欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Chafer使用的新的基于Python的有效载荷MechaFlounder

来源:本站整理 作者:佚名 时间:2019-03-15 TAG: 我要投稿

2018年11月,Chafer威胁小组针对土耳其政府重新利用他们在2018年早些时候使用的基础设施(Clearsky报道的活动中),特别是域名win10-update [.] com。虽然我们没有见到此攻击的初始交付机制,但我们确实在185.177.59 [.] 70上观察到托管的辅助有效载荷,此IP是该域名在攻击活动时解析的地址。
Unit 42从2016年开始观察到Chafer活动,但Chafer自2015年以来一直活跃。这个新的辅助有效载荷是基于Python的,并使用PyInstaller编译成可执行文件。这是Unit 42识别这些运营者使用的第一个基于Python的有效载荷。我们还发现其代码与OilRig的Clayside VBScript重叠,但此次将Chafer和OilRig作为单独的威胁组织进行跟踪。我们已将此有效载荷命名为MechaFlounder以便跟踪,并在下面详细讨论。
一、针对土耳其政府
我们识别此次Chafer活动基于从IP地址185.177.59 [.] 70下载的恶意可执行文件。目前尚不清楚攻击者如何定位受害者并导致他们下载此文件。
名为“lsass.exe”的文件是通过HTTP请求从win10-update [.] com下载的。 win10-update [.] com域名已在开源中被标注为与Chafer威胁组织相关联的指示符。从此域名下载的lsass.exe文件是以前未报告的基于python的有效载荷,我们命名为MechaFlounder并持续追踪。我们认为Chafer使用MechaFlounder作为辅助有效载荷,并使用第一阶段有效载荷下载,以便在受感染的主机上执行其后续活动。根据我们的遥测技术,在此活动中没有观察到第一阶段的有效载荷。
2018年2月,IP地址134.119.217 [.] 87解析为win10-update [.] com以及可能与Chafer活动相关的其他几个域名。有趣的是,域名turkiyeburslari [.] tk,它镜像了合法的土耳其奖学金政府领域turkieyburslari [.] gov [.] tk,也解析到这个IP。与此IP地址关联的域名包含在附录中,如下面的图1所示。

图1. 与134.119.217[.]87相关联的基础设施
二、MechaFlounder载荷
基于python的有效载荷“lsass.exe”通过HTTP请求从命令和控制(C2)服务器获取到以下URL:
win10-update[.]com/update.php?req=&m=d
我们跟踪的这个MechaFlounder有效载荷(SHA256:0282b7705f13f9d9811b722f8d7ef8fef907bee2ef00bf8ec89df5e7d96d81ff)是用Python开发的,并使用PyInstaller工具捆绑为可移植的可执行文件。此辅助有效载荷充当后门,允许操作人员上传和下载文件,以及在受感染系统上运行其他命令和应用程序。
MechaFlounder首先进入一个循环,不断尝试与其C2服务器通信。特洛伊木马使用HTTP将出站信标发送到其C2服务器,该信标包含用户的帐户名和主机名。如图2所示,代码通过将用户名和主机名以及两个字符串之间的两个短划线“ – ”连接来构建URL。然后,代码两次使用上述新字符串创建URL字符串,并在两者之间使用反斜杠“\”字符,并附加字符串“-sample.html”。

图2. 用于构建异常HTTP请求的特洛伊木马代码
在此分析过程中,图2中的代码为其信标生成了异常HTTP请求,如下面的图3所示。有人可能会注意到图3中的GET请求不是以正斜杠“/”字符开头,而是在URL中包含反斜杠字符“\”。这会导致合法的Web服务器(例如我们的测试环境中使用的nginx)以“400 Bad Request”错误消息进行响应。这可能表明,图2中的代码使用httplib模块中的HTTPConnection类来生成异常HTTP信标,威胁行为者创建了一个自定义服务器来处理此C2通信,而不是依赖于标准Web服务器
此外,图2显示恶意软件作者使用变量名'cmd'来构建用于HTTP方法和路径的字符串,并在字符串的HTTP方法中检查单词'exit'。我们不确定此检查的目的,因为此字符串中的HTTP方法不会出现“exit”,因此永远不会成立。我们认为这可能源自作者忘记删除的之前版本的脚本。

图3. Trojan在测试环境中发出的HTTP请求示例
如果C2服务器接受图3中的信标,它将响应HTML,其中包含用于解析和执行特洛伊木马的命令。特洛伊木马首先使用下面图4中的代码将响应中的HTML转换为文本。图4中的HTML到文本代码可以在Internet上的多个地方获得,但它可能源于Stack Overflow上的一个题为使用Python从HTML文件中提取文本的讨论,恶意软件作者可能从此处获取该代码。

图4. 可能从Stack Overflow讨论中获得的代码
将HTML转换为文本后,特洛伊木马会忽略响应的前10个字符,并将字符串的其余部分视为命令。C2还可以在此命令字符串中提供子字符串“yes”,指示特洛伊木马将命令解码为base16编码的字符串,并移除“yes”子字符串。特洛伊木马将C2提供的命令置于处理程序中,该处理程序确定特洛伊木马将执行的动作。表1显示了特洛伊木马命令处理程序中可用的命令列表以及相应的行为。命令处理程序中的命令为Chafer提供了与远程系统交互的必要功能。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载