他两个值(分手为“1.3”以及“KdfrJKN”)“KdfrJKN”这个值可能是个标识符,可以在文件内部的JSON工具中找到(如图11所示)

图11. 每次通信中所应用的主机信息

FELIXROOT后门在C2通信顶用到了3个参数,每个参数都可以供给关于目标主机的一些信息(如表3所示)

参数

描述

‘u=’

该参数包孕目标主机信息,详细款式为:, , ,

, , ,

‘&h=’

该参数包孕履行的敕令及详细结果

‘&p=’

该参数包孕与C2办事器有关的数据信息

表3. FELIXROOT后门参数

加密算法

发送给C2办事器的所稀有据都颠末AES加密处置惩罚,经由过程IbindCtx接口应用HTTP或者HTTPS协议进行传输每次通信所应用的AES密钥都不相同,该密钥颠末两个RSA公钥的加密处置惩罚FELIXROOT所应用的RSA密钥如图12及图13所示,AES加密参数如图14所示

图12. RSA公钥1

图13. RSA公钥2

图14. AES加密参数

加密处置惩罚后,发往C2的密文还会颠末Base64编码发送给办事器的数据布局体如图15所示,C2通信中对应的数据布局如图16所示

图15. 用来将数据发送至办事器的布局体

图16. 发往C2办事器数据布局样例

后门应用CryptBinaryToStringA函数将该布局体数据转换为Base64编码

FELIXROOT后门包孕多少条敕令,用于不合的义务每项义务履行完毕后,恶意软件会在履行下一项义务前就寝1分钟一旦所有义务履行完毕,恶意软件会跳出轮回,删除数据缓冲区,然后清除目标主机上的所有痕迹,包孕如下清痕操作:

1、从启动目录中删除LNK文件;

2、删除HKCUSoftwareClassesApplicationsrundll32.exeshellopen注册表项;

3、从系统中删除开释器组件

三、总结

CVE-2017-0199以及CVE-2017-11882是今朝我们最常见到的两个破绽进击者平日会越来越广泛地使用这些破绽发动进击,直至破绽再无可用之处为止,是以各个单位必须确保他们处于足够的防护中在本文成文时,FireEye Multi Vector Execution(MVX)引擎已经能精确识别并阻拦此类安然要挟我们建议所有行业维持鉴戒,由于这次进击活动的生事者很有可能会扩大年夜他们的进击范围

四、附件

IOC

MD5哈希值

样本

11227ECA89CC053FB189FAC3EBF27497

Seminar.rtf

4DE5ADB865B5198B4F2593AD436FCEFF

Seminar.rtf

78734CD268E5C9AB4184E1BBE21A6EB9

Zam.doc

92F63B1227A6B37335495F9BCB939EA2

FELIXROOT Dropper

DE10A32129650849CEAF4009E660F72F

FELIXROOT Backdoor

表4. FELIXROOT IOC

收集IOC

217.12.104.100/news

217.12.204.100:443/news

193.23.181.151/Seminar.rtf

Accept-Encoding: gzip, deflate

content-Type: application/x-www-form-urlencoded

Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E; InfoPath.2)

Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E; InfoPath.2)

Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E; InfoPath.2)

上一页[1] [2] [3]下一页

Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E; InfoPath.2)

设置设置设备摆设摆设文件

版本1:

{“1” : “https://88.198.13.116:8443/xmlservice”,”2″ : “30”,”4″ : “GufseGHbc”,”6″ : “3”, “7” : “http://88.198.13.116:8080/xmlservice”}

版本2:

{“1” : “https://217.12.204.100/news/”,”2″ : “30”,”4″ : “KdfrJKN”,”6″ : “3”, “7” : “http://217.12.204.100/news/”}

FireEye检测结果

MD5

产品

特性

操作

11227ECA89CC053FB189FAC3EBF27497

NX/EX/AX

Malware.Binary.rtf

阻拦

4DE5ADB865B5198B4F2593AD436FCEFF

NX/EX/AX

Malware.Binary.rtf

阻拦

78734CD268E5C9AB4184E1BBE21A6EB9

NX/EX/AX

Malware.Binary

阻拦

92F63B1227A6B37335495F9BCB939EA2

NX/EX/AX

FE_Dropper_Win32_FELIXROOT_1

阻拦

DE10A32129650849CEAF4009E660F72F

NX/EX/AX

FE_Backdoor_Win32_FELIXROOT_2

组织

11227ECA89CC053FB189FAC3EBF27497

HX

IOC

警告

4DE5ADB865B5198B4F2593AD436FCEFF

HX

IOC

警告

表5. FireEye检测结果

上一页[1] [2] [3]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包