馬上注冊�����,結交更多好友��,享用更多功能����。
您需要 登錄 才可以下載或查看��,沒(méi)有帳號�?注冊
x
作者:Bfish�����、Chris
1.jpg (112.88 KB, 下載次數: 0)
下載附件
保存到相冊
2016-3-4 15:24 上傳
0×01 事件經(jīng)過(guò)2016年2月26日����,一個(gè)網(wǎng)絡(luò )安全相關(guān)的QQ群內���,一名用戶(hù)分享了一份名為“網(wǎng)絡(luò )安全寶典.chm”的電子書(shū)供大家下載���,瑞星網(wǎng)絡(luò )安全工程師Bfish自然地下載了這本電子書(shū)�,打算簡(jiǎn)單翻閱后決定是否收藏���。當Bfish打開(kāi)這個(gè)才12K大小的電子書(shū)時(shí)���,感知到了計算機的異常行為���,這讓他意識到:這本電子書(shū)有問(wèn)題����。 在解開(kāi)這份CHM文檔后����,瑞星網(wǎng)絡(luò )安全工程師在一個(gè)html頁(yè)面中找到了原因:這個(gè)電子書(shū)中的某個(gè)HTML頁(yè)面內�����,嵌入了一段惡意代碼���,它可以下載一個(gè)PowerShell腳本并執行�����。順藤摸瓜��,Bfish最終確認了這是一個(gè)針對特定人群���,以盜取用戶(hù)帳號密碼���、文檔資料為目的惡意攻擊事件���。這段CHM惡意代碼如同幽靈一樣被執行并作惡��,故將此稱(chēng)之為幽靈電子書(shū)(ChmGhost)��。 0×02 主要危害通過(guò)電子書(shū)散播�,攻擊受眾有很強的群體性�����,對特定人群發(fā)起攻擊簡(jiǎn)直易如反掌��,而且電子書(shū)“誘餌”更容易迷惑大眾���。 目前看到的攻擊代碼��,主要的危害為竊取用戶(hù)隱私:Windows賬戶(hù)信息和密碼����、各類(lèi)應用程序的密碼����、計算機基本信息��、屏幕截圖����、網(wǎng)絡(luò )配置和Wi-Fi信息�、各類(lèi)文檔��,造成用戶(hù)敏感信息和資料泄漏����。這些資料的泄漏伴隨著(zhù)商業(yè)機密泄漏的風(fēng)險�,后續或造成更大的損失��。
另外�,攻擊時(shí)所用的惡意代碼���,無(wú)論是二進(jìn)制還是腳本�,幾乎都來(lái)自網(wǎng)絡(luò )下載���,攻擊可以隨時(shí)開(kāi)啟和關(guān)閉��,攻擊手法�����、攻擊目的也都可以變化�,這個(gè)“后門(mén)”的潛在危害也相當之大��。 2月26日發(fā)現的CHM的標題是網(wǎng)絡(luò )安全相關(guān)的����,并且在網(wǎng)絡(luò )安全相關(guān)的QQ群內散播��,表明攻擊者的目標是網(wǎng)絡(luò )安全從業(yè)和對網(wǎng)絡(luò )安全感興趣的�����、有一定計算機安全基礎的群體�����,但就算如此�����,僅一天時(shí)間就已經(jīng)有多名受害者�,如果攻擊者轉到其他領(lǐng)域���,受眾群體應該會(huì )更沒(méi)有感知能力���,危害也將更大�����。 0×03 攻擊實(shí)施縱覽
2.jpg (41.54 KB, 下載次數: 0)
下載附件
保存到相冊
2016-3-4 15:24 上傳
0×04 詳細技術(shù)分析首先���,CHM中使用了一種古老的方法 — 利用Internet.HHCtrl對象來(lái)運行任意命令行��。doc1.html中定義了一個(gè)Internet.HHCtrl對象���,再通過(guò)后續腳本觸發(fā)其Click事件����,調用Internet.HHCtrl.Item2定義的命令行�。
3.jpg (29.34 KB, 下載次數: 0)
下載附件
保存到相冊
2016-3-4 15:24 上傳
