提要
卡巴斯基实验室(Kaspersky
Lab)ICS CERT发明了一系列带有恶意附件的网络垂纶电子邮件�,�,,�,,主要针对的是与工业生产相关的企业和机构�。�。�。�。�。。�。网络垂纶电子邮件伪装成正当的商业约请函�,�,,�,,主要被发送给位于俄罗斯的工业企业�,�,,�,,且每一封电子邮件的内容都与目的收件人所从事的事情有很大的相关性�。�。�。�。�。。�。
凭证我们网络到的数据�,�,,�,,这一系列攻击最先于2017年11月�,�,,�,,且现在仍在举行中�。�。�。�。�。。�。值得注重的是�,�,,�,,早在2015年就已经有类似攻击的纪录�。�。�。�。�。。�。
这些攻击中使用的恶意软件装置了正当的远程治理软件——TeamViewer或Remote Manipulator System/Remote Utilities(RMS)�,�,,�,,这使攻击者能够远程控制受熏染的系统�。�。�。�。�。。�。另外�,�,,�,,攻击者还使用了种种手艺来掩饰系统被装置在系统中的恶意软件的熏染和活动�。�。�。�。�。。�。
凭证现有数据�,�,,�,,攻击者的主要目的是从受害企业的帐户中窃取资金�。�。�。�。�。。�。在攻击者毗连到受害者的盘算机之后�,�,,�,,他们会搜索并剖析采购文档�,�,,�,,以及其使用的财务和会计软件�。�。�。�。�。。�。在此之后�,�,,�,,攻击者会寻找种种要领来实验财务诓骗�,�,,�,,例如伪造用于付款的银行信息�。�。�。�。�。。�。
在熏染系统之后�,�,,�,,若是攻击者需要特另外数据或功效(如权限提升和获取外地治理员权限、窃取用于财务软件和效劳的用户身份验证数据�,�,,�,,或者用于横向移动的Windows帐户)�,�,,�,,那么他们会将一个特另外恶意软件荟萃下载到系统中�,�,,�,,且它是专门针对每一位小我私家受害者的攻击而量身定制的�。�。�。�。�。。�。这个恶意软件荟萃可能包括特工软件、扩展攻击者对受熏染系统控制的其他远程治理工具、用于使用操作系统和应用软件误差的恶意软件�,�,,�,,以及为攻击者提供Windows帐户数据的Mimikatz工具�。�。�。�。�。。�。
攻击者很显然是通太过析被攻击企业员工的通讯来获取他们举行犯法活动所需的信息�。�。�。�。�。。�。另外�,�,,�,,他们也可以使用这些电子邮件中的信息来准备新的攻击——针对与目今受害者相助的企业�。�。�。�。�。。�。除了经济损失之外�,�,,�,,这些攻击还会导致受害企业敏感数据的泄露�。�。�。�。�。。�。
网络垂纶电子邮件
在大大都案例中�,�,,�,,网络垂纶电子邮件的内容都与财务相关�,�,,�,,其附件的命名也体现了这一点�。�。�。�。�。。�。详细来说�,�,,�,,其中一些电子邮件声称是由大型工业企业所发出的招标约请(见下文)�。�。�。�。�。。�。
恶意附件通�;;�;;�;;崾且桓龃娴滴募�。�。�。�。�。。�。有些电子邮件没有附件�,�,,�,,在这些案例中�,�,,�,,电子邮件的正文旨在引诱收件人点击一个指向外部资源的链接�,�,,�,,而恶意工具就会从这些资源下载�。�。�。�。�。。�。
这封电子邮件声称自己是由一家着名的工业企业发出的�。�。�。�。�。。�。发送该电子邮件的效劳器的域名与该企业官方网站的域名确实很是相似�。�。�。�。�。。�。电子邮件附带有一个受密码�;;�;;�;;さ拇娴滴募�,�,,�,,而这个密码可以在电子邮件的正文中找到�。�。�。�。�。。�。
值得注重的是�,�,,�,,攻击者在电子邮件中使用了该企业一名员工的全名(出于保密缘故原由�,�,,�,,我们对电子邮件的这部分内容举行了屏障处置惩罚�,�,,�,,见上面的屏幕截图)�。�。�。�。�。。�。这批注攻击是经由全心准备的�,�,,�,,并且攻击者针对每一名目的收件人都建设了包括与特定企业相关的详细信息的小我私家电子邮件�。�。�。�。�。。�。
