安全研究人员发现:Nanocore等多个远控木马滥用公有云服务传播
前言
攻擊者越來越多的采用云來構(gòu)建自己的基礎設施,這樣不僅能夠使攻擊者以最少的時間或金錢部署攻擊基礎設施,也能讓追蹤攻擊行動變得更困難。
從 2021 年 10 月 26 日開始,研究人員發(fā)現(xiàn)多個遠控木馬開始通過云服務進行投遞傳播。
感染鏈從帶有惡意 ZIP 附件的釣魚郵件開始,ZIP 文件中包含一個帶有惡意程序的 ISO 鏡像文件。惡意程序的多種多樣,如 JavaScript、Windows 批處理文件或 Visual Basic 腳本。腳本執(zhí)行后,會通過下載服務器下載下一階段的攻擊載荷,攻擊者將下載服務器部署在基于 Azure 的 Windows 服務器或基于 AWS 的 EC2 實例上。
攻擊者使用的遠控木馬是 Netwire、Nanocore 和 AsyncRAT,并且利用免費動態(tài) DNS 服務 DuckDNS 注冊了多個惡意域名。
攻擊載荷
Nanocore
Nanocore 通常是 32 位 .NET 可執(zhí)行文件,在 2013 年被首次發(fā)現(xiàn),后來被各種攻擊者廣泛使用。
從發(fā)現(xiàn)的 Nanocore 樣本中提取配置信息后,可以確認攻擊者使用的是 1.2.2.0 版本(已泄露版本)的 Nanocore。樣本的構(gòu)建日期為 2021 年 10 月 26 日,使用的 C&C 服務器為 mback5338.duckdns.org。
Nanocore 配置文件
后續(xù)發(fā)現(xiàn)的 Nanocore 樣本也會使用其他不同的 C&C 服務器和端口號:
nanoboss.duckdns.org
justinalwhitedd554.duckdns.org
樣本中攜帶的是 Client 插件和 SurveillanceEx 插件,前者用于處理與 C&C 服務器的通信,后者用于提供對音視頻的捕獲和遠程桌面。
Netwire
Netwire 通常會竊取受害者的密碼、登錄憑據(jù)和信用卡數(shù)據(jù)等隱私信息,同時兼具命令執(zhí)行和竊取文件的功能。
通過寫入注冊表進行持久化:
HKEY_CURRENT_USER\Software\NETwIRe\HostId
HKEY_CURRENT_USER\Software\NETwIRe\Install Date
HKEY_CURRENT_USER\SOfttware\Microsoft\WIndows\CurrentVersion\Run\SysWOW32
AsyncRAT
AsyncRAT 通常會通過加密鏈接遠程監(jiān)控和控制計算機,攻擊者還可以通過 AsyncRAT 對失陷主機進行擊鍵記錄、屏幕錄像等操作。
AsyncRAT 創(chuàng)建互斥體 AsyncMutex_6SI8OkPnk作為失陷主機的感染標記。
AsyncRAT 互斥量
從 AsyncRAT 配置文件提取相關(guān)信息,C&C 域名是 asyncmoney.duckdns.org,使用的端口有 7829、7840、7841 和 7842。
AsyncRAT 連接 C&C 服務器
感染鏈
感染鏈起始的附件是一個 ISO 鏡像文件,其中包含惡意的加載程序。如下所示,攻擊者利用發(fā)-票文件來引誘用戶點擊打開:
釣魚郵件示例
ZIP 文件的起始字符是隨機生成的,可能與特定的攻擊行動有關(guān)。發(fā)現(xiàn)的一些文件名如下所示:
WROOT_Invoice_Copy.zip
YUEOP_Invoice_Copy.zip
HOO8M_Invoice_Copy.zip
TROOS_Invoice_Copy.zip
TBROO1_Invoice_Copy.zip
JavaScript Downloader
JavaScript Downloader 是一個有著四層混淆的腳本。
第一層
第一層去混淆由 ejv()完成,該函數(shù)將混淆數(shù)據(jù)的每個字符保存在數(shù)組中,執(zhí)行算術(shù)運算進行解密。
解密函數(shù)
緊接著繼續(xù)解密:
解密函數(shù)
第二層
其余加密內(nèi)容在第二層進行解密,將 ejv()解密的結(jié)果傳遞給解密函數(shù)。
去混淆的結(jié)果包含另一個解密函數(shù) Ox$(),這是第三層解密函數(shù)。
解密函數(shù)
第三層
第三層去混淆的結(jié)果是另一個混淆函數(shù),包含多個函數(shù)調(diào)用來進行解密:
部分混淆惡意代碼
在分析另一個發(fā)現(xiàn)的 JavaScript 腳本時,與首次發(fā)現(xiàn)的不相同。這說明代碼有可能是自動生成和隨機化的,攻擊者想通過高度混淆使檢測變得更困難。
部分混淆惡意代碼
第四層
第四層是最后一層,在去混淆后可以發(fā)現(xiàn)這些代碼不僅僅是一個 Downloader,還具有其他功能。例如:
- 通過 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run進行持久化
- 通過 schtasks.exe配置計劃任務
計劃任務命令
- 通過 http://gg1592661.duckdns.org:7924/vre下載攻擊載荷。下載的是 Netwire、Nanocore 和 AsyncRAT 的變種,保存在臨時文件夾并執(zhí)行。
