记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

比ShadowBrokers抢先一步?间谍组织Buckeye在美国国安局黑客工具泄露之前就率先使用

2019-05-10 12:25

概述

2017年,一个自称为Shadow Brokers(影子经纪人)的神秘组织,泄露了著名的Equation组织的一系列黑客工具,该事件也随即成为近年来最重要的网络安全事件之一。Equation组织(方程式组织,美国国家安全局NSA下属组织)被认为是世界范围内技术最成熟的间谍组织之一,其工具的泄露,显然对安全领域产生了重大影响,许多攻击者纷纷利用泄露的工具实现恶意软件的制作和实际攻击。其中一个更为著名的工具,即EternalBlue(永恒之蓝)漏洞利用工具,被广泛用于2017年5月爆发的WannaCry勒索软件之中,并对世界范围内的用户产生了破坏性影响。

然而,Symantec已经发现有证据表明,Buckeye网络间谍组织(又名APT3、Gothic Panda)在Shadow Brokers泄露Equation组织工具包前至少一年,就开始使用Equation的工具。

从2016年3月开始,Buckeye开始试用DoublePulsar(Backdoor.Doublepulsar)工具的变种,该利用工具在2017年才由Shadow Brokers公开发布。DoublePulsar(双脉冲星SMB后门)专门使用自定义的漏洞利用工具(Trojan.Bemstour)实现对受害者的感染。

Bemstour利用两个Windows漏洞,在目标计算机上实现远程内核代码执行。其中,一个漏洞是Symantec发现的Windows 0-day漏洞(CVE-2019-0703),另一个漏洞(CVE-2017-0143)在2017年3月发现被EternalRomance和EternalSynergy这两个漏洞利用工具利用后即被修补,而后者提到的两个漏洞利用工具,也是Shadow Brokers泄露的NSA工具包中的一部分。

其中的第一个0-day漏洞,将导致信息泄露,并且一旦与其他漏洞共同利用,将获得远程内核代码执行。Symantec在2018年9月向Microsoft报告这一问题,Microsoft在2019年3月12日进行了漏洞修复

Buckeye间谍组织是从什么途径,能够在Shadow Brokers泄露Equation组织工具包的至少一年前获得这些工具?这个问题的答案我们仍然未知。

Buckeye组织在2017年年中消失在人们的视线范围之中,该组织的3名成员在2017年11月在美国被起诉。然而,尽管涉及已知Buckeye工具的恶意活动在2017年年中停止,但Beckestour漏洞利用工具和Buckeye使用的DoublePulsar变种仍然在2018年9月被用于与不同的恶意软件共同使用。

核心发现

1. Buckeye攻击组织在Shadow Brokers泄露Equation组织工具包的至少一年前,就使用这些工具获取对目标组织的持久访问。

2. Buckeye所使用的Equation组织工具的变种,似乎与Shadow Brokers发布的工具不同,这可能表明二者的来源不同。

3. Buckeye使用的Equation组织工具,还涉及到利用了以前未知的Windows 0-day漏洞。Symantec在2018年9月向Microsoft报告了这一漏洞,Microsoft在2019年3月进行了修复。

4. 尽管Buckeye似乎在2017年年中停止运营,但他们使用的Equation组织工具,被持续用于攻击,直至2018年年底。我们暂不清楚是谁使用了这些工具,但推测这些工具可能已经被传播到其他的恶意组织,或者Buckeye仍然在持续运营中。

1.png

0-day漏洞利用历史

Buckeye攻击组织至少在2009年就开始活跃,当时该组织发起一系列间谍攻击活动,主要针对美国的组织。

在历史上,该组织曾经利用过0-day漏洞。在2010年,他们使用过CVE-2010-3962的0-day漏洞进行攻击,在2014年,他们使用过CVE-2014-1776漏洞进行攻击。此外,还有疑似该组织使用的一些其他0-day漏洞攻击记录,但我们尚未对其可靠性进行确认。目前我们已知,或者怀疑该组织开展的所有0-day攻击,都是针对Internet Explorer和Flash中的漏洞。

攻击时间表

从2016年8月开始,一个自称为Shadow Brokers(影子经纪人)的组织开始发布声称来源于Equation(方程式)组织的工具。最初,他们发布了他们拥有的信息样本,并为出价最高者提供了全套工具。在接下来的几个月中,他们逐步发布了更多的工具,直到2017年4月,发布了最后的大量工具,其中包括DoublePulsar后门、FuzzBunch框架、EternalBlue漏洞利用工具、EternalSynergy漏洞利用工具和EternalRomance漏洞利用工具。

然而,Buckeye至少在一年前就已经使用过这些被Shadow Brokers在一年之后泄露的工具。Buckeye最早使用Equation工具的时间是2016年3月31日,用于攻击位于香港的目标。在此次攻击中,Bemstour漏洞利用工具通过已知的Buckeye恶意软件(Backdoor.Pirpi)被传递给受害者。在一小时后,Bemstour漏洞利用工具被用于攻击位于比利时的一家教育机构。

