• <i id="mka8s"><bdo id="mka8s"></bdo></i>
    <source id="mka8s"><sub id="mka8s"><tr id="mka8s"></tr></sub></source>
    <blockquote id="mka8s"></blockquote>
  • <source id="mka8s"><sub id="mka8s"></sub></source>
    1. 歡迎來到興華永恒!加入收藏設為首頁
      您當前所在位置:首頁 > 技術專欄 > 專業發布
      技術專欄

      綜述:

      2016年8月8日,卡巴斯基和賽門鐵克相繼披露出一個長期對中國、俄羅斯等國進行APT攻擊的組織——ProjectSauron也被稱作索倫之眼。ProjectSauron至少在2011年10月起就一直保持活躍。此前,該團伙一直行事低調,其目標主要為國家情報部門所關注的政府機構、民生企業和個人。


      綜述.png


      該組織攻擊目標時使用了一種名為“Remsec”的高端惡意軟件。

      Remsec工具是一款技術含量特別高的遠程控制軟件,主要用來暗中監視和控制目標。這種軟件能夠在受感染計算機上打開后門,記錄用戶點擊的按鍵,并盜取相關文件。

      我公司墨俠團隊基于鉆石分析模型,對該攻擊事件進行相關的事件還原和攻擊者分析。

      受害者分析:

      目前興華永恒團隊諦聽APT防御系統監測到該組織對全球多個國家的多個行業發起攻擊。


      受害者分析1.png


      已知攻擊包括20多個針對俄羅斯的攻擊,40余起針對中國的攻擊,針對比利時大使館的攻擊和瑞典某公司的攻擊。同時包括伊朗、盧旺達以及幾個意大利語系國家。


      受害者分析2.png


      技術能力分析:

      一.Remsec遠程控制技術分析

      這里針對某一個遠程控制樣本進行分析。

      樣本名:Backdoor.Remsec.server.exe

      MD5  234e22d3b7bba6c0891de0a19b79d7ea

      Hash  9214239dea04dec5f33fd62602afde720b71d2d2

      文件大?。?/span> 135168 字節

      樣本通過 MSAOSSPC.DLL裝載硬盤文件,并執行。硬盤上的文件是一種特殊格式BLOB,并通過“0xBAADF00D”進行加解密。

      加載路徑c:\System Volume Information\_restore{ED650925-A32C-4E9C-8A738E6F0509309A}\RP0\A0000002.dll

      獲取啟動參數,這個啟動參數在該樣本中并沒有起到太大作用,需要其他輔助增加參數完成具體攻擊行為。

      blob.png

      參數識別,并將獲取的參數存入重新分配的內存中


      blob.png


      判斷是不是pe結構,并開始查找pe的區塊,找到bin區塊之后返回bin區塊的首地址


      blob.png


      動態加載該程序,初始階段有明顯的脫殼函數調用。

      這里動態解析pe,并修正導入表


      blob.png


      調用rsaenh.dll交互的進行加密,rsaenh.dll是微軟Microsoft增強加密服務相關文件,用于128位加密


      blob.png


      分配一段bin區塊大小的內存存放加密過的shellcode


      blob.png

      blob.png


      加載kernel32,主要是為了獲取kernel32模塊的首地址


      blob.png


      Shellcode中循環解密字符串,獲取api地址。


      blob.png


      獲取api函數地址后保存


      blob.png


      blob.png

      blob.png


      循環解密兩次之后有一個crc檢測,當檢測到被調試或者下斷點便直接退出返回。

      在解密之后啟用遠程鏈接的命名管道同時創建線程來配合管道命名,該命名管道可以實現對任意文件的讀寫刪除,接受遠程命令等操作。

      同時還有遠程加載pe文件行為,實現無實體惡意代碼的運行。

      綜合各種分析發現,remsec遠程控制軟件具備多種高級特性:

