新的SLUB后门通过Slack进行通信

2019-03-28 16:55:5510304人阅读

趋势科技研究人员最近发现了一个新的恶意软件并对其非常感兴趣。首先,研究人员发现它是通过水坑攻击传播的,这种攻击方法要求攻击者在添加代码之前感染网站,访问者会被重定向到感染代码。在这种情况下,每个访问者只被重定向一次。感染是利用CVE-2018-8174完成的,CVE-2018-8174是一个VBScript引擎漏洞, Microsoft在2018年5月修补了该漏洞。

其次,它使用多阶段感染方案。在利用上述漏洞后,它会下载DLL并在PowerShell(PS)中运行它。然后下载并运行包含后门的第二个可执行文件。在第一阶段,下载程序还会检查是否存在不同类型的防病毒软件,然后有则不再运行。被发现时,防病毒软件并未检测出该后门。

除此之外,研究人员还发现恶意软件连接到了Slack平台,Slack平台是一个协作消息系统,允许用户使用频道创建和使用自己的工作空间,类似于IRC聊天系统。这是研究人员发现的第一个使用Slack进行通信的恶意软件。

通过对攻击者的工具、技术和程序(TTP)进行调查和分析,研究人员认为这种威胁实际上是由有能力的攻击者运行的隐形目标攻击,而不是典型的网络犯罪方案。

感染链

新的SLUB后门通过Slack进行通信


下载程序

下载程序作为DLL运行PowerShell,有多种用途。第一是下载第二阶段恶意软件并执行,研究人员将其称之为SLUB后门。第二是检查以下防病毒进程是否在运行:

V3Tray.exe

AYAgent.aye

navapsvc.exe

ashServ.exe

avgemc.exe

bdagent.exe

ZhuDongFangYu.exe

如果有一个防病毒软件正在运行,该下载程序就会停止运行。

最后,下载程序还利用CVE-2015-1701漏洞提升本地权限。漏洞利用代码很可能是通过修改GitHub存储库中的代码创建的,如下图所示。

新的SLUB后门通过Slack进行通信


未修改的代码

SLUB后门

SLUB后门是一个用C ++编程语言编写的自定义后门,静态链接curl库以执行多个HTTP请求。其他静态链接库是boost(用于从gist片段中提取命令)和JsonCpp(用于解析slack通道通信)。

恶意软件还嵌入了两个授权令牌,以便与Slack API进行通信。

它将自身复制到ProgramData\update\并通过Run注册表项保持持久性,使用rundll32.exe调用导出函数UpdateMPUnits。请注意ValueName中的拼写错误,“Microsoft Setup Initializazion”。

新的SLUB后门通过Slack进行通信


它从Github下载一个特定的“gist”片段并解析它,寻找要执行的命令。只会执行以“^”开头并以“$”结尾的行。其他行被忽略。

新的SLUB后门通过Slack进行通信


然后使用嵌入的令牌将命令的结果发布到特定工作空间中的私有Slack通道。

请注意,此特定设置的副作用是攻击者无法向特定目标发出命令。每个受感染的计算机都会在检查时执行gist代码段中启用的命令。

新的SLUB后门通过Slack进行通信


Slack通信功能

Slack通信功能包含两个硬编码的身份验证令牌,令牌被分为了几个小块。

新的SLUB后门通过Slack进行通信


通信功能代码

然后,后门获取用户名和计算机名称,然后创建Slack消息并将其上传到通道中。它使用以下API发布消息:https://api.slack.com/methods/chat.postMessage。

新的SLUB后门通过Slack进行通信


检索用户名和计算机名

关键字“标题”、“文本”、“频道”和“附件”在功能列表中清晰可见。

新的SLUB后门通过Slack进行通信


攻击者的工具、技术和程序

Github帐户和Slack工作区是专门为2月19日和20日的活动创建的,而研究人员估计攻击者在2月22日编译了恶意软件。

攻击者在2月20日向Github添加了第一条命令。但是检查Slack频道,发现攻击者在2月23日和24日测试了恶意软件。第一批受害者是在2月27日出现的。

攻击者的第一个行动就是获取受害者信息:

新的SLUB后门通过Slack进行通信


攻击者寻找正在运行的进程、截屏、列出在计算机上的驱动器、列出所有用户以及检查恶意软件的持久性注册表项,还会列出一些已知目录:

新的SLUB后门通过Slack进行通信


研究人员还注意到一种名为“Neologic Plus Board”的软件,该软件似乎用于管理公告板系统。攻击者检索的一些文件包含数百个BBS URL。当研究人员尝试检索它们时,大多数上传到file.io的文件已被删除。

根据攻击者运行的命令,研究人员推测他们正在寻找与人相关的信息。攻击者希望更多地了解目标受害者的通信。因此,他们除了收集HWP文件外,还在Twitter、Skype、KakaoTalk、BBS以及其它通信系统上进行活动。

结论

这个活动最独特的地方是它利用三种不同的在线服务来发布命令、获取结果并从受感染的主机中检索文件。

通过调查,研究人员认为它是针对性攻击活动的一部分。到目前为止,研究人员还没有发现相关的攻击,也没有发现其他自定义后门。研究人员一直在寻找类似的样本,到目前为止没有找到,这表明攻击者要么开发恶意软件,要么是从没有公开泄露恶意软件的私人开发者那里得到该恶意软件的。

攻击者运行的命令清楚地表明了攻击者对与人相关的信息的强烈兴趣,他们特别关注通信软件,试图更了解他们感染的计算机背后的人。

根据他们处理攻击的方式,攻击者似乎也是专业人士。他们只使用公共第三方服务,因此不需要注册任何可能留下痕迹的域名或其他内容。研究人员在调查期间发现的几个电子邮件地址也来自垃圾邮件系统,完全没有攻击者的信息。最后,攻击者选择水坑攻击表明其关注政治活动。



作者:Gump,转载自http://www.mottoin.com/tech/134787.html

0
现金券
0
兑换券
立即领取
领取成功