Confucius組織情況更新:新工具和新技術,與patchwork更進一步的關聯
早在二月份,我們就注意到了Patchwork和Confucius組織之間的相似之處,並發現除了惡意程式碼中的相似之外,這兩個組織都主要針對南亞的目標。在追蹤Confucius的這幾個月裡,我們發現其仍然瞄準位於巴基斯坦的目標。
在之前的行動中,我們發現Confucius使用假浪漫網站誘騙受害者安裝惡意Android應用程式。這一次,攻擊者有了一種新的工作方式,建立了兩個新的網站和新的有效載荷,以此來攻擊目標。
假安卓色情app和Windows聊天應用程式作為誘餌
第一個網站通過名為Fuddi Duniya的Android應用程式將成人內容用作誘餌,該應用程式連結到一個每天顯示裸體照片的網站。該應用的APK直接從網站主頁連結,並宣告Google Play不允許在其商店中出現色情內容。
圖1:帶有連結的虛假網站,下載Fuddi Duniya應用程式
該應用程式的功能類似於以前的惡意Android應用程式,例如具有錄製音訊和竊取特定目錄中的SMS、帳戶、聯絡人和某些檔案型別的功能。此外,該應用程式現在檢索最後一個已知位置,並使用開發平臺Google Firebase上傳被盜內容。
圖2:Fuddi Duniya Android應用程式的竊取資訊函式
第二個虛假網站又與聊天相關,後臺提示它可以幫助使用者找到合作伙伴。最初,存在一個與Google Play上託管的惡意Android應用程式的連結,該應用程式與上述應用程式共享相同的功能。但是當我們在進行研究時與Google聯絡後,該應用程式被從商店中刪除,連結從假網站上移除。
圖3.第二個假網站的螢幕截圖
與我們之前的研究中詳細描述的假Tweety聊天應用程式相同,Windows應用程式提供基於開源聊天應用程式RocketChat的真實聊天功能。同樣,這個應用程式也捆綁了惡意的.NET程式碼。
雖然體積小且相對簡單,但我們發現這個惡意應用程式很有趣,因為它揭示了威脅發起者所針對的國家。該應用程式是一個簡單的下載程式,它傳送使用3DES加密的一些基本資訊(使用者名稱、防病毒軟體、IP地址和作業系統版本)。
圖4.app程式碼示例
惡意軟體定期嘗試聯絡命令和控制(C&C)伺服器,並將使用者名稱編碼到引數中。根據獲取的資訊,運營者可以決定指示惡意軟體下載第二階段的有效載荷。該功能與我們在之前的blog和whitepaper中分析的各種後門程式(如sctrls和sip_telephone)類似。
下載器有一個有趣的功能:它使用線上服務來檢索受害者的IP地址和國家,並將其與允許的國家列表進行比較。如果受害者來自不同的國家,該程式將自行刪除並退出。該列表包含:
· 大部分南亞和東南亞國家(包括蒙古)
· 大多數中東國家
· 大多數非洲國家
· 歐洲只有烏克蘭
· 美洲只有千里達及托巴哥
· 沒有來自大洋洲的國家
圖5.有效國家列表的摘錄
我們注意到它同時在客戶端和伺服器端執行IP過濾,表明攻擊者已經改進了其基礎架構。在去年年底,來自同一威脅行為者的C&C不僅可以從任何IP地址訪問,而且可以在不進行身份驗證的情況下瀏覽伺服器目錄樹。
在模仿一個假興趣受害者後,我們獲得了第二階段有效載荷(檢測為TROJ_DELF.XXWZ),這是一個基於Delphi程式語言的檔案編輯器,類似於我們之前的部落格中描述的svctrls惡意軟體。這個稱為sysctrls,它查詢具有以下副檔名的檔案:
然後通過POST HTTP請求將它們傳送到windefendr[.]com/description.php。
對這個檔案編輯器的進一步分析揭示了與其他威脅組織的有趣聯絡。
Delphi連結
我們在之前的部落格已經提到,Confucius在有可能與其他組織有聯絡,其中提到了Patchwork和Confucius之間的程式碼共享。兩個組織都使用了一個具有相同配置檔案結構和命令的後門。
