Pied Piper:新一波網路魚叉變種攻擊
三天前,Morphisec實驗室的研究人員發現一波針對多個國家的大範圍網路攻擊活動。Morphisec的研究人員稱之為“Pied Piper”,主要的攻擊方式是通過向多個國家實施網路釣魚來投送遠控木馬程式(RAT)。
此次攻擊活動中傳播的一個木馬程式版本為“FlawedAmmyy RAT”。 該木馬使攻擊者可以完全控制受害者的PC系統,可以竊取系統檔案、登入憑證,以及實現遠端截圖、控制攝像頭及麥克風。此外,它還為攻擊者開展橫向滲透攻擊打下了基礎,可以作為主要供應鏈攻擊的潛在入口點。
如下文所述,如果該攻擊活動順利實施的話,將對會Godiva Chocolates,Yogurtland和Pinkberry在內的多家知名食品連鎖企業供應商產生潛在影響。 如果不禁用C&C伺服器的話,我們可以假設其他人很快也會受到此網路攻擊活動的影響。
近幾個月來,FlawinAmmyy遠控木馬程式的使用量激增,上個月它已躋身Checkpoint全球威脅指數前十名。正如Proofpoint研究人員去年3月份所透露的那樣,此次攻擊活動所使用的FlawinAmmyy遠控木馬程式是基於已洩露的AmmyyAdmin遠控木馬程式的原始碼程式開發的變種程式。
隨著對該活動的深入調查掌握,基於元資料和其他指標,同一個攻擊活動參與者正在交付另一個版本的遠控木馬程式,該版本以遠端操控器(RMS)RAT作為有效載荷。RMS RAT是建立在一個隨時可用的非商業庫之上的,該庫有助於分析程式碼中出現的異常。
此攻擊活動的所有版本都以網路釣魚作為攻擊起點,欺騙受害者啟用巨集功能。攻擊活動會分多個階段進行,最終將會提供一個完全簽名的可執行RAT。
基於元資料分析,我們懷疑發起這次攻擊活動的幕後黑手為Proofpoint所描述的TA505。截至本文發表時,攻擊活動仍在繼續。Morphisec已向有關當局報告了這次攻擊活動的細節,以便對攻擊活動所使用的C&C伺服器採取措施。
本文我們將重點介紹Ammyy RAT的攻擊鏈,並指出其與RMS RAT攻擊鏈的區別。
技術介紹
網路釣魚
此次的“Pied Piper”攻擊活動與之前的網路釣魚攻擊活動相似, 之前的網路釣魚所使用的遠控木馬程式為Ammyy Admin RAT。這些武器化的文件採用了相同的彩色影象,誘使受害者啟用巨集功能來瀏覽Microsoft Office文件。在此次攻擊活動中,攻擊者使用了weaponized .pub (Microsoft Publisher)文件以及更標準的.doc檔案。Morphisec研究人員檢查了多個不同檔名的文件。有些檔名為invoice_<random number>.pub,更多的則為invoice_laspinasfoods.doc。根據檔案的元資料來分析,這些文件似乎是在最近幾天建立的,目前還在繼續建立其他類似檔案。
此次的“Pied Piper”攻擊活動與之前的網路釣魚攻擊活動相似, 之前的網路釣魚所使用的遠控木馬程式為Ammyy Admin RAT。這些武器化的文件採用了相同的彩色影象,誘使受害者啟用巨集功能來瀏覽Microsoft Office文件。在此次攻擊活動中,攻擊者使用了weaponized .pub (Microsoft Publisher)文件以及更標準的.doc檔案。Morphisec研究人員檢查了多個不同檔名的文件。有些檔名為invoice_<random number>.pub,更多的則為invoice_laspinasfoods.doc。根據檔案的元資料來分析,這些文件似乎是在最近幾天建立的,目前還在繼續建立其他類似檔案。
圖為西班牙語的釣魚Word文件
圖為德語的釣魚Word文件
巨集程式碼分析
當巨集程式碼被執行時,將會在Windows計劃任務中新增一項計劃任務,該任務將在下一個攻擊階段被執行。這是惡意程式作者為規避殺軟系統而設計的,同時也是打破攻擊鏈的一種常見做法,而不是直接去執行下一階段的Word程式程序。 在Ammyy RAT和RMS RAT兩種攻擊方式中,已新增的計劃任務會執行Shell/">PowerShell命令,該命令會對從一個指定域名下載的MSI程式進行相同的解密(所有域名都會在附錄中記載)。
在已分析出的大多數情況下,MSI的名稱是“WpnUserService”。在所有情況下,MSI都包含一個可執行檔案MYEXE,該檔案會根據它傳遞的RAT型別而進行不同的簽名。這個可執行檔案只是用於下一個階段的下載者程式,而不是RAT本身。 在下面的圖示中,我們對與Ammyy RAT程式相關的MYEXE進行了逆向分析(這是最近編譯的一個變種程式)。
通過截圖,我們可以清楚地看到可執行檔案會檢測一些常見的病毒查殺系統,如果檢測到其中一個,它將會使用一個不同的路徑(通過Svchost.exe來執行)。 如果沒有找到病毒查殺系統,它將從下一臺IP伺服器(仍然不是C2伺服器)下載一個臨時檔案。此臨時檔案是Ammyy RAT加密檔案,將在後面的階段進行解密。 從下面的截圖可以看出,可執行檔案編寫了一個自定義的GetProcAddress函式,並根據在程式執行時計算的雜湊值(SHIFT 7 + xor)載入記憶體中的所有函式地址。
