记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

Gamaredon向带有有效签名的PE中嵌入脚本

2021-07-07 20:38

    Gamaredon是具有俄罗斯背景的APT组织,其攻击活动一直以来十分活跃,且一直保持着高频的攻击武器及攻击手法的更新迭代。近期,360高级威胁研究院在持续跟踪Gamaredon组织的相关活动时,发现该组织利用修改PE文件的方式向带有合法签名的PE文件中嵌入恶意脚本。

合法数字证书中的Payload


PE文件的数字签名用于验证该文件的完整性,通常情况下,如果一个PE文件带有有效的数字签名,且该数字证书的所有者为谷歌、微软这样的企业,则一般认为该文件是安全的、未经篡改的。这一点可以通过右键查看PE文件属性面板中的数字签名项来验证。
但是事情总有例外,在BlackHat2016的议题《Certificate Bypass: Hiding and Executing Malware from a Digitally Signed Executable》中就介绍了通过篡改PE文件结构来向数字证书末端添加信息的方式,如此一来,一个PE的文件的数字签名虽然校验结果为有效,但其中依旧可能隐藏有其他信息。
在对PE文件进行数字签名校验时,有3个位置不会参与hash的计算:
  • PE头中Optional Header的CheckSum

  • 保存有Certificate Table偏移和大小信息的Certificate Table entry

  • Certificate Table

由此可见,只要修改了Certificate Table的大小和CheckSum,攻击者就可以向PE文件的Certificate Table末尾添加任意大小的数据,且PE文件的数字证书依旧验证有效。
在本次捕获的样本中,攻击者就采用了上述手法向Chrome.exe的文件尾添加了恶意脚本,并保持数字签名的有效性:


    经过与同版本未经篡改的Chrome.exe对比,可以看到修改的位置如下:
    1.Optional Header的 CheckSum值:

    2.Certificate Table entry中的数字证书大小:

    3.Certificate Table中的数字证书大小:

    4.文件尾部添加的新数据:

其中可以看到vbs脚本代码。

Gamaredon的利用方式


在BlackHat2016相关内容的议题中,实现了一个Reflective PE Loader来执行嵌入的payload,这种方式较为复杂,需要对嵌入的payload PE进行大量准备工作。在本次发现的Gamaredon相关活动中,则采用mshta来执行嵌入数字证书的vbs代码。
mshta可以用于执行hta(html应用程序),常常被各类黑客组织所利用。本次活动中,Gamaredon将vbs代码包裹在html标签中,放置在文件尾部。Html标签之前的内容都会被解析为普通的文本,而标签之后的部分会作为html代码执行。
本次被执行的脚本为该组织一直沿用的vbs downloader,主要功能为下载远程文件到本地的 %PUBLIC%\Downloads\Musik.ini 目录下,并创建计划任务维持控制。
(为方便查看,下图中部分字符串做了去混淆的处理)

总结

    虽然向数字证书中嵌入payload的手法早已被披露,但是该组织利用此种手法执行vbs还是第一次见,Gamaredon作为东欧较为活跃的APT组织,其攻击武器和攻击手段也一直保持着更新,我们会在接下来的时间里持续关注该组织的相关活动,这里也提醒大家时刻保持警惕,即使PE文件拥有数字签名也不是百分之百的安全。


附录 IOC
MD5
914aa3b3fb313198c1b2c06863f32c70

URL

http://83.166.240.208/revers.php?id=[RandomID]

http://83.166.246.118/revers.php?id=[RandomID]

http://83.166.244.143/revers.php?id=[RandomID]

http://83.166.240.22/revers.php?id=[RandomID]

http://83.166.243.193/revers.php?id=[RandomID]

http://188.225.47.161/revers.php?id=[RandomID]

http://188.225.82.67/revers.php?id=[RandomID]

http://188.225.84.243/revers.php?id=[RandomID]

http://94.228.113.110/revers.php?id=[RandomID]

http://188.225.18.201/revers.php?id=[RandomID]

http://46.229.215.89/revers.php?id=[RandomID]

http://185.104.113.229/revers.php?id=[RandomID]

http://78.40.217.92/revers.php?id=[RandomID]

http://193.164.150.160/revers.php?id=[RandomID]

http://5.23.53.23/revers.php?id=[RandomID]

http://188.225.45.163/revers.php?id=[RandomID]

http://217.25.88.153/revers.php?id=[RandomID]

http://188.225.11.233/revers.php?id=[RandomID]

http://217.25.88.158/revers.php?id=[RandomID]

http://188.225.75.69/revers.php?id=[RandomID]

http://92.53.124.232/revers.php?id=[RandomID]

http://188.225.43.143/revers.php?id=[RandomID]

http://92.53.104.167/revers.php?id=[RandomID]

http://94.228.112.223/revers.php?id=[RandomID]

http://188.225.27.161/revers.php?id=[RandomID]


Domain
lighin.ru

团队介绍
TEAM INTRODUCTION

360高级威胁研究院

360高级威胁研究院是360政企安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。


知识来源: https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247486285&idx=1&sn=3c94fbd2c5e3d2dfacc3038810a66813

阅读:37656 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“Gamaredon向带有有效签名的PE中嵌入脚本”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求赞助求支持💖

标签云