技术性汇报:APT机构Wekby运用DNS恳求做为C&C设

摘要: *本汇报汉语翻译自Paloalto Networks技术性汇报archcenter,创作者Josh Grunzweig, Mike Scott and Bryan Lee,仅作业内学习培训,无需于一切商业服务主要用途。若有粗心大意或汉语翻译不正确烦请强...


*本汇报汉语翻译自Paloalto Networks技术性汇报archcenter,创作者Josh Grunzweig, Mike Scott and Bryan Lee,仅作业内学习培训,无需于一切商业服务主要用途。若有粗心大意或汉语翻译不正确烦请强调。
近期几个星期Paloalto Networks的科学研究工作人员留意到,APT机构Wekby对英国的一部分密秘组织进行了一次进攻。Wekby这种年一直活跃性在诊疗、电信网、航空公司航空航天、国防安全和新科技等好几个行业。它会在系统漏洞出現的第一時间就对其大加运用,如同在HackingTeam的zero-day系统漏洞恶性事件中主要表现的那般。
Wekby应用的故意手机软件是HTTPBrower故意手机软件大家族的一员,这类故意手机软件运用DNS恳求做为命令和操纵体制(C&C)。另外,它还应用各种各样模糊不清解决技术性,促使技术性工作人员在剖析全过程中屡次遇阻。依据样版看出到的这些数据库,Palo Alto互联网企业将其取名为pisloader故意手机软件。
基本设备
Pisloader故意手机软件大家族根据HTTP从下边URL中开展散播。这一URL迄今还处在活跃性情况。
proxy_plugin.exe
实例中也有在此域下的别的URL:
proxy_web_plugin.exe
MD5:E4968C8060EA017B5E5756C16B80B012
SHA256: 8FFBB7A80EFA9EE79E996ABDE7A94CF8DC6F9A41F9026672A8DBD95539FEA82A
尺寸:126976字节数
编译程序
这一份早已发觉的文档是最经常见的poison lvy故意手机软件大家族的一种,下边是它的配备数据信息:
wabcam [.]com
指令和操纵端口号:80
登陆密码:管理方法员
互斥锁:) !VoqA.I5
在这里次进攻中常有应用过的网站域名全是在进攻以前不久被申请注册的。所包括的域以下:

 
此外,科学研究员们还发觉了下边的IP:

 
进攻之初
下边是最开始发觉的进攻,在以后的剖析中也一直在被引入:
MD5:E8D58AA76DD97536AC225949A2767E05
SHA256:DA3261C332E72E4C1641CA0DE439AF280E064B224D950817A11922A8078B11F1
尺寸:126976字节数
编译程序
这一特殊文档具备下列的数据库特性。Pisloader这一姓名也是来源于在此。

 
最开始的引入进攻中包括的编码十分简易,关键每日任务是根据运作申请注册表项开展设定,并安裝实行置入式的windowsexe文件。假如碰到搞混,进攻者会马上将标识符串分拆为更小的子标识符串,随后应用 strcpy 和 strcat 启用来再次开展搭建。她们也会应用一样的技术性来转化成从没应用过的废弃物标识符串,目地是以便阻拦试品的检验和剖析。下边的反编译程序编码会表述得更为清晰,大家早已在这其中加上了注解,以显示信息彻底转化成的标识符串。

 
在所述的反编译程序编码中,大家见到pisloader转化成了下边的标识符串,以后用到来设定运作申请注册表项。
cmd.exe/cregaddHKCUSoftwareMicrosoftWindowsCurrentVersionRun /v lsm /t reg_sz /d %appdata%lsm.exe /f
这一特殊指令用到%appdata%lsm.exe值来设定HKCUSoftwareMicrosoftWindowsCurrentVersionRunlsm申请注册表项。该项设定以后,故意手机软件用到一个单字节数0 54的XOR值解密2组数据信息。从而造成的数据信息可能载入%appdata%lsm.exe 文档相对路径。
在写这般文档以后,故意手机软件会实行刚撰写的 lsm.exe文档,在其中包括pisloader的合理进攻荷载。
合理进攻荷载
下边是已发觉的、并在接着的剖析里加以引入的实例:
MD5: 07B9B62FB3B1C068837C188FEFBD5DE9
SHA256:456FFFC256422AD667CA02三dBAEDD56ECC8FEFBFAEB
尺寸 ︰ 102400 字节数
编译程序時间 ︰ 2017年4月2七日 13:39:02
进攻者应用了朝向回到程序编写(ROP)技术性,及其很多废弃物程序及命令对合理荷载开展了模糊不清化解决。在下边的实例中,用鲜红色标识的全是沒有一切用途的编码。该类编码能够做为废弃物解决,立即忽视。真实履行作用的编码是翠绿色一部分,这种编码中有2个涵数偏位量在回到命令以后被堆积到堆栈中。这一回到命令会先将实行编码偏向空涵数,空涵数会相反将实行编码偏向 next-function 。合理荷运载行的情况下会应用这类技术性,那样会促使静态数据剖析越来越更为艰难。