我們發現這兩個威脅行為者的惡意軟體之間共享更多的程式碼。Patchwork最近使用了一些類似於我們之前描述的Delphi惡意軟體的多個Delphi惡意軟體。
我們最初發現了所使用的惡意軟體之間一些視覺上的相似性。儘管在惡意軟體執行時沒有顯示任何表單,但我們可以在Delphi反編譯器中看到它的TForm物件。TForm物件通常有兩個TTimer物件,但有時我們看到了一個或者甚至三個這樣的物件,通常都使用隨機名。有時候,還會新增帶加密字串的列表框。
圖6:Confucius樣本的反編譯表單結構
圖7:Patchwork樣本的反編譯表單結構
在檢視任意一個TTimers的OnTimer方法時,我們經常發現某種結構:指向儲存在EDX暫存器中的加密字串的指標,然後是對解密函式的呼叫。
圖8:呼叫解密函式
這鼓勵我們全面徹底分析字串加密程式。
我們的分析了其中的三個。第一個涉及一個非常簡單的例程,用於翻轉字串的每一位。第二種演算法包含一個硬編碼金鑰,該金鑰通過取每個字元的低五位進行變換,然後用作XOR金鑰。在某些情況下,金鑰在二進位制檔案中被分割成兩部分,因此在使用之前它首先被重新合併。最後,我們的第三個演算法使用一個94個字元的替換表。安全研究人員在Confucius相關的部落格中曾經討論過該演算法。
對於這些演算法中的每一個,我們都發現最近的一個樣本會回溯到屬於Patchwork基礎架構的域名。
第三個演算法的替換表是在構建時隨機生成的,而攻擊者似乎設定了第二種演算法中使用的金鑰。我們在後一類中發現了六個不同的金鑰,這對於拼Patchwork和Confucius來說是不同的。
圖9.左邊是Confucius的程式碼,右邊是Patchwork的程式碼
有趣的是,其中一個金鑰“xldbszcd”在Confucius使用的檔案竊取程式中找到(472ea4929c5e0fb4e29597311ed90a14c57bc67fbf26f81a3aac042aa3dccb55,檢測為TSPY_CONFSTEAL.A),同樣存在於另外兩個檔案竊取程式中。
第一個檔案竊取程式(cca74bb322ad7833a21209b1418c9837e30983daec30d199a839f46075ee72f2,檢測為TSPY_DELF.SUW)於2013年由安全研究人員釋出並與域名myflatnet[.]com相關聯,歸屬於Hangover組織。
另一個檔案竊取程式(1f0dabd61947b6df8a392b77a0eae33777be3caad13698aecc223b54ab4b859a,檢測為TROJ_DELF.XXWZ)與2016年9月報告的域名相關。該報告還提到了InPage軟體和Delphi後門程式。
圖10.左:Confucius組織,中間:Hangover組織,右:未命名的組織
經過一番研究,我們發現有多個Delphi後門使用了三種解密程式中的一種。後門還連結到舊的Hangover域名以及與2016年9月部落格帖子中的域名相匹配的基礎設施。其中一些樣本已有好幾年的歷史,並且保留了“EnDecrypt”這個按位取反解密演算法的原始名稱。該演算法與以下程式碼匹配。
Patchwork的持續運動
除了Delphi惡意軟體,Patchwork仍然活躍。最近,他們一直在利用CVE-2017-8570傳送多個RTF檔案。投放的有效載荷是可以追蹤到域名sastind-cn [.] org和tautiaos [.] com的遠端管理工具QuasarRAT的修改版本。
圖11.成功感染後的程式樹
攻擊者有時會將武器檔案設計成目標感興趣的合法檔案。有的檔案非常大,通常超過10兆位元組。
圖12.左側是武器化文件,右邊是CSBA的合法檔案
