技术控

    今日:330| 主题:57757
收藏本版 (1)
最新软件应用技术尽在掌握

[其他] Rotten Tomato APT组织仍在行动

[复制链接]
讨厌烟的味道 投递于 2016-10-3 04:17:42
412 2
尽管CVE-2015-1641和CVE-2015-2545已经成为Office系列最受黑客青睐的漏洞,但是一个看似老旧的CVE-2012-0158仍然在被黑客利用。 据国外安全公司Sophos统计,最近的APT行动中所用到的Office漏洞,CVE-2015-1641占66%,CVE-2015-2545占17%,CVE-2012-0158占12%。
  据亚信安全病毒监测中心监控数数据,8月份以来CVE-2012-0158漏洞利用有抬头之势,漏洞利用携带的攻击载荷主要为监控类或账号窃取类木马,攻击目标针对企业,以制造业、金融业和医疗行业居多。
  Sophos曾经报道过Rotten Tomato攻击行动,组合攻击CVE-2012-0158和CVE-2014-1761漏洞,携带Zbot攻击载荷。最近,我们发现这一组织仍然在活跃,并利用被攻陷的网站作为木马更新的地址。
  事件时间线

   

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动-1-技术控-Office,金融业,制造业,美国,程序

  到达系统的方式

   

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动-2-技术控-Office,金融业,制造业,美国,程序

  攻击者通常使用邮件的方式,携带含有漏洞攻击的附件,我们监控到的发件者IP定位均在美国。这种方式以电子邮件为诱饵,正文内容通常是清单、通知、快递信息等等,诱使接收者点击。一旦点击之后,精心构造好的恶意文档会利用Office套件的漏洞执行指定命令,向系统内植入木马等恶意程序。
  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动-3-技术控-Office,金融业,制造业,美国,程序

  以下是截获到的RTF格式文档的信息
  基本信息

  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动-4-技术控-Office,金融业,制造业,美国,程序

  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动-5-技术控-Office,金融业,制造业,美国,程序

  Shellcode

  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动-6-技术控-Office,金融业,制造业,美国,程序

  CVE-2012-0158漏洞利用分析

  CVE-2012-0158是一个位于微软Office系列软件中的Buffer Overflow的漏洞,漏洞所在的模块是MSCOMCTL ActiveX dll。ListView, TreeView等 ActiveX控件都要用到这一组件,也就是说所有调用这一dll的软件都受到该漏洞的影响。通常该漏洞的利用以恶意的.rtf文档形式出现。
  有漏洞的函数如下
  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动-7-技术控-Office,金融业,制造业,美国,程序

  由于软件作者错误判断了拷贝字节的大小,导致可以向目标数组拷贝超长字节,最终形成溢出,溢出的字节复制循环如下,
  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动-8-技术控-Office,金融业,制造业,美国,程序

  复制完成,函数返回时栈底的返回地址已经被覆盖为jmp esp,函数返回时将直接转到Shellcode执行。
  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动-9-技术控-Office,金融业,制造业,美国,程序

  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动-10-技术控-Office,金融业,制造业,美国,程序

  这个样本的Shellcode如下,大致流程是获取TEB->PEB->kernel32.dll的基地址->IAT
  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动-11-技术控-Office,金融业,制造业,美国,程序

  获取GetProcAddress和LoadLibrary函数地址
  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动-12-技术控-Office,金融业,制造业,美国,程序

  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动-13-技术控-Office,金融业,制造业,美国,程序

  调用URLDownloadToFile从指定URL下载文件
  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动-14-技术控-Office,金融业,制造业,美国,程序

  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动-15-技术控-Office,金融业,制造业,美国,程序

   下载地址是 http://www.pgathailand.com/which.exe ,下载完成后调用WinExec运行。
  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动-16-技术控-Office,金融业,制造业,美国,程序

  攻击载荷分析

   www.pgathailand.com 这个域名解析到的IP是128.199.127.7,该网站属于泰国高尔夫球协会。
  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动-17-技术控-Office,金融业,制造业,美国,程序

  据历史监控,该网站目录下曾监测到大量恶意软件样本,疑似被黑。目前恶意软件已清除。
  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动-18-技术控-Office,金融业,制造业,美国,程序

  黑客用已经入侵好的服务器作为木马更新源,增加了对攻击源头的追溯难度。
  这个木马的基本信息如下。
   

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动-19-技术控-Office,金融业,制造业,美国,程序

