Hussarini:一个正将菲律宾作为攻击目标的后门

然则在这次进击中,该文件主要用来经由过程DLL挟制技巧加载Hussarini后门

写在前面的话

就在两周之前,FortiGuard安然实验室发清楚明了一份名为“Draft PH-US Dialogueon Cyber Security.doc”的可疑文件,而这个名字中带有政治色彩的恶意文档使用了破绽CVE-2017-11882,一旦进击成功,它将会向目标主机的%temp%目录中投放恶意软件

钻研职员的阐发注解,这份恶意文件属于Hussarini(别名Sarhust),从2014年开始,很多收集犯罪组织都在各自的APT进击中应用这款后门来对东盟各国实施进击钻研申报指出,在这一系列进击活动中,受影响最大年夜的为菲律宾

恶意文档阐发

首先,我们对这个标题为“Draft PH-US Dialogue on Cyber Security.doc”的恶意文档进行了阐发它使用的是破绽CVE-2017-11882,一旦使用成功,恶意文档将会向目标主机的%temp%目录中投放下列恶意软件:

·Outllib.dll

·OutExtra.exe

OutExtra.exe是一个由微软署名的合法利用法度榜样,这个文件是MicrosoftOffice套件中的一个组件,可以用来探求Outlook数据文件中的关键词

很多APT恶意软件都邑应用到DLL挟制技巧,这种技巧不会经由过程合法利用法度榜样来加载正常的DLL,而是使用合法利用来加载包孕了恶意代码的DLL这样一来,恶意软件就能够绕过主机入侵防御系统(HIPS)并履行恶意操作了大年夜多半HIPS对象应用的都是白名单机制,是以会轻忽那些应用了DLL挟制以及拥有合法署名的利用,OutExtra.exe便是如斯,接下来,它便会加载上面那个冒充成合法Outllib.dll的恶意文件

诱饵文件

为了不让目标用户起怀疑,恶意软件会从一个看似正常的地址(hxxp://157.52.167.71:29317/office/word/2003/ph2/philip.varilla)下载一份诱饵文件在我们的阐发历程中,这个诱饵文件托管地址已经无法造访了然则我们可以从URL中发明,“ph”应该指的是菲律宾(ph-Philippines),2指的是第二个版本的诱饵文档在Google上搜索一番之后,“philip.varilla”这个名字竟然跟菲律宾省信息通信技巧司(DICT)司长有关,而这个部分认真的是菲律宾海内的信息通信技巧领域,此中也包括收集安然在内

Hussarini

实际上,Outllib.dll便是Hussarini后门,这个dll可以导出包孕了恶意代码的函数,当OutExtra.exe履行之后,会调用此中的某些函数,并履行响应的恶意代码

虽然原始的Outllib.dll也有上述的某些功能,然则这个后门的功能要远远强于后门dll

而且各自的文件大年夜小也不合,原始的Outllib.dll只有4-8MB(取决于不合版本),捏造的文件只有40-50KB造成文件大年夜小不合的此中一个缘故原由是后门DLL中只有一个导出函数包孕恶意代码,是以我们的阐发将主要集中在这个包孕了后门代码的函数-RenInitInstance@12

这个函数首先初始化了一个类来设置bot,然后创建了两个并发线程,并以创建的bot工具作为参数:

第一个线程是一个客户端线程,认真跟敕令节制办事器进行通信,并监听敕令第二个线程认真解析并向worder通报相应信息,worker线程认真履行敕令并向客户端线程申报结果

在跟C&C办事器通信之前,恶意软件会在注册表中保存一个ServerID(随机天生的值),这个ID用于在僵尸收集中识别bot身份

C&C通信

有趣的是,代码中包孕了一个私人IP(10.1.0.105),这很可能是当初用来测试的C&C办事器,这个IP会在运行时历程中被调换成真正的地址(publicdfaph.publicvm.com)

在通信历程中,Hussarini应用了自定义的协议(Base64编码),数据经由过程HTTP发送:

从协议布局中,我们可以看到天生的ServerID、数据大年夜小和消息的校验和数据采纳了Base64编码,并作为一个参数在HTTP Get哀求中通报

C&C的相应包孕在标签中,同样采纳了Base64编码,解码后我们可以看到类似的数据布局:

校验之后,恶意软件便会获取下列系统信息,并经由过程HTTP POST哀求进行发送:用户名、主机名、操作系统及CPU信息

[1] [2]下一页

C&C发送的敕令包孕在标签中,在解码之后我们发明敕令的数据布局着实跟通信协议的数据布局是相同的

第一个敕令包孕字符串“cache.txt“,并且会调用worker线程来创建下列文件(恶意软件所在目录):

·cache.txt

·cache.txt.cfg

第二个敕令包孕cmd敕令:

C&C将会发送下列敕令,并通报给worker线程,着末写入到cache.txt文件中:

Hussarini使用了动态域名来维持恶意活动的匿名性,然则我们在阐发的历程中,我们只看到样本解析到了IP地址157.52.167.71,而这个地址也是托管诱饵文档的地址

入侵要挟指标IoC

SHA256:

154261a4aab73f1ceef28695d8837902cc1e8b5cca0b8fc81ddeda350564adc0- MSOffice/CVE_2017_11882.A!tr

05dcc7856661244d082daa88a074d2f266c70623789a7bb5a919282b178d8f98- W32/Sarhust.D!tr

CC:

hxxp://157.52.167.71:29317/office/word/2003/ph2/philip.varilla

hxxp://publicdfaph.publicvm.com:8080/

上一页[1] [2]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包