該組織仍然使用Badnews惡意軟體,這是一種具有資訊竊取和檔案執行功能的後門,雖然在2017年末加密程式略有修改。當時他們在我們之前patchwork博文描述的自定義加密演算法之上新增了Blowfish演算法。
防禦Confucius和Patchwork
像Confucius和Patchwork這樣的組織以其大量的工具和不斷髮展的技術而聞名,這些技術使傳統的安全解決方案無效。為了幫助抵禦這些威脅,企業需要採取更加主動和專注的安全態勢,以保證安全性。一些可以實施的特定安全措施:
· 識別社會工程。惡意移動app是網路犯罪分子常見的感染媒介,因為它們可以吸引特定的目標受眾。在本文的案例中,Confucius就用了常見的“sex sells”。
· 主動監控企業的網路。攻擊者因創造可繞過簡單網路監控的隱形惡意軟體而臭名昭著。包括正確應用防火牆、入侵檢測和預防系統在內的更主動的措施可以幫助減輕攻擊的影響。
· 實施網路分段。即使採用最好的安全技術,仍然有可能發生攻擊。將網路分成若干段,並限制只有那些真正需要它的人才可以訪問,在遭受攻擊時減少損失。
· 定期更新系統。應該修補和更新從終端到網路軟體到物聯網裝置的所有內容,以防止或最大限度地減少攻擊者利用漏洞的機會。
在理想情況下,企業的內部安全團隊實施所有這些以及其他安全措施。現實情況是,小型到大型組織的IT部門沒有能力處理像Confucius這樣的組織在攻擊中使用的更高階的威脅。由於這些團隊也負責企業的日常IT需求,因此可能並不容易採取更加積極主動的態度。在這種情況下,企業可以尋求專業的第三方安全提供商,這樣可以更好地應對高階威脅。
原文釋出時間為:2018-05-27
本文來自雲棲社群合作伙伴“嘶吼網”,瞭解相關資訊可以關注“嘶吼網”。
相關文章
- 新技術讓3D列印生物組織更方便儲存ZKT3D
- 新的組織結構
- 進與穩,時代與技術,新基建與華為雲
- 微軟加入位元組碼聯盟,進一步開發支援Blazor 的WebAssembly技術微軟BlazorWeb
- 新聯盟、新技術、新徵程!PEL 新賽季今天正式開賽!
- 日常工作與新技術
- 隱寫術、小火龍與AgentVX:APT組織Evilnum新攻擊活動詳細分析APT
- 閒魚基於Flutter技術的架構演進和創新Flutter架構
- 技術創新與CRM變革
- 新研究揭示避孕藥與自殺風險的關聯
- 李彥宏:離智慧助手更進一步 對話AI“新物種”AI
- 金融組織未來三年對新興技術投資的可能性(附原資料表)
- 新顯示卡出世,我們來談談與深度學習有關的顯示卡架構和相關技術深度學習架構
- 氣候危機中的創新與適應:技術新常態
- Leap Motion新技術:能追蹤更細緻的手部動作
- 美國新媒體聯盟:2017新媒體聯盟中國高等教育技術展望
- 思考、學習新技術的原則和方式
- 人工智慧等新技術將加速物聯網的普及人工智慧
- 新技術新概念
- 新技術、新商業交流平臺
- 從標準到技術,保證IT組織的安全
- IPv6技術與應用創新
- 新技術應用也應與業務匹配
- 淺談使用者需求和技術創新:雞和蛋的關係?
- 技術制勝突破逐新 -- 小米與天馬合作共建新型顯示技術聯合實驗室
- 如何成為更優秀的自由職業者:體驗新技術
- 小程式容器技術成組裝式應用新基建
- 公司程式碼與採購組織的關係
- 和數軟體區塊鏈技術再次推進創新實踐區塊鏈
- 引領潮流的新業務、新技術―軟交換(轉)
- 直播預告丨資料時代,永珍更新 - 從技術演進看中國資料庫和DBA的新機遇資料庫
- C#10新特性-lambda 表示式和方法組的改進C#
- 網路電話:新技術、新裝備 (轉)
- 帶你走進 HarmonyOS:前端如何迎接新技術的到來前端
- 歐洲核子研究組織如何預測新的流行資料集
- 新CEO下的阿里之變 組織架構大調整阿里架構
- Uber無人車事故又有新內情曝光:為競爭盲目冒進,癮大技術差
- 共建新技術,開拓新領域,OpenHarmony技術日成功舉辦