 
在忽视了废弃物编码以后,故意手机软件具体上是是非非常简易的。刚开始它会任意转化成一个10字节数长的英文字母数据做为标头。其他的数据信息会开展base32编号,以后删掉添充。此数据信息用到于添充子域,而这一子域便是以后的DNS恳求选用于TXT纪录的地区。
这类运用DNS做为C C进攻的作法一直沒有被故意进攻者普遍选用过,除开下边这种:
FrameworkPOS
C3PRO-RACCOON
FeederBot
  Morto
新式PlugX
此外,这一作法也促使pisloader能够绕开一些安全性商品(假如没法绕开,这种安全性商品便会发觉在其中的出现异常)。


 
pisloader会按时推送一个信标,在其中包括被作为合理荷载的4字节数任意英文大写标识符串。下边的实例中显示信息了这一点:

 
针对pisloader预计响应以外的全部响应,故意手机软件都是未予理会。因此进攻者会设定下边的DNS,由于假如沒有设定附加标出,故意手机软件就沒有方法开展辨别。
响应
需要的递归涵数
能用的递归涵数
难题 和 回应資源纪录 字段名务必被设定为0 1值。此外,响应查寻子域务必与初始DNS恳求配对。
进攻者还将远程控制指令和操纵(C C)网络服务器静态数据置入到故意手机软件中来。在实例中大家还发觉了 ns1.logitech-usa[.]com 服务器。
C C网络服务器用到一个TXT文本文档开展响应,而文本文档的数据加密方法与原始恳求相近。在响应中,第一个字节数会被忽视,剩余的数据信息是用的base32编号方式。下边是实例:

 
下边是故意手机软件适用的有关指令及其他们的叙述:
sifo 搜集被害者系统软件信息内容
驱动器器 例举被害者测算机上的驱动器器
目录 例举出示文件目录中的文档信息内容
提交 将文档提交到被害者测算机
开启 转化成指令机壳程序
下边是已经应用这种指令的一些状况。大家应用了一个仿真模拟的DNS网络服务器来转化成指令并接受結果数据信息。
推送 驱动器器 指令:

 
推送 开启 指令:

 
推送 sifo 指令:

 
例举C盘內容:

 
另外,很多指令都和HTTPBrowser相近。这种指令的文件格式化响应也是一致的。在一份己知的HTTPBrowser样例中发觉了与做为探讨样版的pisloader相近的数据库,并且用于转化成这种指令的编码能够根据GitHub得到。这也要我们更为相信,pisloader便是这一故意手机软件大家族的一员。
结果
Wekby应用高些级的故意手机软件再次将导火索指向各种各样高商业秘密机构组织。Pisloader故意手机软件大家族应用了各种各样新技术应用(将DNS做为C2协议书)和各种各样反剖析对策(运用朝向回到程序编写)。
因此,Palo Alto互联网选用了下列对策来维护客户防止这类威协:
可以恰当鉴别全部pisloader商品的WildFire
专业为这一系列产品故意手机软件设计方案的pisloader全自动指向标识
进攻中常应用到的全部网站域名、IP早已经被标识为故意
早已建立了用以检验pisloader DNS通讯的IPS标准
 

 

 



联系我们

全国服务热线:4000-399-000 公司邮箱:343111187@qq.com

  工作日 9:00-18:00

关注我们

官网公众号

官网公众号

Copyright?2020 广州凡科互联网科技股份有限公司 版权所有 粤ICP备10235580号 客服热线 18720358503

技术支持:凡科小程序