完整命令行如下:
4.png (61.81 KB, 下載次數: 0)
下載附件
保存到相冊
2016-3-4 15:24 上傳
命令行以隱藏方式啟動(dòng)PowerShell���,并執行下載攻擊者托管于Github上的攻擊腳本——start.ps1��。 start.ps1首先向106.80.36.165發(fā)起一個(gè)HTTP請求����,下載的內容為一段PowerShell腳本字符串���,通過(guò)Invoke-Expression直接調用���,腳本內容如下:
5.jpg (32.06 KB, 下載次數: 0)
下載附件
保存到相冊
2016-3-4 15:24 上傳
根據腳本中指明的方法��,對其中的BASE64編碼串進(jìn)行解碼���、解壓縮���,又獲得一段PowerShell腳本�,內容如下:
6.jpg (64.58 KB, 下載次數: 0)
下載附件
保存到相冊
2016-3-4 15:24 上傳
按照腳本中指明的方法對BASE64串解碼����,獲得一段二進(jìn)制數據��,為32位x86指令的shellcode�����。腳本在解碼這段shellcode后��,將其拷貝到通過(guò)VirtualAlloc分配的一塊RWX(Protect為0×40)的內存中��,并通過(guò)CreateThread創(chuàng )建一個(gè)線(xiàn)程來(lái)執行����,如下:
7.jpg (16.05 KB, 下載次數: 0)
下載附件
保存到相冊
2016-3-4 15:25 上傳
8.jpg (25.55 KB, 下載次數: 0)
下載附件
保存到相冊
2016-3-4 15:25 上傳
這段shellcode并沒(méi)有經(jīng)過(guò)任何加密處理��,功能也非常簡(jiǎn)單:連接到指定的IP地址�����,獲取一段新的shellcode����,再次執行�。雖然簡(jiǎn)單�,但是這中動(dòng)態(tài)執行來(lái)自網(wǎng)絡(luò )代碼的功能��,危害卻是相當之大�����,因為攻擊者隨時(shí)可以下發(fā)新的代碼�����,完成新的攻擊�,并且沒(méi)有痕跡可循���。 主流程如下表所示:
9.jpg (62.54 KB, 下載次數: 0)
下載附件
保存到相冊
2016-3-4 15:25 上傳
接下來(lái)是 Mimikatz 2.0的實(shí)現部分���,這部分代碼占據了整個(gè)start.ps1文件的絕大多數內容�����。Mimikatz是一個(gè)抓取本機登錄賬戶(hù)密碼的神器���,更多信息可以從項目主頁(yè)https://github.com/gentilkiwi/mimikatz了解�。
10.jpg (40.94 KB, 下載次數: 0)
下載附件
保存到相冊
2016-3-4 15:25 上傳
接著(zhù)便是調用 Mimikatz 的 Dumpcreds 來(lái)獲取當前登陸用戶(hù)的密碼��,如圖所示:
11.jpg (23.55 KB, 下載次數: 0)
下載附件
保存到相冊
2016-3-4 15:25 上傳
完成后生成的DumpPass.txt中的內容如下��,截圖來(lái)自真實(shí)受害者的數據:
12.jpg (54.76 KB, 下載次數: 0)
下載附件
保存到相冊
2016-3-4 15:28 上傳
接著(zhù)��,收集當前用戶(hù)桌面上的幾類(lèi)文檔����,根據擴展名判斷��,擴展名分別為:txt����,doc��,docx�,xls��,xlsx�����,早期版本中還有sql����。非常明顯��,攻擊者收集目標是重要的文檔資料��,這對受害者可能造成很大的損失����。從2月26號抓取的上報郵箱中的資料來(lái)看����,擴展名還不限于此(攻擊者持續更新代碼中)�����。
13.jpg (37.44 KB, 下載次數: 0)
下載附件