Bemstour是专门设计用于提供DoublePulsar后门的变种。随后,利用DoublePulsar注入第二阶段Payload,该Payload仅在内存中运行。即使是在删除DoublePulsar之后,第二阶段Payload也能够允许攻击者访问受影响的计算机。值得注意的是,在该工具的早期版本中,没有卸载DoublePulsar植入工具的任何方法。卸载功能已经在更高版本中被添加。

Bemstour漏洞利用工具的一个显著改进版本是在2016年9月推出,当时新推出版本的恶意软件被用于针对香港的教育机构发动攻击。尽管原始版本仅支持32位操作系统,但新推出的版本同时支持32位和64位系统,也增加了对较新版本Windows系统的支持。第二种变种中,Payload增加了另一个新的功能,允许攻击者在受感染的计算机上执行任意Shell命令。该自定义Payload还可以复制目标计算机的任意文件,以及在目标计算机上执行任意进程。当目标是32位操作系统时,Bemstour仍然会提供相同的DoublePulsar后门。但是,针对64位目标,它仅提供自定义Payload。攻击者经常使用该工具来执行创建新用户帐户的Shell命令。

Bemstour在2017年6月被再次用于攻击卢森堡的一个组织。与Bemstour使用Buckeye的Pirpi后门交付的早期攻击不同,在此次攻击中,Bemstour被另一个后门木马(Backdoor.Filensfer)交付给受害者。2017年6月至9月期间,Bemstour还被用于攻击菲律宾和越南的目标。

攻击者对于Bemstour的开发过程一直持续到2019年。根据Symantec的监测,我们发现的最新Bemstour样本是在2019年3月23日编译的,即Microsoft修复0-day漏洞后的第11天。

上述所有攻击的目的,都是为了在受害者的网络上获得持久性,这意味着攻击者最有可能的目的是窃取特定信息。

2.png

与恶意软件Filensfer的关联

Filensfer是一系列恶意软件,自2013年以来,这一系列恶意软件一直被攻击者使用,用于针对特定目标的攻击。Symantec发现了该系列多个版本恶意软件,包括C++版本、编译的Python版本(使用py2exe)和PowerShell版本。

在过去的三年中,Filensfer已经被攻击者部署到位于卢森堡、瑞典、意大利、英国和美国的目标组织中,其中涉及电信、媒体和制造业。尽管我们从未观察到Filensfer与任何已知的Buckeye工具一起使用,但其他厂商已经发现了一些证据,证明Filensfer与已知的Buckeye恶意软件(Backdoor.Pirpi)一起使用。

Bemstour漏洞利用工具

Bemstour利用两个Windows漏洞,在目标计算机上实现远程内核代码执行。

该漏洞是由于Windows SMB服务器处理某些请求的方式存在问题,我们发现并报告了这个0-day漏洞(CVE-2019-0703),该漏洞允许泄露特定信息。

第二个漏洞(CVE-2017-0143)是一种消息类型混淆漏洞。当两个漏洞一起被利用时,攻击者可以以内核模式代码执行的方法获得完全访问权限,从而向目标计算机传递恶意软件。

当Bemstour在2016年首次使用此工具时,两个漏洞都是0-day,此后CVE-2017-0143在2017年3月被Microsoft修复(MS17-010安全通告)。CVE-2017-0143还被其他两个漏洞利用工具——EternalRomance和EternalSynergy所使用,这些漏洞利用工具在2017年4月作为Shadow Brokers泄露的工具包中的一部分被公开发布。

Buckeye的漏洞利用工具EternalRomance和EternalSynergy可以利用CVE-2017-0143消息类型混淆漏洞,在未安装补丁的计算机上实现内存损坏。为了获得远程代码执行,这三种漏洞利用工具除了利用上述消息类型混淆漏洞之外,还需要收集有关受攻击系统的内存结构信息。每个工具都以不同的方式来实现这一目的,并且依赖不同的漏洞。在Buckeye漏洞利用工具中,使用的是他们自己发现的0-day漏洞(CVE-2019-0703)。

DoublePulsar开发

在Buckeye开展的第一次攻击中,他们所使用的DoublePulsar变种与Shadow Brokers泄露的不同。该变种似乎包含针对较新版本Windows(Windows 8.1和Windows Server 2012 R2)的代码,表明这是较新版本的恶意软件。此外,它还包含一层额外的混淆。根据其技术特征和编译时间判断,这种混淆可能是由DoublePulsar的原始作者创建的。

值得注意的是,攻击者从未在其攻击过程中使用过FuzzBunch框架。FuzzBunch是一个旨在管理DoublePulsar和其他Equation组织工具的框架,并在2017年被Shadow Brokers泄露。这表明,Buckeye组织只能成功获取有限数量(或一定范围)的Equation工具。

Buckeye组织时间表

2016年3月

Buckeye开始在实际攻击中使用Equation组织的工具:DoublePulsar后门和Bemstour漏洞利用工具(其中包括Equation组织使用的CVE-2017-0143漏洞利用)。