GetProcAddress自定義函式還會接收一個引數,該引數會告訴它將需要哪些模組,並根據引數來計算出匯出表查詢的相關偏移量(一種非標準的實現方法)。
我們還可以看到針對kernel32模組的標準查詢,在迭代初始化順序模組列表時只搜尋字尾。
如上所述,臨時檔案會被解密為成一個名為wsus.exe新的可執行檔案。該可執行檔案即是Ammyy RAT自身的程式。如果當前使用者不是Admin許可權,則會立即執行該過程,如下所示,該程式會新增稍後在登入系統時執行的一項計劃任務,從而獲得持久控制權限。
如果當前使用者是管理員許可權,則會在系統中建立一個名為“foundation”的服務項。
Ammyy RAT和下載者程式使用了相同的證書“AWAY PARTNERS LIMITED”進行簽名,而遠端控制器RAT則使用了名為“DIGITAL DR”的證書進行簽名。根據上面的證書和識別出的攻擊者相關資訊,進而通過Yara搜尋出了更多的樣本,發現攻擊者使用RMS RAT程式發動網路攻擊活動已有近一個多月時間,而使用的其他的遠端木馬程式則已經有數年了。
當執行wsus.exe程式以後,RAT會將使用者相關的資訊傳送給C2伺服器。傳送的資訊包括計算機的名稱、所在域、許可權等(基本上屬於標準的Ammyy協議)。
RAT的指標與wsus.exe可執行檔案中的字串匹配:
Morphisec實驗室截獲了來自同一攻擊方的另一起攻擊行為。在一天之內,攻擊方通過修改MSI打包內容的方式,改變了Ammyy攻擊鏈原來的方式。
• Document (.doc) – 3f8a1922c7dc7df83bf1e7c130d306ef2d2a39fa
• MSI – 60971C1C1BC046D082E413D5CC2F9B38177F494E
攻擊者還更改了下載服務的IP地址: 195.123.240[.]220 New Ammyy RAT: A3C4AADDBE4AC319ACD181A6C6790EE40836F4EF (wsus.exe) 新的域名當前已經投入使用並指向相同的C&C伺服器。
IOC/">IOC
文件雜湊:
5740a465eea3b4c0d754bb22943b0d93ce95857d <.pub file> bb85526faa8de4941d8d884fc6818c898c1004ff <.pub file> d2a2557f35a34a21d8d7adf43eec8da2392595ec <.doc file>`
安裝程式 (WpnUserService):
078E4FAC0DADE6F7C8FBA11C5BE27CBF015E4E31 08BF6E06811C7B43AF281C6C48E0A8197A24A252
MYEXE:
7BBDF72CFED063F3AB5D9EF3480FE3E5465A7006 AA699F08DCD38A45C7509383B07A298B2D2F6C74 8B10CEBD3C24E80D62DBB06F989AF43CF732448C Ammy RAT (Wsus) 4C4F2BBE3F49B17B04440C60F31293CB1431A867 9B54BBB0730FD50789E13F1968043074EF30836C
域名:
hxxp://office365homedep[.]com/localdata hxxp://office365id[.]com/WpnUserService hxxp://213.183.63[.]122/date1.dat hxxp://185.68.93[.]117/date1.dat
C2伺服器
185.99.133[.]83
RAT更多資訊:
21347afa7af3b6c9cd0646ba4644c5b65ecaeb6c (.doc file) hxxp://idoffice365[.]com/camsvc B79D3D2410D75DFB0E58DE7C8EF9C38FCE33DDF3 (MSI) 8B10CEBD3C24E80D62DBB06F989AF43CF732448C (MYEXE Downloader) 651B8D1377910E4728E85DCD231E269313AB9E1D (RAT) 89.144.25[.]16 4a026651e048174202501bc33cdb7d013517348d (09112018_281_29.doc - German) 12e94fdb61f866e0f402c48f71a24d19bf2e8c32 (comprobante.doc - Spanish)