欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

xHunt:针对科威特航运组织的攻击行动

来源:本站整理 作者:佚名 时间:2019-10-06 TAG: 我要投稿

2019年5月至6月,unit42安全团队在一起针对科威特航运业的攻击事件中,检测到了一个新后门工具——Hisoka,它的作用是下载几个的定制工具进行后漏洞利用,所有工具似乎都由同一个开发人员创建,最早的一个工具其版本可以追溯到2018年7月。
工具的名称都借用了动漫《全职猎人》中的人物名字,这也是此次行动“xHunt”名称的来源,如后门工具Sakabota、Hisoka、Netero和Killua,它们通过HTTP、DNS隧道和电子邮件与C2通信。除了上述的后门工具外,还有名为Gon和EYE的工具,提供后门访问和进行后漏洞利用的能力。
通过比较分析,2018年7月至12月期间针对科威特的攻击事件可能也与此有关。
活动细述
2019年5月19日,科威特航运部门系统上出现了一个名为inetinfo.sys的恶意二进制文件。inetinfo.sys是Hisoka的后门变种,在代码中注明为版本0.8。威胁行为者是如何在系统上安装恶意文件的我们还不得而知。
Hisoka访问系统的两个小时内,又有两个工具——Gon和EYE部署到了系统上,其文件名分别是Gon.sys和EYE.exe。Gon的作用是远程系统上扫描开放端口、上传下载文件、截屏、网络上查找其他系统、远程运行命令,以及创建远程桌面协议(RDP)会话。Gon既可以用作命令行实用程序,也通过图形用户界面(GUI)调用,如图1所示:
 

图1. Gon的GUI
EYE工具则作为攻击者通过RDP登录到系统时的故障保险,如果合法用户登录,将杀死攻击者创建的所有进程并删除其他标识。更多关于Gon和EYE的详细信息请参考附录。
2019年6月18日至30日期间,科威特航运系统上又出现了Hisoka的0.9版本,其中包含文件netiso.sys。6月18日,该文件通过服务器消息块(SMB)协议从内部IT服务台帐户传输到另一个系统上,又以相同方式传输了名为otc.dll的文件。
otc.dll文件实际上是工具Killua,它也是一个简单的后门,能让攻击者使用DNS隧道通信,在受感染的系统上运行C2命令。基于字符串的比较,可以确信Killua和Hisoka由同一位开发人员创建。Killua是我们在2019年6月首次观察到的,可能是Hisoka的进化版,详情请参见附录。
通过电子邮件与C2通信
两个版本的Hisoka——v0.8和v0.9,均包含系统控制的命令集,都能通过HTTP或DNS隧道与C2通信,v0.9还增加了通过电子邮件与C2通信的功能。
v0.9中增加的这项功能基于Exchange Web Services (EWS),通过Exchange服务器上的合法帐户与Hisoka通信。一般来说,恶意软件登录到Exchange服务器后以发送接收电子邮件的方式建立通信,但v0.9则是创建邮件草稿来交换数据,这样不会检测到邮件的出入站行为。
要启用基于电子邮件的C2通道,攻击者需要在命令行上提供–E EWS ,后跟以下结构的数据:
; ; ;
用户名和密码必须是Exchange服务器上的有效帐户。
Hisoka创建邮件草稿作为接收命令的通知,类似于C2中的信标。邮件草稿的主题为“ Present”,邮件主体为空,“ To”字段中的电子邮件地址具有受感染系统的唯一标识符,附加后缀“ @ contoso.com”。图2显示了Hisoka创建的邮件草稿,可通过Outlook Web App登录帐户查看。
 

图2. Hisoka v0.9中,邮件草稿用作信标
发出命令需要攻击者登录帐户,创建一个主题为“Project”的草稿,正文中包含了命令,为加密字符串形式,结构为字符串,下一行跟着一个base64编码的密文。在C2中,这个邮件通道没有使用过的痕迹,所以应该是以HTML邮件的形式发送的,因为Hisoka会检查邮件标签之后的三行——这是通过检查三个回车字符(\r)来实现,我们推测三个回车字符分别在:密文一行、标记结束的一行和结束的最后一行。
攻击者对每个字符异或操作来加密命令,并用值83(0x53)和base64对密文编码。图3显示了测试C2通道的邮件草稿,邮件通道发出命令C-get C:\\Windows\\Temp\\test.txt后,Histoka会将其解析为将文件上传到C:\Windows\Temp\test.txt的命令。
 

图3. Hisoka用于获取命令的邮件草稿
解析并运行命令后,Histoka创建另一封邮件草稿将结果发送回攻击者。草稿以“ Present”作为主题,系统唯一标识符和“ @ contoso.com”构造地址,消息正文是包含命令响应结果,加密方式跟上面所述相同。
Histoka将文件附加到邮件草稿中来上传文件。图4显示了Hisoka在收到文件上传命令后创建的邮件草稿,test.txt是测试的上传文件。
 

图4.Histoka v0.9,响应上传文件命令的邮件草稿
虽然基于电子邮件的C2通道不是第一次在威胁活动中看到,但是使用邮件草稿和Exchange的情况还是少见的。
工具集重合
在我们分析科威特组织中发生的恶意软件活动时,我们注意到Hisoka中的一些字符串跟之前的工具Sakabota存在一定相似性,该样本最早是在2018年7月左右发现的。对这两场活动分析后我们确认,Sakabota是Hisoka的前身。
Hisoka后门工具共享了Sakabota的大量代码,函数和变量名称的数量完全相同,表明由同一位开发人员创建。
 

[1] [2] [3] [4] [5] [6]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载