               MD5      5e9253e78527e6db7d2f1a1c0e4f7284                   文件类型     application/x-rar             文件大小     200933             编译时间     2014-05-06 12:07:12            该文件是一个自解压型程序,运行之后释放出文件 %TEMP%\RarSFX0\Hnmsiy.exe 并执行。
  这是一个TROJ_Fareit木马的变种。能够窃取用户账号密码,并下载和执行Zbot家族木马。
  获取以下文件,威胁登录账号安全。
  %APPDATA%\Mozilla\Firefox\Profiles\4thzac8r.default\key3.db
  %APPDATA%\Mozilla\Firefox\Profiles\4thzac8r.default\cert8.db
  %APPDATA%\Mozilla\Firefox\Profiles\4thzac8r.default\secmod.db
  %APPDATA%\Mozilla\Firefox\profiles.ini
  %APPDATA%\Mozilla\Firefox\Profiles\4thzac8r.default\signons.sqlite
  %APPDATA%\Mozilla\Firefox\Profiles\4thzac8r.default\signons2.txt
   这些文件能添加系统自启动项,并注入自身傀儡进程逃避检测。该木马会连接到C&C服务器,地址为 http://209.133.221.62/%7Efifaregi/ifeoma/gate.php ,这是一个典型的木马C&C服务器URL pattern。
  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动-20-技术控-Office,金融业,制造业,美国,程序

  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动-21-技术控-Office,金融业,制造业,美国,程序

  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动-22-技术控-Office,金融业,制造业,美国,程序

  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动-23-技术控-Office,金融业,制造业,美国,程序

  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动-24-技术控-Office,金融业,制造业,美国,程序

  我们用交叉关联的方法发现这个209.133.221.62的IP还与其他恶意软件传播活动有关,
  其在9月18日对外发送过钓鱼邮件。
  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动-25-技术控-Office,金融业,制造业,美国,程序

  整个行动的流程示意图

   

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动-26-技术控-Office,金融业,制造业,美国,程序

  目标地理分布

  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动-27-技术控-Office,金融业,制造业,美国,程序

  目标行业分布

   

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动-28-技术控-Office,金融业,制造业,美国,程序

  受感染操作系统

  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动-29-技术控-Office,金融业,制造业,美国,程序

  总结

  虽然该案例看似旧瓶装新酒,但对一些中小企业还是有比较大的杀伤力。由于软件版本过旧以及补丁不及时,往往给漏洞利用留下通道。加上企业内部人员安全意识参差不齐,防病毒和入侵检测系统部署不到位,容易一封鱼叉式钓鱼邮件即可直达内网,严重威胁企业信息安全,造成重要信息外流。未来的企业信息安全要着眼于构建多层防护体制,同时也要加强员工信息安全培训,养成良好的安全意识,不随意打开陌生来源的邮件附件,定期更新系统和应用软件补丁,定期升级安全软件特征库。
  本文涉及到的样本哈希值和相关域名/IP信息如下。
  文件MD5:
  97bd51b665022f48ee5442ec330edaa9
  3f41edee216ff14121c4185717101829
  5e9253e78527e6db7d2f1a1c0e4f7284
  039b76303243efeaa659003c25de0308
  2e0f18aec0b3fa2c0fbdfab70572fa4c
  3ea9f80d6971e12967e96da7d961f1a6
  IP:
  13.84.153.222
  13.85.81.89
  Domain:
   http://www.pgathailand.com/which.exe
   http://209.133.221.62/%7Efifaregi/ifeoma/gate.php
  crm.baminds.com
  azure.baminds.com
    * 本文作者:亚信安全 (企业账号) ,转载请注明来自FreeBuf.COM



上一篇:js-next: a JavaScript next generation apps scaffolder
下一篇:代码的历史局限性
蒋志基 投递于 2016-10-3 08:12:21
传说中的沙发???哇卡卡
回复 支持 反对

使用道具 举报

Cittea 投递于 2016-10-11 19:17:08
楼下的且行且珍惜!
回复 支持 反对

使用道具 举报

我要投稿

推荐阅读


回页顶回复上一篇下一篇回列表
手机版/CoLaBug.com ( 粤ICP备05003221号 | 文网文[2010]257号 | 粤公网安备 44010402000842号 )

© 2001-2017 Comsenz Inc.

返回顶部 返回列表