Confucius組織情況更新:新工具和新技術,與patchwork更進一步的關聯

技術小能手發表於2018-05-28

早在二月份,我們就注意到了Patchwork和Confucius組織之間的相似之處,並發現除了惡意程式碼中的相似之外,這兩個組織都主要針對南亞的目標。在追蹤Confucius的這幾個月裡,我們發現其仍然瞄準位於巴基斯坦的目標。

在之前的行動中,我們發現Confucius使用假浪漫網站誘騙受害者安裝惡意Android應用程式。這一次,攻擊者有了一種新的工作方式,建立了兩個新的網站和新的有效載荷,以此來攻擊目標。

假安卓色情app和Windows聊天應用程式作為誘餌

第一個網站通過名為Fuddi Duniya的Android應用程式將成人內容用作誘餌,該應用程式連結到一個每天顯示裸體照片的網站。該應用的APK直接從網站主頁連結,並宣告Google Play不允許在其商店中出現色情內容。

Confucius組織情況更新:新工具和新技術,與patchwork更進一步的關聯

圖1:帶有連結的虛假網站,下載Fuddi Duniya應用程式

該應用程式的功能類似於以前的惡意Android應用程式,例如具有錄製音訊和竊取特定目錄中的SMS、帳戶、聯絡人和某些檔案型別的功能。此外,該應用程式現在檢索最後一個已知位置,並使用開發平臺Google Firebase上傳被盜內容。

Confucius組織情況更新:新工具和新技術,與patchwork更進一步的關聯

圖2:Fuddi Duniya Android應用程式的竊取資訊函式

第二個虛假網站又與聊天相關,後臺提示它可以幫助使用者找到合作伙伴。最初,存在一個與Google Play上託管的惡意Android應用程式的連結,該應用程式與上述應用程式共享相同的功能。但是當我們在進行研究時與Google聯絡後,該應用程式被從商店中刪除,連結從假網站上移除。

Confucius組織情況更新:新工具和新技術,與patchwork更進一步的關聯

圖3.第二個假網站的螢幕截圖

我們之前的研究中詳細描述的假Tweety聊天應用程式相同,Windows應用程式提供基於開源聊天應用程式RocketChat的真實聊天功能。同樣,這個應用程式也捆綁了惡意的.NET程式碼。

雖然體積小且相對簡單,但我們發現這個惡意應用程式很有趣,因為它揭示了威脅發起者所針對的國家。該應用程式是一個簡單的下載程式,它傳送使用3DES加密的一些基本資訊(使用者名稱、防病毒軟體、IP地址和作業系統版本)。

Confucius組織情況更新:新工具和新技術,與patchwork更進一步的關聯

圖4.app程式碼示例

惡意軟體定期嘗試聯絡命令和控制(C&C)伺服器,並將使用者名稱編碼到引數中。根據獲取的資訊,運營者可以決定指示惡意軟體下載第二階段的有效載荷。該功能與我們在之前的blogwhitepaper中分析的各種後門程式(如sctrls和sip_telephone)類似。

下載器有一個有趣的功能:它使用線上服務來檢索受害者的IP地址和國家,並將其與允許的國家列表進行比較。如果受害者來自不同的國家,該程式將自行刪除並退出。該列表包含:

· 大部分南亞和東南亞國家(包括蒙古)

· 大多數中東國家

· 大多數非洲國家

· 歐洲只有烏克蘭

· 美洲只有千里達及托巴哥

· 沒有來自大洋洲的國家

Confucius組織情況更新:新工具和新技術,與patchwork更進一步的關聯

圖5.有效國家列表的摘錄

我們注意到它同時在客戶端和伺服器端執行IP過濾,表明攻擊者已經改進了其基礎架構。在去年年底,來自同一威脅行為者的C&C不僅可以從任何IP地址訪問,而且可以在不進行身份驗證的情況下瀏覽伺服器目錄樹。

在模仿一個假興趣受害者後,我們獲得了第二階段有效載荷(檢測為TROJ_DELF.XXWZ),這是一個基於Delphi程式語言的檔案編輯器,類似於我們之前的部落格中描述的svctrls惡意軟體。這個稱為sysctrls,它查詢具有以下副檔名的檔案:

Confucius組織情況更新:新工具和新技術,與patchwork更進一步的關聯

然後通過POST HTTP請求將它們傳送到windefendr[.]com/description.php。

對這個檔案編輯器的進一步分析揭示了與其他威脅組織的有趣聯絡。

Delphi連結

我們在之前的部落格已經提到,Confucius在有可能與其他組織有聯絡,其中提到了Patchwork和Confucius之間的程式碼共享。兩個組織都使用了一個具有相同配置檔案結構和命令的後門。

我們發現這兩個威脅行為者的惡意軟體之間共享更多的程式碼。Patchwork最近使用了一些類似於我們之前描述的Delphi惡意軟體的多個Delphi惡意軟體。

我們最初發現了所使用的惡意軟體之間一些視覺上的相似性。儘管在惡意軟體執行時沒有顯示任何表單,但我們可以在Delphi反編譯器中看到它的TForm物件。TForm物件通常有兩個TTimer物件,但有時我們看到了一個或者甚至三個這樣的物件,通常都使用隨機名。有時候,還會新增帶加密字串的列表框。

