请选择 进入手机版 | 继续访问电脑版

技术控

    今日:299| 主题:54008
收藏本版 (1)
最新软件应用技术尽在掌握

[其他] Rotten Tomato APT组织仍在行动

[复制链接]
讨厌烟的味道 发表于 2016-10-3 04:17:42
387 2

立即注册CoLaBug.com会员,免费获得投稿人的专业资料,享用更多功能,玩转个人品牌!

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
尽管CVE-2015-1641和CVE-2015-2545已经成为Office系列最受黑客青睐的漏洞,但是一个看似老旧的CVE-2012-0158仍然在被黑客利用。 据国外安全公司Sophos统计,最近的APT行动中所用到的Office漏洞,CVE-2015-1641占66%,CVE-2015-2545占17%,CVE-2012-0158占12%。
  据亚信安全病毒监测中心监控数数据,8月份以来CVE-2012-0158漏洞利用有抬头之势,漏洞利用携带的攻击载荷主要为监控类或账号窃取类木马,攻击目标针对企业,以制造业、金融业和医疗行业居多。
  Sophos曾经报道过Rotten Tomato攻击行动,组合攻击CVE-2012-0158和CVE-2014-1761漏洞,携带Zbot攻击载荷。最近,我们发现这一组织仍然在活跃,并利用被攻陷的网站作为木马更新的地址。
  事件时间线

   

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动

  到达系统的方式

   

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动

  攻击者通常使用邮件的方式,携带含有漏洞攻击的附件,我们监控到的发件者IP定位均在美国。这种方式以电子邮件为诱饵,正文内容通常是清单、通知、快递信息等等,诱使接收者点击。一旦点击之后,精心构造好的恶意文档会利用Office套件的漏洞执行指定命令,向系统内植入木马等恶意程序。
  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动

  以下是截获到的RTF格式文档的信息
  基本信息

  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动

  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动

  Shellcode

  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动

  CVE-2012-0158漏洞利用分析

  CVE-2012-0158是一个位于微软Office系列软件中的Buffer Overflow的漏洞,漏洞所在的模块是MSCOMCTL ActiveX dll。ListView, TreeView等 ActiveX控件都要用到这一组件,也就是说所有调用这一dll的软件都受到该漏洞的影响。通常该漏洞的利用以恶意的.rtf文档形式出现。
  有漏洞的函数如下
  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动

  由于软件作者错误判断了拷贝字节的大小,导致可以向目标数组拷贝超长字节,最终形成溢出,溢出的字节复制循环如下,
  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动

  复制完成,函数返回时栈底的返回地址已经被覆盖为jmp esp,函数返回时将直接转到Shellcode执行。
  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动

  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动

  这个样本的Shellcode如下,大致流程是获取TEB->PEB->kernel32.dll的基地址->IAT
  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动

  获取GetProcAddress和LoadLibrary函数地址
  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动

  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动

  调用URLDownloadToFile从指定URL下载文件
  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动

  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动

   下载地址是 http://www.pgathailand.com/which.exe ,下载完成后调用WinExec运行。
  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动

  攻击载荷分析

   www.pgathailand.com 这个域名解析到的IP是128.199.127.7,该网站属于泰国高尔夫球协会。
  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动

  据历史监控,该网站目录下曾监测到大量恶意软件样本,疑似被黑。目前恶意软件已清除。
  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动

  黑客用已经入侵好的服务器作为木马更新源,增加了对攻击源头的追溯难度。
  这个木马的基本信息如下。
   

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动

               MD5      5e9253e78527e6db7d2f1a1c0e4f7284                   文件类型     application/x-rar             文件大小     200933             编译时间     2014-05-06 12:07:12            该文件是一个自解压型程序,运行之后释放出文件 %TEMP%\RarSFX0\Hnmsiy.exe 并执行。
  这是一个TROJ_Fareit木马的变种。能够窃取用户账号密码,并下载和执行Zbot家族木马。
  获取以下文件,威胁登录账号安全。
  %APPDATA%\Mozilla\Firefox\Profiles\4thzac8r.default\key3.db
  %APPDATA%\Mozilla\Firefox\Profiles\4thzac8r.default\cert8.db
  %APPDATA%\Mozilla\Firefox\Profiles\4thzac8r.default\secmod.db
  %APPDATA%\Mozilla\Firefox\profiles.ini
  %APPDATA%\Mozilla\Firefox\Profiles\4thzac8r.default\signons.sqlite
  %APPDATA%\Mozilla\Firefox\Profiles\4thzac8r.default\signons2.txt
   这些文件能添加系统自启动项,并注入自身傀儡进程逃避检测。该木马会连接到C&C服务器,地址为 http://209.133.221.62/%7Efifaregi/ifeoma/gate.php ,这是一个典型的木马C&C服务器URL pattern。
  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动

  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动

  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动

  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动

  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动

  我们用交叉关联的方法发现这个209.133.221.62的IP还与其他恶意软件传播活动有关,
  其在9月18日对外发送过钓鱼邮件。
  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动

  整个行动的流程示意图

   

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动

  目标地理分布

  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动

  目标行业分布

   

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动

  受感染操作系统

  

Rotten Tomato APT组织仍在行动

Rotten Tomato APT组织仍在行动

  总结

  虽然该案例看似旧瓶装新酒,但对一些中小企业还是有比较大的杀伤力。由于软件版本过旧以及补丁不及时,往往给漏洞利用留下通道。加上企业内部人员安全意识参差不齐,防病毒和入侵检测系统部署不到位,容易一封鱼叉式钓鱼邮件即可直达内网,严重威胁企业信息安全,造成重要信息外流。未来的企业信息安全要着眼于构建多层防护体制,同时也要加强员工信息安全培训,养成良好的安全意识,不随意打开陌生来源的邮件附件,定期更新系统和应用软件补丁,定期升级安全软件特征库。
  本文涉及到的样本哈希值和相关域名/IP信息如下。
  文件MD5:
  97bd51b665022f48ee5442ec330edaa9
  3f41edee216ff14121c4185717101829
  5e9253e78527e6db7d2f1a1c0e4f7284
  039b76303243efeaa659003c25de0308
  2e0f18aec0b3fa2c0fbdfab70572fa4c
  3ea9f80d6971e12967e96da7d961f1a6
  IP:
  13.84.153.222
  13.85.81.89
  Domain:
   http://www.pgathailand.com/which.exe
   http://209.133.221.62/%7Efifaregi/ifeoma/gate.php
  crm.baminds.com
  azure.baminds.com
    * 本文作者:亚信安全 (企业账号) ,转载请注明来自FreeBuf.COM



上一篇:js-next: a JavaScript next generation apps scaffolder
下一篇:代码的历史局限性
蒋志基 发表于 2016-10-3 08:12:21
传说中的沙发???哇卡卡
回复 支持 反对

使用道具 举报

Cittea 发表于 2016-10-11 19:17:08
楼下的且行且珍惜!
回复 支持 反对

使用道具 举报

*滑动验证:
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

我要投稿

推荐阅读

扫码访问 @iTTTTT瑞翔 的微博
回页顶回复上一篇下一篇回列表
手机版/CoLaBug.com ( 粤ICP备05003221号 | 文网文[2010]257号 )

© 2001-2017 Comsenz Inc. Design: Dean. DiscuzFans.

返回顶部 返回列表