- 嘗試通過 Alternate Data Stream隱藏下載來源
- 通過 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId收集設備信息
通過遙測數(shù)據(jù),除了 JavaScript 還發(fā)現(xiàn)了 Batch 和 VBScript 的腳本。
Batch Downloader
腳本中包含一個混淆命令,用以執(zhí)行 PowerShell 下載攻擊載荷,本例中通過 Azure Cloud 上的服務器 13.78.209.105進行下載。
Batch Downloader 示例
VBS Downloader
腳本通過 PowerShell 命令連接到服務器,服務器部署在 AWS EC2 上的 52.27.15.250。
VBScript Downloader 示例
PowerShell Dropper
在 Azure 的服務器上發(fā)現(xiàn)了一個使用 HCrypt 構(gòu)建的 PowerShell 腳本。該腳本會在失陷主機上下載并運行 AsyncRAT 的變種,類似的程序也被趨勢科技的研究人員在名為 Water Basilisk的攻擊中發(fā)現(xiàn)。
PowerShell Droper 示例
去混淆后的數(shù)據(jù)就是二進制文件本身。這個包含 Payload 的字符串,連同一個包含注入 .NET 程序 DLL 模塊的字符串,一同被傳遞給函數(shù) H2 轉(zhuǎn)換為二進制字節(jié)數(shù)組。
去混淆注入
這個數(shù)組將會被加載注入:
去混淆 PowerShell 命令
腳本會嘗試啟動進程 aspnet_compiler.exe并注入 Payload 執(zhí)行。樣本連接的 C&C 服務器是 yuri101.duckdns.org,部署在 64.188.16.134。
PowerShell 感染鏈
攻擊基礎設施
攻擊者維護了一個分布式攻擊基礎設施,包括下載服務器、C&C 服務器和惡意域名,下載服務器利用 Microsoft Azure 或 AWS 的云服務。
利用的 Azure 云服務包括:
- 13.78.209.105 在美國西部區(qū)域,FQDN 名稱為 GOOGLE
- 23.102.1.5 在北歐區(qū)域,并啟用了 SMB 身份驗證
- 40.85.140.7 在北歐區(qū)域
- 52.150.26.35 在美國東部區(qū)域,FQDN 為 spinxamp
- 13.82.65.56 在美國東部區(qū)域
- 137.135.65.29 在美國東部區(qū)域,FQDN 為 sj-2nd并啟用了 SMB 身份驗證
利用 AWS 云服務是 52.27.15.250,FQDN 為 ec2-52-27-15-250.us-west-2.compute.amazonaws.com,但不確定此實例的操作系統(tǒng)。
一些下載服務器運行的是 Apache 服務器:
開放目錄
每個遠控木馬都根據(jù)配置文件連接對應的 C&C 服務器,IP 地址如下所示:
103.151.123.194
185.249.196.175
64.188.16.134
惡意域名如下所示:
asyncmoney.duckdns.org
nwire733.duckdns.org
mback5338.duckdns.org
yuri101.duckdns.org
惡意域名
攻擊者利用免費的動態(tài) DNS 服務 DuckDNS 創(chuàng)建惡意域名,一些域名綁定在 Azure Cloud 上的服務器,另一些域名綁定在 C&C 服務器上。
gg1592661.duckdns.org
btime1624.duckdns.org
justinalwhitedd554.duckdns.org
wz303811.duckdns.org
js1994.duckdns.org
backu4734.duckdns.org
www.backu4734.duckdns.org
mback5338.duckdns.org
nwire733.duckdns.org
asyncmoney.duckdns.org
nanoboss.duckdns.org
asyncspread.duckdns.org
tdeasy.duckdns.org
dingspread.duckdns.org
asyncpcc.duckdns.org
jw9428875.duckdns.org
meunknown.duckdns.org
yuri101.duckdns.org
從域名請求來看,攻擊行動應該是從 2021 年 10 月開始的。
gg1592661.duckdns.org 的 DNS 請求
受害者
通過遙測數(shù)據(jù),受害者主要來自美國、加拿大、意大利和新加坡,少量分布在西班牙和韓國。
結(jié)論
攻擊者正在積極利用云服務構(gòu)建自己的攻擊基礎設施,研究發(fā)現(xiàn) Nanocore、Netwire 和 AsyncRAT 就正在這么做。攻擊通過釣魚郵件進行傳播,電子郵件仍然是需要防范的重點位置。
總結(jié)
以上是生活随笔為你收集整理的安全研究人员发现:Nanocore等多个远控木马滥用公有云服务传播的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 深入分析H2数据库控制台中无需身份验证的
- 下一篇: 【网络安全】详细记录一道简单面试题的思路