2016年9月

Bemstour的升级版本投入使用。

2017年3月

在Shadow Brokers泄露工具包后,Microsoft发布了CVE-2017-0143补丁;

我们最后一次发现Buckeye的Pirpi恶意软件样本。

2017年4月

Shadow Brokers公开发布Equation组织工具包,其中包括DoublePulsar后门和EternalRomance和EternalSynergy漏洞利用工具,后面两个利用工具使用了CVE-2017-0143漏洞。

2017年6月

Bemstour和DoublePulsar在针对卢森堡的攻击中被使用,该工具与Filensfer后门结合使用;

Bemstour和DoublePulsar在针对菲律宾的攻击中被使用。

2017年8月

Bemstour和DoublePulsar在针对越南的攻击中被使用。

2017年11月

三名涉嫌与Buckeye组织有关联的成员在美国被起诉。

2018年9月

发现Bemstour漏洞利用工具使用了一个0-day漏洞(CVE-2019-0703)并将漏洞情况报告给Microsoft。

2019年3月

Microsoft发布CVE-2019-0703补丁;

最新的Bemstour样本完成编译并投入使用。

尚未解决的疑问

关于Buckeye如何在Shadow Brokers泄露工具包之前获取到Equation组织的工具,有多种可能性。我们根据攻击的时间、工具的特征以及工具的构建方式,推测其中的一种可能性是,Buckeye从捕获的网络流量中发现了这些工具,并自行设计了他们的工具版本,可能是观察来自Equation组织的攻击活动。鉴于目前已有的证据,Buckeye通过访问不安全的Equation组织服务器获取工具,或Equation组织成员将工具泄露给Buckeye的这两种可能性较低。

在Buckeye淡出人们视野之后,这些漏洞利用工具以及DoublePulsar还持续被使用,这可能表明Buckeye在2017年被曝光后进行了重新调整,放弃了我们发现与该组织相关的所有工具。然而,除了继续使用这些工具之外,我们还没有发现任何其他证据表明Buckeye已经重组。这也将我们导向了另外一种可能性——Buckeye将一些工具分享给了其他组织。

防护措施

用户可以使用本地反病毒防护产品或网络入侵检测产品,来避免受到此类攻击。

基于文件的保护如下:

· Trojan.Bemstour

· Backdoor.Doublepulsar

· Backdoor.Pirpi

· Backdoor.Filensfer

网络入侵检测/防护规则如下:

· 攻击:SMB Double Pulsar Ping

· 攻击:SMB Double Pulsar响应

· 攻击:SMB Double Pulsar V2活动

· 攻击:RDP Double Pulsar Ping

IoC

Pirpi(第一个变种)

· MD5:7020bcb347404654e17f6303848b7ec4      

· SHA256:cbe23daa9d2f8e1f5d59c8336dd5b7d7ba1d5cf3f0d45e66107668e80b073ac3  

Pirpi(第二个变种)

· MD5:aacfef51a4a242f52fbb838c1d063d9b  

· SHA256:53145f374299e673d82d108b133341dc7bee642530b560118e3cbcdb981ee92c     

用于在远程计算机上列出用户帐户的命令行实用程序

· MD5:c2f902f398783922a921df7d46590295  

· SHA256:01f53953db8ba580ee606043a482f790082460c8cdbd7ff151d84e03fdc87e42  

Filensfer(C/C++)

· MD5:6458806a5071a7c4fefae084791e8c67  

· SHA256:6b1f8b303956c04e24448b1eec8634bd3fb2784c8a2d12ecf8588424b36d3cbc  

Filensfer(PowerShell)

· MD5:0d2d0d8f4989679f7c26b5531096b8b2      

· SHA256:7bfad342ce88de19d090a4cb2ce332022650abd68f34e83fdc694f10a4090d65  

Filensfer(py2exe)

· MD5:a3932533efc04ac3fe89fb5b3d60128a  

· SHA256:3dbe8700ecd27b3dc39643b95b187ccfd44318fc88c5e6ee6acf3a07cdaf377e  

命令行SMB客户端

· MD5:58f784c7a292103251930360f9ca713e  

· SHA256:1c9f1c7056864b5fdd491d5daa49f920c3388cb8a8e462b2bc34181cef6c1f9c

HTran

· MD5:a469d48e25e524cf0dec64f01c182b25  

· SHA256:951f079031c996c85240831ea1b61507f91990282daae6da2841311322e8a6d7

本文翻译自:https://www.symantec.com/blogs/threat-intelligence/buckeye-windows-zero-day-exploit如若转载,请注明原文地址: http://www.hackdig.com/05/hack-55000.htm
知识来源: https://www.4hou.com/other/17895.html

阅读:64462 | 评论:0 | 标签:事件 间谍组织Buckeye

想收藏或者和大家分享这篇好文章→复制链接地址

“比ShadowBrokers抢先一步?间谍组织Buckeye在美国国安局黑客工具泄露之前就率先使用”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云