保存到相冊
2016-3-4 15:25 上傳
接著(zhù)�����,下載并執行一個(gè)名為GetPass.ps1的PS腳本�,如下圖所示:
14.jpg (25.74 KB, 下載次數: 0)
下載附件
保存到相冊
2016-3-4 15:25 上傳
顧名思義����,該腳本的目的�,依然是收集密碼����。腳本執行后����,下載兩個(gè)文件����,分別為Get.exe和Command.bat�,然后執行Command.bat調用Get.exe��,將獲取的密碼保存到用戶(hù)目錄下的D:\GetPass.txt中��。
15.jpg (17.07 KB, 下載次數: 0)
下載附件
保存到相冊
2016-3-4 15:25 上傳
其中�����,Get.exe為跨平臺密碼檢索利器 —— LaZagne�����,可以去項目主頁(yè)https://github.com/AlessandroZ/LaZagne 獲取更多信息�。LaZagne支持Windows和Linux平臺下多種類(lèi)型軟件保存的密碼獲取���,功能可謂相當之強大�,具體支持列表如下:
16.jpg (42.49 KB, 下載次數: 0)
下載附件
保存到相冊
2016-3-4 15:25 上傳
Command.bat則是多次啟動(dòng)Get.exe獲取密碼���,并將結果保存至GetPass.txt���,代碼如下: 可以看出�,攻擊者意圖收集包括數據庫��、瀏覽器����、電子郵件�、源代碼管理����、WI-FI等在內的5大類(lèi)賬戶(hù)密碼��。下圖為來(lái)自真實(shí)受害者的GetPass.txt文件�����,其中包含了Chrome瀏覽器保存密碼的站點(diǎn)和相應用戶(hù)名����、密碼����,第一條便是淘寶的用戶(hù)名和密碼����,由此可以看出���,后果是相當嚴重的�。
17.jpg (42.45 KB, 下載次數: 0)
下載附件
保存到相冊
2016-3-4 15:25 上傳
接下來(lái)�����,GetPass.ps1將GetPass.txt作為電子郵件附件����,采用STMP協(xié)議發(fā)送至電子郵箱 xxxxxxxxxx@email.ctbu.edu.cn�。該收件箱為某高校校園郵箱����,登陸后跳轉至QQ企業(yè)郵箱���。
18.jpg (27.66 KB, 下載次數: 0)
下載附件
保存到相冊
2016-3-4 15:29 上傳
19.jpg (30.18 KB, 下載次數: 0)
下載附件
保存到相冊
2016-3-4 15:25 上傳
最后���,GetPass.ps1清理痕跡��,至此執行完畢����。 start.ps1繼續收集受害者計算機的各類(lèi)基本信息�。主要手法為通過(guò)調用WMI對象對系統的基本信息����,硬件信息�����、用戶(hù)信息�����、已安裝的程序��、用戶(hù)文檔以及網(wǎng)絡(luò )信息進(jìn)行收集�����,并將這些信息保存到一個(gè)名為ComputerInfo.html的 HTML文件中��,代碼如下:
20.jpg (27.48 KB, 下載次數: 0)
下載附件
保存到相冊
2016-3-4 15:25 上傳
以下為一份來(lái)自真實(shí)受害者的ComputerInfo.html內容截圖:
21.jpg (42.87 KB, 下載次數: 0)
下載附件
保存到相冊
2016-3-4 15:25 上傳
22.jpg (74.86 KB, 下載次數: 0)
下載附件
保存到相冊
2016-3-4 15:25 上傳
在信息收集完畢后����,該腳本會(huì )對當前計算機現實(shí)屏幕進(jìn)行截屏�。
23.jpg (42.45 KB, 下載次數: 0)
下載附件
保存到相冊
2016-3-4 15:25 上傳
