安全黑客
当前位置:安全黑客文章资讯安全资讯安全新闻
日期:2018-12-03 23:12:00  来源:本站整理

DNSpionage恶意活动将目标瞄准中东地区[安全新闻]

赞助商链接



  本文“DNSpionage恶意活动将目标瞄准中东地区[安全新闻]”是由安全黑客为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:

一、摘要
Cisco Talos团队最近发现了一个针对黎巴嫩和阿联酋的新型恶意活动,主要针对.gov域名以及一家私营黎巴嫩航空公司。根据我们的研究,该恶意活动幕后的组织花费了很长时间来掌握受害者的网络基础设施结构,从而保证他们的攻击过程不会引起注意。
基于该恶意活动使用的基础设施和TTP,我们无法将其与最近观察到的任何其他组织或恶意活动相关联。这一恶意活动使用了两个虚假的恶意网站,网站中包含带有嵌入式宏的恶意Microsoft Office文档,利用恶意文档来对目标造成破坏。该恶意活动中使用的恶意软件,我们将其称为“DNSpionage”,该恶意软件支持通过HTTP和DNS方式与攻击者进行通信。
在每次恶意活动中,攻击者都使用相同的IP地址来对合法.gov网站和私有公司域名的DNS进行重定向。在每次DNS攻击中,攻击者都为重定向的域名生成了Let的加密证书,这些证书为用户免费提供X.509 TLS认证。目前,我们还不知道DNS重定向是否成功。
在本文,我们将剖析攻击者采用的方法,并展示他们是如何使用恶意文档试图诱骗用户打开恶意网站的,这些恶意网站主要针对想要求职的用户。此外,我们还将对恶意DNS重定向事件的时间轴进行描述。
二、感染媒介
2.1 虚假求职网站
首先,攻击者尝试诱导用户访问两个恶意网站,这两个网站均模仿了合法网站:
· hr-wipro[.]com(重定向到wipro.com)
· hr-suncor[.]com(重定向到suncor.com)
在这些站点中,托管了恶意的Microsoft Offcie文档,其URL如下:
· hxxp://hr-suncor[.]com/Suncor_employment_form[.]doc
文件是加拿大可持续能源公司Suncor Energy网站上提供的合法文件的副本,其中包含恶意宏。
目前,我们还不清楚目标用户是如何收到这些链接的。攻击者很可能通过电子邮件方式发送恶意文档,并将其作为鱼叉式网络钓鱼的一部分。但实际上,该链接也可以通过社交平台(例如LinkedIn)传播,从而使“新工作机会”这一诱导内容显得更加合理。
2.2 恶意Office文档
在打开第一个Office文档后,用户会看到一条提示“内容模式可用”(Content Mode Available):

2.3 恶意宏分析
我们对样本中使用的宏进行了分析,发现宏主要进行两步操作:
1、打开文档时,宏将解码使用Base 64编码的PE文件,并将其投放到%UserProfile%\.oracleServices\svshost_serv.doc位置。
2、当文档关闭时,宏将文件svshost_serv.doc重命名为svshost_serv.exe。然后,宏将创建一个名为chromium updater v 37.5.0的计划任务,以便执行二进制文件。计划任务会在每分钟执行一次。
这两个步骤的主要目的,是防止沙盒检测。
Payload将在Microsoft Office关闭时执行,这意味着需要通过人工交互才能使其运行。尽管我们可以通过分析获知这些宏的具体功能,但它在Microsoft Word中受到密码保护,受害者将无法通过Microsoft Office查看到宏代码。
此外,宏采用了经典的字符串混淆,以避免字符串检测:
Const e0 = "sc"
Const e1 = "he"
Const e2 = "ule.ser"
'  Create the TaskService object.
Set service = CreateObject(e0 & e1 & "d" & e2 & "vice")
Call service.Connect
“schedule.service”字符串通过组合而成。最终的Payload是一个名为“DNSpionage”的远程管理工具
三、DNSpionage恶意软件分析
3.1 恶意软件分析
恶意文档投放的恶意软件,是一个此前未发现过的远程管理工具,我们将其命名为DNSpionage,因为它支持将DNS隧道作为与攻击者基础设施进行通信的隐蔽通道。
DNSpionage在运行目录中,创建如下文件和文件夹:
%UserProfile%\.oracleServices/
%UserProfile%\.oracleServices/Apps/
%UserProfile%\.oracleServices/Configure.txt
%UserProfile%\.oracleServices/Downloads/
%UserProfile%\.oracleServices/log.txt
%UserProfile%\.oracleServices/svshost_serv.exe
%UserProfile%\.oracleServices/Uploads/
攻击者使用Downloads目录,存储从C&C服务器下载的其他脚本和工具。
在将文件转发到C&C服务器之前,攻击者使用Uploads目录临时存储文件。
Log.txt文件是一个纯文本形式的日志,所有执行的命令都将记录在该文件中,包含命令的执行结果。
Configure.txt文件中包含恶意软件的配置,攻击者可以指定自定义命令和控制(C&C)URL、URI和作为DNS隐蔽通道的域名。此外,攻击者可以指定自定义Base64字母表实现混淆。我们发现攻击者针对每个目标都使用了自定义的字母。
所有数据都以JSON格式传输,这也就是为什么恶意软件的大部分代码都是JSON库的原因。
3.2 通信方式
恶意软件使用HTTP和DNS的方式,与C&C服务器进行通信。
3.2.1 HTTP模式
使用Base 64编码后的随机数据,执行DNS请求(发送至0ffice36o[.]com)。该请求负责注册被感染的系统,并接收HTTP服务器的IP(分析期间接收到的IP是185.20.184[.]138)。DNS的请求示例如下:
oGjBGFDHSMRQGQ4HY000[.]0ffice36o[.]com
在其上下文中,前四个字符由恶意软件使用rand()函数随机生成。然后,域名的其他部分使用Base32进行编码,其解码后的值为1Fy2048。其中,“Fy”是目标ID,“2048”(0x800)表示“未找到配置文件”。如果没有在受感染的计算机上检索到配置文件,则会发出该请求。这一请求是用于通知攻击者的。
恶意软件向hxxp://IP/Client/Login?id=Fy发送初始HTTP请求,以检索其配置。该请求将用于创建配置文件,特别是设置自定义的Base64字典。
第二个HTTP请求是hxxp://IP/index.html?id=XX,其中“XX”是被感染主机的ID。该请求将用于检索订单,网站是一个虚假的维基百科页面:

[1] [2] [3]  下一页


  以上是“DNSpionage恶意活动将目标瞄准中东地区[安全新闻]”的内容,如果你对以上该文章内容感兴趣,你可以看看安全黑客为您推荐以下文章:
  • DNSpionage恶意活动将目标瞄准中东地区
  • DNSpionage:针对中东的攻击活动
  • 利用Squid集群配合Dnspod成立双线镜像
  • 操纵Squid + DNSPOD 搭建CDN服务器心得
  • 本文地址: 与您的QQ/BBS好友分享!

    文章评论评论内容只代表网友观点,与本站立场无关!

       评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论
    免责条款 - 广告合作 - 下载声明 - 欢迎投稿 - 友情连接 - 网站地图 -
    Copyright © 2012-2013 www.110hack.com. All Rights Reserved .