      l  Remsec的強大功能

      Remsec適用于所有的x64和x86 Microsoft Windows操作系統。由于Remsec采用獨特的插件系統,插件用Lua語言編寫,這種lua插件可自定義配置,從特定機器中獲取特定數據文件,能便捷的進行網絡操作,完成各種網絡任務。同時該平臺具備數十種插件,能支持從類似ls命令到keylog,hashdump的全系列工具插件。

      l  Remsec的偽裝術

      “Remsec”遠程控制軟件自身只是一個平臺,不具備特殊功能,所有的功能都通過內存加載,減少了使用了自身的行為特征。它還使用一種Lua模塊技術,多種操作通過Lua語言是實現。另外,我們還發現,Remsec 惡意文件根據每臺機器安裝的軟件不同,偽裝成不同軟件的不同組成部分,如下圖所示:


      blob.png


      remsec偽裝進程列表

      Remsec 偽裝的文件多種多樣,包括像卡巴斯基、賽門鐵克這種殺毒軟件,同時也有諸如微軟補丁文件、VmWareTools更新文件。有趣的是,Remsec偽裝的kavupdate.exe文件即是卡巴斯基殺毒軟件的進程文件,同時也是國產迅雷安全組件的必要文件。


      blob.png


      偽裝迅雷/卡巴斯基升級文件




      l  特殊的上線技術

      Remsec遠程控制軟件使用特殊的技術上線,在這里發現的有DNS方式上線和mail方式實現數據傳輸。這兩種傳輸技術在遠程控制軟件中都不多見。

      一個叫“DEXT”的插件顯示了DNS隧道數據傳輸。


      blob.png

      Remsc使用特殊的郵件方式進行數據傳輸


      blob.png


      l  虛擬文件技術

      Remsec木馬VFS具有兩個主要功能,一個是負責竊取數據保存在本地C:\System Volume Information\_restore{ED650925-A32C-4E9C-8A73-8E6

      F0509309A}目錄下,以bka*、da、~*.tmp等方式存儲。


      另一功能是連接外部通信,將竊取的數據通過自己本地服務器發送出去,不過木馬在完成以上兩個功能后,由于木馬本身的設計缺陷,木馬并沒有將緩存文件刪除干凈。

       

      綜上可以看到,該遠程控制軟件具備很多特殊的高級特征和特殊功能,絕不是普通的黑客個人或小團體所能有能力開發使用的。


      二.內網拓展能力分析

      該組織使用了多種特殊的攻擊方式進行內網拓展。從木馬偽裝位置和功能上就可以看出,在內網拓展中秘密收集各種用戶密碼和機密文件。

      blob.png

      該APT攻擊團隊,會通過網絡滲透控制目標內網系統中的域服務器,以域服務器為重要攻擊目標。獲取相應權限之后,再通過被控制的服務器進行橫向移動,攻擊內網系統中的其他設備和終端。獲取到想要的目標數據。

      三.0day使用能力

      在所有的攻擊中,各大廠商都未報道發現相關了0day攻擊漏洞,都只發現了被方式remsec控制型后門的攻擊結果,未能發現攻擊過程。由此推測,該組織一定具備較多的0day資源,使用較多的0day工具、較好的攻擊技能和特殊的隱藏技術才能實現這種效果。

      四.非聯網數據獲取能力

      遠程控制軟件可以使木馬跳出隔離的網絡實現繼續控制。其原理在于USB磁盤分區有一塊預留空間,木馬利用這塊USB磁盤空間,感染USB驅動,秘密寫入執行指令,一旦目標網絡系統不能使用,攻擊者等待USB驅動器繼續控制被感染的機器。 






      在線咨詢 周一至周五
      09:00-18:00
      日本亚洲va在线视频_亚洲av无码国产在丝袜线观看_日韩AV在线高清免费毛片_日韩午夜福利视频欧美_国产永久av福利在线观看_国产精品性爱一级视频