從真實(shí)受害者上報的數據來(lái)看���,該功能是無(wú)效的��,因為截屏的圖片全部為黑色��。 然后再將之前產(chǎn)生的DumpPass.txt����,收集的用戶(hù)桌面上的文檔文件���、產(chǎn)生的計算機信息文件���、屏幕截圖等����,打包成名為Report.zip的壓縮包���,并通過(guò)電子郵件發(fā)送至指定的郵箱�。
24.jpg (36.29 KB, 下載次數: 0)
下載附件
保存到相冊
2016-3-4 15:25 上傳
使用代碼中留下的賬號和密碼登錄郵箱后����,我們發(fā)現有一定數量的受害者發(fā)送的郵件(登錄于2016/2/27����,15:29)�,郵箱內的郵件一段時(shí)間之后會(huì )被刪除����,27號登錄時(shí)����,26號晚的郵件已經(jīng)被徹底刪除���。
25.jpg (72.67 KB, 下載次數: 0)
下載附件
保存到相冊
2016-3-4 15:25 上傳
打開(kāi)郵件并下載附件Report.zip����,解壓后可以看到以下文件和目錄�,這些文件和之前描述的腳本行為相吻合�,例如�����,打開(kāi)Doc目錄后���,可以看到收集自受害者桌面的幾類(lèi)文檔��,在25號抓取的多封郵件中�����,還不乏各類(lèi)工作報告�����,甚至個(gè)人工資單��。
26.jpg (20.2 KB, 下載次數: 0)
下載附件
保存到相冊
2016-3-4 15:25 上傳
27.jpg (34.53 KB, 下載次數: 0)
下載附件
保存到相冊
2016-3-4 15:25 上傳
28.jpg (91.63 KB, 下載次數: 0)
下載附件
保存到相冊
2016-3-4 15:31 上傳
最后���,start.ps1清理痕跡�����,主要功能執行完畢��。 通過(guò)分析可知�����,整個(gè)攻擊中的核心功能�,均為開(kāi)源項目�����。攻擊者編寫(xiě)了簡(jiǎn)單的整合腳本��,將這些開(kāi)源軟件整合在一起�,在云端部署了這些攻擊代碼��,最終構建了這個(gè)攻擊方案����。 0×05 寫(xiě)在最后首先希望攻擊者盡快停止此次攻擊����,停止在社交圈內散播攜帶攻擊代碼的電子書(shū)����,在云端移除相關(guān)的惡意軟件��,避免造成更大的危害���。 攻擊者選擇了特定興趣/行業(yè)的社交圈和相關(guān)主題的電子書(shū)進(jìn)行搭配�����,這無(wú)疑是一個(gè)非常具有誘騙性的“釣魚(yú)”手段�����,被攻擊人群很容易被感染����。分析此次事件時(shí)����,攻擊人群定位于網(wǎng)絡(luò )安全從業(yè)人士��,雖然有一定的網(wǎng)絡(luò )安全基礎�,但仍然有一定被感染數量����。如果換成其他行業(yè)���,情況可能會(huì )更加糟糕���。 另外���,這次攻擊事件中使用的惡意代碼�����,全部來(lái)自于網(wǎng)絡(luò )安全社區����,制作成本非常低����。 再者�����,攻擊者不僅收集了用戶(hù)的賬戶(hù)和密碼��,還收集了大量的文檔資料��,這造成的危害��,已經(jīng)不是單純的個(gè)人隱私數據的泄漏了�����,更可能涉及到受害者所在公司的商業(yè)信息的泄漏��。 最后�,對于潛在的受害者�����,還是希望能安裝必要的安全防護軟件����,建立良好的信息安全意識����。在全面信息化的今天����,信息安全知識應當如同養生一般�����,多多少少都懂點(diǎn)才好�。 惡意代碼樣本:https://github.com/begiilm/dy *作者:Bfish�、Chris@瑞星(企業(yè)賬號)���,轉載請注明來(lái)自FreeBuf黑客與極客(FreeBuf.COM)
| 
IP卡
狗仔卡
收藏
支持
反對
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡
