Rotten Tomato APT組織仍在行動(dòng)

責(zé)任編輯:editor007

作者:亞信安全

2016-10-03 21:41:37

摘自:黑客與極客

盡管CVE-2015-1641和CVE-2015-2545已經(jīng)成為Office系列最受黑客青睞的漏洞,但是一個(gè)看似老舊的CVE-2012-0158仍然在被黑客利用。黑客用已經(jīng)入侵好的服務(wù)器作為木馬更新源,增加了對(duì)攻擊源頭的追溯難度。

據(jù)亞信安全病毒監(jiān)測(cè)中心監(jiān)控?cái)?shù)數(shù)據(jù),8月份以來(lái)CVE-2012-0158漏洞利用有抬頭之勢(shì),漏洞利用攜帶的攻擊載荷主要為監(jiān)控類(lèi)或賬號(hào)竊取類(lèi)木馬,攻擊目標(biāo)針對(duì)企業(yè),以制造業(yè)、金融業(yè)和醫(yī)療行業(yè)居多。

Sophos曾經(jīng)報(bào)道過(guò)Rotten Tomato攻擊行動(dòng),組合攻擊CVE-2012-0158和CVE-2014-1761漏洞,攜帶Zbot攻擊載荷。最近,我們發(fā)現(xiàn)這一組織仍然在活躍,并利用被攻陷的網(wǎng)站作為木馬更新的地址。

事件時(shí)間線

 

1.png

 

到達(dá)系統(tǒng)的方式

 

2.png

 

攻擊者通常使用郵件的方式,攜帶含有漏洞攻擊的附件,我們監(jiān)控到的發(fā)件者IP定位均在美國(guó)。這種方式以電子郵件為誘餌,正文內(nèi)容通常是清單、通知、快遞信息等等,誘使接收者點(diǎn)擊。一旦點(diǎn)擊之后,精心構(gòu)造好的惡意文檔會(huì)利用Office套件的漏洞執(zhí)行指定命令,向系統(tǒng)內(nèi)植入木馬等惡意程序。

 

3.png

 

以下是截獲到的RTF格式文檔的信息

基本信息

 

4.png

 

 

5.png

 

Shellcode

 

6.png

 

CVE-2012-0158漏洞利用分析

CVE-2012-0158是一個(gè)位于微軟Office系列軟件中的Buffer Overflow的漏洞,漏洞所在的模塊是MSCOMCTL ActiveX dll。ListView, TreeView等 ActiveX控件都要用到這一組件,也就是說(shuō)所有調(diào)用這一dll的軟件都受到該漏洞的影響。通常該漏洞的利用以惡意的.rtf文檔形式出現(xiàn)。

有漏洞的函數(shù)如下

 

7.png

 

由于軟件作者錯(cuò)誤判斷了拷貝字節(jié)的大小,導(dǎo)致可以向目標(biāo)數(shù)組拷貝超長(zhǎng)字節(jié),最終形成溢出,溢出的字節(jié)復(fù)制循環(huán)如下,

 

8.png

 

復(fù)制完成,函數(shù)返回時(shí)棧底的返回地址已經(jīng)被覆蓋為jmp esp,函數(shù)返回時(shí)將直接轉(zhuǎn)到Shellcode執(zhí)行。

 

9.png

 

 

10.png

 

這個(gè)樣本的Shellcode如下,大致流程是獲取TEB->PEB->kernel32.dll的基地址->IAT

 

11.png

 

獲取GetProcAddress和LoadLibrary函數(shù)地址

 

12.png

 

 

12-.png

 

調(diào)用URLDownloadToFile從指定URL下載文件

 

13.png

 

 

14.png

 

下載地址是http://www.pgathailand.com/which.exe,下載完成后調(diào)用WinExec運(yùn)行。

 

15.png

 

攻擊載荷分析

www.pgathailand.com這個(gè)域名解析到的IP是128.199.127.7,該網(wǎng)站屬于泰國(guó)高爾夫球協(xié)會(huì)。

 

16.png

 

據(jù)歷史監(jiān)控,該網(wǎng)站目錄下曾監(jiān)測(cè)到大量惡意軟件樣本,疑似被黑。目前惡意軟件已清除。

 

17.png

 

黑客用已經(jīng)入侵好的服務(wù)器作為木馬更新源,增加了對(duì)攻擊源頭的追溯難度。

這個(gè)木馬的基本信息如下。

 

18.png

 

MD55e9253e78527e6db7d2f1a1c0e4f7284

文件類(lèi)型application/x-rar

文件大小200933

編譯時(shí)間2014-05-06 12:07:12

該文件是一個(gè)自解壓型程序,運(yùn)行之后釋放出文件%TEMP%\RarSFX0\Hnmsiy.exe并執(zhí)行。

這是一個(gè)TROJ_Fareit木馬的變種。能夠竊取用戶(hù)賬號(hào)密碼,并下載和執(zhí)行Zbot家族木馬。

獲取以下文件,威脅登錄賬號(hào)安全。

%APPDATA%\Mozilla\Firefox\Profiles\4thzac8r.default\key3.db

%APPDATA%\Mozilla\Firefox\Profiles\4thzac8r.default\cert8.db

%APPDATA%\Mozilla\Firefox\Profiles\4thzac8r.default\secmod.db

%APPDATA%\Mozilla\Firefox\profiles.ini

%APPDATA%\Mozilla\Firefox\Profiles\4thzac8r.default\signons.sqlite

%APPDATA%\Mozilla\Firefox\Profiles\4thzac8r.default\signons2.txt

這些文件能添加系統(tǒng)自啟動(dòng)項(xiàng),并注入自身傀儡進(jìn)程逃避檢測(cè)。該木馬會(huì)連接到C&C服務(wù)器,地址為http://209.133.221.62/%7Efifaregi/ifeoma/gate.php,這是一個(gè)典型的木馬C&C服務(wù)器URL pattern。

 

19.png

 

 

20.png

 

 

21.png

 

 

22.png

 

 

23.png

 

我們用交叉關(guān)聯(lián)的方法發(fā)現(xiàn)這個(gè)209.133.221.62的IP還與其他惡意軟件傳播活動(dòng)有關(guān),

其在9月18日對(duì)外發(fā)送過(guò)釣魚(yú)郵件。

 

24.png

 

整個(gè)行動(dòng)的流程示意圖

 

25.jpg

 

目標(biāo)地理分布

 

25.png

 

目標(biāo)行業(yè)分布

 

26.png

 

受感染操作系統(tǒng)

 

27.png

 

總結(jié)

雖然該案例看似舊瓶裝新酒,但對(duì)一些中小企業(yè)還是有比較大的殺傷力。由于軟件版本過(guò)舊以及補(bǔ)丁不及時(shí),往往給漏洞利用留下通道。加上企業(yè)內(nèi)部人員安全意識(shí)參差不齊,防病毒和入侵檢測(cè)系統(tǒng)部署不到位,容易一封魚(yú)叉式釣魚(yú)郵件即可直達(dá)內(nèi)網(wǎng),嚴(yán)重威脅企業(yè)信息安全,造成重要信息外流。未來(lái)的企業(yè)信息安全要著眼于構(gòu)建多層防護(hù)體制,同時(shí)也要加強(qiáng)員工信息安全培訓(xùn),養(yǎng)成良好的安全意識(shí),不隨意打開(kāi)陌生來(lái)源的郵件附件,定期更新系統(tǒng)和應(yīng)用軟件補(bǔ)丁,定期升級(jí)安全軟件特征庫(kù)。

本文涉及到的樣本哈希值和相關(guān)域名/IP信息如下。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)