记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

针对APAC地区Windows服务器的信息窃取行动

2019-03-13 12:20

恶意软件开发者也在不断创新方式方法以绕过安全产品的检测。在分析过程中,研究人员发现一起攻击APAC地区的Windows服务器的攻击活动,其中会上传包括Windows登陆凭证、操作系统版本、内外网IP地址这样的敏感信息。

研究人员发现攻击者使用了Squiblydoo、download cradle和WMI Event Subscription等多种驻留漏洞利用来运行恶意内容。恶意软件将恶意行为隐藏在合法的Windows进程之后来绕过AV的检测。目前,VirusTotal的数据显示安全产品对该恶意软件的检测率还非常低。

在分析的过程中,研究人员发现一起主要攻击亚洲国家的攻击活动。其中,攻击者会使用Mimikatz从Windows服务器中窃取敏感信息,并将窃取的信息上传到FTP服务器上。每秒钟都会有新的数据被发送。

图1: 攻击流

研究人员首先发现一个从66[.]117.6.174/ups.rar下载了一个可执行文件ups.rar,该文件被保存并在受害者机器上执行。研究人员还发现类似的感染链,下载的可执行文件分别是u.exe, cab.exe, ps.exe。可执行文件会发送GET请求到223[.]25.247.240/ok/ups.html,响应数据是从66[.]117.6.174发回的,如图2所示。

图2: 从恶意服务器IP地址接收数据的初始GET请求

研究人员分析了IP地址 223[.]25.247.240,发现攻击者复制了Egan Ballard Jam House的网站http://www.ballardjamhouse.com/,这是位于西雅图的真实地址。

两个网站的比较如下,真实如左,伪造的如右:

图3: 真实网站和攻击者伪造的网站

只有被攻击的机器是Windows服务器的话,攻击才会继续,如图4所示:

图4: 恶意软件会检查操作系统版本

恶意软件如何确定Windows操作系统版本?

恶意软件会调用GetVersionExA,如图所示,该函数会返回OSVERSIONINFOEXA struct。

在检查完操作系统后,恶意软件不会在以下版本中运行:

· Windows 10

· Windows 8

· Windows 7

· Windows Vista

· Windows XP Professional

· Windows XP Home Edition

· Windows 2000 Professional

图5: 决定操作系统版本的方法

下一步,文件会发送另两个GET请求:

到<IP>/txt的请求最后会释放batch文件,这会出啊发无文件攻击,如图6所示。

到<IP>/txt的请求会与C2服务器同步,以获取最新版本。

图6: 下载恶意batch文件my1.bat的GET请求

大多数反病毒软件无法检测 my1.bat文件,如图7所示:

图7: 恶意batch文件在VirusTotal中的检测率

Mirai

Batch文件的部分代码其实是Mirai僵尸网络的一部分。腾讯、Check Point, Kaspersky, Netlab等都对Mirai进行过分析了。经过深入分析,研究人员发现batch文件中有一个增强的模块。该模块含有应用新恶意行为的模块,如图8所示:

图8: 与mirai版本的代码进行比较

新模块会运行连接到外部URL的PowerShell命令。

1、创建运行PowerShell和使用admin权限的WMI Event客户对象。

2、创始下载和执行“Mirai”, “Dark cloud”和“XMRig” 挖矿机等恶意软件。

3、收集用户名、密码和保存在本地机器中的其他私有信息,并发送到FTP服务器中。

4、运行之前攻击中出现过的JS文件。

第三阶段是一个无文件攻击过程,其中攻击机制很简单但是可以绕过所有的AV检测。这是通过使用Windows签名的进程和在多个URL之间进行跳转来隐藏真实的payload的。

具体工作流如下:

1、机器会用下载cradle的方法来调用命令:

a. 调用http://173[.]208.139.170/s.txt中的内容来绕过检测。该命令会调用另一个下载cradle的命令

b. 下面的命令会下载一个ps1文件的字符串会运行不同的命令。

2、ps1文件的恶意内容流如下:

a. 提取本地IP地址

b.用http://2019[.]ip138.com/ic.asp查询公网IP地址

c. 用下面的命名规则创建文本文件:

  <publicip>_<localip>.txt, e.g. 198.25.62.14_5.5.5.5.txt

d. 保存每个进程和命令行到文件中

e. 保存本地操作系统的版本

f. 保存内存容量

g. 保存处理器的详情(负载、名)

h. 从外部URL调用Mimikatz ,并复制所有的用户名密码

i. 提取密码并保存到文件中

j. 发送所有信息到攻击者的FTP服务器,如图9所示。

图9: 与攻击者FTP服务器的连接

目前,该FTP服务器仍然可以访问,每秒钟都回有被窃取的数据上传到该服务器。如下图所示,可以看出同一秒钟内不同的受害者的变化。

图10: FTP站点上受害者的数据

本文翻译自:https://research.checkpoint.com/a-new-infostealer-campaign-targets-apac-windows-servers/如若转载,请注明原文地址: http://www.hackdig.com/03/hack-54569.htm
知识来源: https://www.4hou.com/web/16561.html

阅读:37164 | 评论:0 | 标签:Web安全 信息窃取

想收藏或者和大家分享这篇好文章→复制链接地址

“针对APAC地区Windows服务器的信息窃取行动”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云