欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

与Vault7披露相关的Longhorn木马和Black Lambert监控后门分析

来源:本站整理 作者:佚名 时间:2017-06-21 TAG: 我要投稿

几个星期前,我偶然发现了赛门铁克的这篇文章:Longhorn: Tools used by cyberespionage group linked to Vault 7。我迫不及待的想逆向这个恶意软件,因为最近的Shadowbrokers的泄漏都覆盖比较全了,并且我找不到任何其他东西,除了恶心的勒索软件。
我分析的这个样本是R136a1 防御Kernelmode.info上面的。非常感谢他的分享。
我们将看到这个木马如何工作的并且它是如何被确认与Vault7泄漏有关:
所有的泄漏文档:https://fdik.org/wikileaks/year0/vault7/cms/space_11763715.html
网络操作,内存代码执行:https://fdik.org/wikileaks/year0/vault7/cms/files/ICE-Spec-v3-final-SECRET.pdf
主要的分析是Longhorn木马加载器和它的内存DLL加载功能,其被用于执行下载的payload,并且表示攻击者不想留下痕迹。这个功能恰恰在CIA泄漏的文档中有描述,并且我们可以看到确实按照这些规范制作。然后,我们更深入分析,隐蔽的监控后门payload(Black Lambert)被用于针对性的攻击,并且与CIA工具包有关。
下面是Longhorn Trojan加载器和模块payload(Black Lambert)的哈希:

https://virustotal.com/en/file/21f727338a4f51d79ade48fdfd9e3e32e3b458719bf90745de31b898a80aaa65/analysis/
https://virustotal.com/en/file/2156adcaae541ea1718ea52ce07bd1555cdcf25e9919f3208958f8c195f34286/analysis/
0x01 Longhorn加载器的分析:Trojan.LH1
1. 持久性
加载器将它自身注册为Windows服务(服务名:BiosSrv):

服务例程启动主线程,连接C&C并且等待指令:

2. 注册表
使用UuidCreate()和UuidToStringW()生成ClientID,然后将其写入HKLM\SOFTWARE\BiosInnovations\ClientID:

3. 通信
木马在资源“BINARY”下存储了两个资源:
101:SSL证书
102:C&C服务器域名
Longhorn使用WinHTTP API来解析用户代理设置,并且通过SSL与C&C通信。

安装证书
为了和C&C服务器通信,Longhorn木马从它的资源中释放出一个SSL证书,并且使用CertAddCertificateContextToStore()函数安装。
这个证书被用于和C&C通信。它校验了服务端,并且如果没有证书,访问C&C将显示一个错误页面。

C&C
用类似的方式,C&C域名也从资源节中提取出来。在这个样本中是mercury-vapor.net:

一旦证书安装完毕和C&C域名提取,木马启动一个线程来连接C&C,接受指令并得到文件。Longhorn使用随机延迟来尝试请求,尽量保持隐蔽,这是值得注意的:

下面是URL:

我们将在下文看到他们是什么意思。
4. 命令
checkin
get-scanner
put-scan
put-file
destroy-agent
5. 内存payload加载
得到并解压payload
加载器的主要目的是下载一个扫描器,在内存中执行并得到输出。下面是get-scanner的伪代码:

扫描器是用LZ压缩的,加载器使用RtlDecompressBuffer解压它:

现在,加载器在内存中执行模块。我们将下文解释如何做到。
在Longhorn加载器中内存代码执行(ICE)
我不想描述整个过程,和这个代码类似:https://github.com/fancycode/MemoryModule/blob/master/MemoryModule.c。主要步骤如下:
Mapping PE header
Mapping sections
Mapping IAT
Fixing memory permissions
Calling EntryPoint and main exported function
下面是加载扫描器模块DLL并在内存中执行(参见下文MODULE_REMOTE_ARGS结构):

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载