Confucius組織情況更新:新工具和新技術,與patchwork更進一步的關聯

圖6:Confucius樣本的反編譯表單結構

Confucius組織情況更新:新工具和新技術,與patchwork更進一步的關聯

圖7:Patchwork樣本的反編譯表單結構

在檢視任意一個TTimers的OnTimer方法時,我們經常發現某種結構:指向儲存在EDX暫存器中的加密字串的指標,然後是對解密函式的呼叫。

Confucius組織情況更新:新工具和新技術,與patchwork更進一步的關聯

圖8:呼叫解密函式

這鼓勵我們全面徹底分析字串加密程式。

我們的分析了其中的三個。第一個涉及一個非常簡單的例程,用於翻轉字串的每一位。第二種演算法包含一個硬編碼金鑰,該金鑰通過取每個字元的低五位進行變換,然後用作XOR金鑰。在某些情況下,金鑰在二進位制檔案中被分割成兩部分,因此在使用之前它首先被重新合併。最後,我們的第三個演算法使用一個94個字元的替換表。安全研究人員在Confucius相關的部落格中曾經討論過該演算法。

對於這些演算法中的每一個,我們都發現最近的一個樣本會回溯到屬於Patchwork基礎架構的域名。

第三個演算法的替換表是在構建時隨機生成的,而攻擊者似乎設定了第二種演算法中使用的金鑰。我們在後一類中發現了六個不同的金鑰,這對於拼Patchwork和Confucius來說是不同的。

Confucius組織情況更新:新工具和新技術,與patchwork更進一步的關聯

圖9.左邊是Confucius的程式碼,右邊是Patchwork的程式碼

有趣的是,其中一個金鑰“xldbszcd”在Confucius使用的檔案竊取程式中找到(472ea4929c5e0fb4e29597311ed90a14c57bc67fbf26f81a3aac042aa3dccb55,檢測為TSPY_CONFSTEAL.A),同樣存在於另外兩個檔案竊取程式中。

第一個檔案竊取程式(cca74bb322ad7833a21209b1418c9837e30983daec30d199a839f46075ee72f2,檢測為TSPY_DELF.SUW)於2013年由安全研究人員釋出並與域名myflatnet[.]com相關聯,歸屬於Hangover組織。

另一個檔案竊取程式(1f0dabd61947b6df8a392b77a0eae33777be3caad13698aecc223b54ab4b859a,檢測為TROJ_DELF.XXWZ)與2016年9月報告的域名相關。該報告還提到了InPage軟體和Delphi後門程式。

Confucius組織情況更新:新工具和新技術,與patchwork更進一步的關聯

圖10.左:Confucius組織,中間:Hangover組織,右:未命名的組織

經過一番研究,我們發現有多個Delphi後門使用了三種解密程式中的一種。後門還連結到舊的Hangover域名以及與2016年9月部落格帖子中的域名相匹配的基礎設施。其中一些樣本已有好幾年的歷史,並且保留了“EnDecrypt”這個按位取反解密演算法的原始名稱。該演算法與以下程式碼匹配。

Patchwork的持續運動

除了Delphi惡意軟體,Patchwork仍然活躍。最近,他們一直在利用CVE-2017-8570傳送多個RTF檔案。投放的有效載荷是可以追蹤到域名sastind-cn [.] org和tautiaos [.] com的遠端管理工具QuasarRAT的修改版本。

Confucius組織情況更新:新工具和新技術,與patchwork更進一步的關聯

圖11.成功感染後的程式樹

攻擊者有時會將武器檔案設計成目標感興趣的合法檔案。有的檔案非常大,通常超過10兆位元組。

Confucius組織情況更新:新工具和新技術,與patchwork更進一步的關聯

圖12.左側是武器化文件,右邊是CSBA的合法檔案

該組織仍然使用Badnews惡意軟體,這是一種具有資訊竊取和檔案執行功能的後門,雖然在2017年末加密程式略有修改。當時他們在我們之前patchwork博文描述的自定義加密演算法之上新增了Blowfish演算法。

防禦Confucius和Patchwork

像Confucius和Patchwork這樣的組織以其大量的工具和不斷髮展的技術而聞名,這些技術使傳統的安全解決方案無效。為了幫助抵禦這些威脅,企業需要採取更加主動和專注的安全態勢,以保證安全性。一些可以實施的特定安全措施:

· 識別社會工程。惡意移動app是網路犯罪分子常見的感染媒介,因為它們可以吸引特定的目標受眾。在本文的案例中,Confucius就用了常見的“sex sells”。

· 主動監控企業的網路。攻擊者因創造可繞過簡單網路監控的隱形惡意軟體而臭名昭著。包括正確應用防火牆、入侵檢測和預防系統在內的更主動的措施可以幫助減輕攻擊的影響。

· 實施網路分段。即使採用最好的安全技術,仍然有可能發生攻擊。將網路分成若干段,並限制只有那些真正需要它的人才可以訪問,在遭受攻擊時減少損失。

· 定期更新系統。應該修補和更新從終端到網路軟體到物聯網裝置的所有內容,以防止或最大限度地減少攻擊者利用漏洞的機會。

在理想情況下,企業的內部安全團隊實施所有這些以及其他安全措施。現實情況是,小型到大型組織的IT部門沒有能力處理像Confucius這樣的組織在攻擊中使用的更高階的威脅。由於這些團隊也負責企業的日常IT需求,因此可能並不容易採取更加積極主動的態度。在這種情況下,企業可以尋求專業的第三方安全提供商,這樣可以更好地應對高階威脅。

原文釋出時間為:2018-05-27

本文來自雲棲社群合作伙伴“嘶吼網”,瞭解相關資訊可以關注“嘶吼網”。


相關文章