供應鏈攻擊活動Red Signature分析
IssueMakersLab與Trend Micro的研究人員一起發現了Red Signature行動,一起竊取韓國企業資訊的供應鏈攻擊。研究人員7月底發現了這起攻擊。
攻擊者黑進了遠端支援方案提供商的更新伺服器,通過更新過程傳播9002 RAT(remote access tool)。這個過程首先是竊取公司的證書,然後用竊取的證書對惡意軟體進行簽名。如果客戶端位於目標組織的IP地址範圍內,攻擊者還會配置更新伺服器使其只傳播惡意檔案。
9002 RAT還會安裝其他的惡意工具,IIS 6 WebDav(利用CVE-2017-7269)的漏洞利用工具和SQL資料庫密碼複製器。安裝的這些工具暗示攻擊者的目標未web伺服器和資料庫。
圖1. Red Signature行動供應鏈
Red Signature行動工作原理:
-
從遠端支援解決方案提供商處竊取程式碼簽名證書。證書竊取的時間大概是2018年4月,因為研究人員4月8日發現一個用被竊的證書籤名的ShiftDoor惡意軟體(4ae4aed210f2b4f75bdb855f6a5c11e625d56de2)。
-
準備惡意更新檔案,用竊取的證書對惡意更新檔案進行簽名,然後上傳到攻擊者的伺服器(207[.]148[.]94[.]157)。
-
黑掉該企業的更新伺服器。
-
配置更新伺服器。如果客戶端從屬於目標組織的IP地址範圍內連線到伺服器,配置更新服務為從攻擊者的伺服器接收update.zip檔案。
-
當遠端支援程式執行時,傳送惡意update.zip檔案到客戶端。
-
遠端支援程式驗證簽名認為更新檔案為非惡意檔案,然後執行update.zip檔案中的9002 RAT惡意軟體。
-
9002 RAT從攻擊者伺服器下載和執行其他惡意檔案。
技術分析
更新檔案update.zip中含有update.ini檔案,含有惡意更新配置資訊,其中說明了遠端支援解決方案程式下載file000.zip和file001.zip,然後解壓為rcview40u.dll和rcview.log到安裝資料夾。
程式會執行用竊取的證書籤名的rcview40u.dll和Microsoft register server (regsvr32.exe)。DLL檔案負責解密加密的rcview.log檔案並再記憶體中執行。9002 RAT是解密的rcview.log的payload,會連線到位於66[.]42[.]37[.]101的C2伺服器。
圖2. 惡意更新配置檔案的內容
圖3. 被黑的更新程序啟動9002 RAT的過程
圖4. 解密的rcview.log檔案的payload中的9002 RAT字串模式
9002 RAT
研究人員分析9002 RAT發現是RAT檔案2018年7月編譯的,update.zip檔案中的配置檔案是7月18日建立的。分析更新日誌檔案發現遠端支援程式的更新程序是7月18日啟動的,9002 RAT也是這個時間下載和執行的。
研究人員還發現特定攻擊中使用的RAT檔案在8月被設為不活動狀態,所以RAT的活動日期是非常短暫的(7月18日-7月 31日)。
圖5. 9002 RAT樣本編譯時間戳(上),惡意配置檔案時間戳(中),程式更新日誌截圖(下)
圖6. 9002 RAT檢查系統時間並設定在2018年8月休眠的程式碼段
其他的惡意工具
9002 RAT還作為傳播其他惡意軟體的跳板。大多數的惡意軟體都是以.cab壓縮檔案格式下載的。這也是繞過反病毒軟體檢測的一種方法。
下圖為9002 RAT提取和傳播的檔案列表:
圖7. 下載的Web.ex_ cabinet檔案(左)和解壓的Web.exe檔案(右)
其中下載一個檔案printdat.dll就是一個RAT,是PlugX惡意軟體的變種,會連線到相同的C2伺服器(66[.]42[.]37[.]101)。
圖8. printdat.dll檔案中的內部PlugX date dword值
如何緩解供應鏈攻擊
供應鏈攻擊不僅會影響使用者和企業,因為利用的是廠商和客戶之間的信任。通過木馬化軟體、應用,操作執行的基礎設施和平臺,供應鏈攻擊會影響企業提供的商品和服務的完整性和安全性。比如在醫療領域,行業非常依賴第三方和雲服務,供應鏈攻擊會使個人身份資訊隱私和智慧財產權資料處於威脅中,還可以破壞醫院運營,甚至危及病人健康。隨著歐盟GDPR等監管措施的實施,這種攻擊的影響可能會加大。
下面是一些最佳實踐供參考:
-
考慮第三方產品和服務的安全。除了確保企業自己的線上基礎的安全性外,還要對使用的第三方應用應用安全控制措施。
-
開發應急響應策略。供應鏈攻擊大多是有特定目標的,企業要完全理解、管理和監控第三方廠商的威脅。
-
主動監控網路中的異常流量。防火牆、入侵檢測和預防系統能夠幫助緩解基於網路的威脅。
-
最小許可權原則。網路隔離、資料分類、系統管理工具的限制使用以及應用控制都可以幫助減少暴露的資料。