欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

针对APAC地区Windows服务器的信息窃取行动

来源:本站整理 作者:佚名 时间:2019-03-13 TAG: 我要投稿

恶意软件开发者也在不断创新方式方法以绕过安全产品的检测。在分析过程中,研究人员发现一起攻击APAC地区的Windows服务器的攻击活动,其中会上传包括Windows登陆凭证、操作系统版本、内外网IP地址这样的敏感信息。
研究人员发现攻击者使用了Squiblydoo、download cradle和WMI Event Subscription等多种驻留漏洞利用来运行恶意内容。恶意软件将恶意行为隐藏在合法的Windows进程之后来绕过AV的检测。目前,VirusTotal的数据显示安全产品对该恶意软件的检测率还非常低。
在分析的过程中,研究人员发现一起主要攻击亚洲国家的攻击活动。其中,攻击者会使用Mimikatz从Windows服务器中窃取敏感信息,并将窃取的信息上传到FTP服务器上。每秒钟都会有新的数据被发送。

图1: 攻击流
研究人员首先发现一个从66[.]117.6.174/ups.rar下载了一个可执行文件ups.rar,该文件被保存并在受害者机器上执行。研究人员还发现类似的感染链,下载的可执行文件分别是u.exe, cab.exe, ps.exe。可执行文件会发送GET请求到223[.]25.247.240/ok/ups.html,响应数据是从66[.]117.6.174发回的,如图2所示。

图2: 从恶意服务器IP地址接收数据的初始GET请求
研究人员分析了IP地址 223[.]25.247.240,发现攻击者复制了Egan Ballard Jam House的网站http://www.ballardjamhouse.com/,这是位于西雅图的真实地址。
两个网站的比较如下,真实如左,伪造的如右:

图3: 真实网站和攻击者伪造的网站
只有被攻击的机器是Windows服务器的话,攻击才会继续,如图4所示:

图4: 恶意软件会检查操作系统版本
恶意软件如何确定Windows操作系统版本?
恶意软件会调用GetVersionExA,如图所示,该函数会返回OSVERSIONINFOEXA struct。
在检查完操作系统后,恶意软件不会在以下版本中运行:
· Windows 10
· Windows 8
· Windows 7
· Windows Vista
· Windows XP Professional
· Windows XP Home Edition
· Windows 2000 Professional

图5: 决定操作系统版本的方法
下一步,文件会发送另两个GET请求:
到/txt的请求最后会释放batch文件,这会出啊发无文件攻击,如图6所示。
到/txt的请求会与C2服务器同步,以获取最新版本。

图6: 下载恶意batch文件my1.bat的GET请求
大多数反病毒软件无法检测 my1.bat文件,如图7所示:

图7: 恶意batch文件在VirusTotal中的检测率
Mirai
Batch文件的部分代码其实是Mirai僵尸网络的一部分。腾讯、Check Point, Kaspersky, Netlab等都对Mirai进行过分析了。经过深入分析,研究人员发现batch文件中有一个增强的模块。该模块含有应用新恶意行为的模块,如图8所示:

图8: 与mirai版本的代码进行比较
新模块会运行连接到外部URL的PowerShell命令。
1、创建运行PowerShell和使用admin权限的WMI Event客户对象。
2、创始下载和执行“Mirai”, “Dark cloud”和“XMRig” 挖矿机等恶意软件。
3、收集用户名、密码和保存在本地机器中的其他私有信息,并发送到FTP服务器中。
4、运行之前攻击中出现过的JS文件。
第三阶段是一个无文件攻击过程,其中攻击机制很简单但是可以绕过所有的AV检测。这是通过使用Windows签名的进程和在多个URL之间进行跳转来隐藏真实的payload的。
具体工作流如下:
1、机器会用下载cradle的方法来调用命令:
a. 调用http://173[.]208.139.170/s.txt中的内容来绕过检测。该命令会调用另一个下载cradle的命令
b. 下面的命令会下载一个ps1文件的字符串会运行不同的命令。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载