作为攻击的一部分�,�,,�,,攻击者使用了种种手艺来掩饰熏染历程�。�。�。�。�。。�。在此类案例中�,�,,�,,除恶意软件组件和远程治理应用程序之外�,�,,�,,Seldon 1.7(用于搜索招标信息的正当软件)也被装置在了受熏染的系统中�。�。�。�。�。。�。
为了不让用户嫌疑他们为什么没有获取到在垂纶电子邮件中提到的采购招标信息�,�,,�,,恶意程序所装置的这个Seldon 1.7软件实质上是一个恶意版本�。�。�。�。�。。�。
在某些案例中�,�,,�,,受害者看到的是一个部分损坏的图像�。�。�。�。�。。�。
别的�,�,,�,,还保存将一个已知的恶意软件被伪装成一份包括银行转帐收条的PDF文档的案例�。�。�。�。�。。�。希奇的是�,�,,�,,收条简直包括有用的数据�。�。�。�。�。。�。详细来说�,�,,�,,它提到了现有公司及其有用的财务细节�,�,,�,,甚至连汽车的VIN码也与其型号相匹配�。�。�。�。�。。�。
银行转帐收条的屏幕截图
在这些攻击中使用的恶意软件装置了正当的远程治理软件——TeamViewer或Remote Manipulator System/Remote Utilities(RMS)�。�。�。�。�。。�。
使用RMS实验的攻击
有几种已知的要领可以将恶意软件装置到系统中�。�。�。�。�。。�。恶意文件可以通过附加到电子邮件中可执行文件运行�,�,,�,,也可以通过特制的Windows下令诠释程序运行�。�。�。�。�。。�。
例如�,�,,�,,上面提到的存档文件就包括了一个与其拥有相同名称的可执行文件�,�,,�,,并且它是一个受密码�;;�;;�;;さ淖越庋勾娴滴募�。�。�。�。�。。�。存档文件会在提取文件的同时运行一个剧本�,�,,�,,用于装置和启动系统中的现实恶意软件�。�。�。�。�。。�。
恶意软件装置文件的内容
从上面屏幕截图中的下令可以看出�,�,,�,,在复制文件后�,�,,�,,剧本会删除自身文件�,�,,�,,并在系统中启动正当软件——Seldon v.1.7和RMS�,�,,�,,使攻击者能够在用户不知情的情形下控制受熏染的系统�。�。�。�。�。。�。
恶意软件的文件将被装置在%AppData%\LocalDataNT
folder %AppData%\NTLocalData或%AppData%\NTLocalAppData文件夹中�,�,,�,,这取决于它的版本�。�。�。�。�。。�。
当它启动时�,�,,�,,正当的RMS软件将加载操作所需的动态库(DLL)�,�,,�,,包括系统文件winspool.drv�,�,,�,,它位于系统文件夹中�,�,,�,,用于将文档发送到打印机�。�。�。�。�。。�。由于RMS使用其相对路径不清静地加载库(供应商已被见告此误差)�,�,,�,,因此使得攻击者能够举行DLL挟制攻击:他们将恶意库安排在与RMS可执行文件所处的统一个目录中�,�,,�,,从而导致一个恶意软件组件被加载并获得控制权�,�,,�,,而不是响应的系统库�。�。�。�。�。。�。
恶意库会完成恶意软件的装置�。�。�。�。�。。�。详细来说�,�,,�,,它会建设一个注册表值�,�,,�,,认真在系统启动时自动运行RMS�。�。�。�。�。。�。值得注重的是�,�,,�,,在此次活动的大大都案例中�,�,,�,,注册表值被安排在RunOnce键值中�,�,,�,,而不是Run键值�,�,,�,,这使得恶意软件仅在下次系统启动时自动运行�。�。�。�。�。。�。之后�,�,,�,,恶意软件需要再次建设注册表值�。�。�。�。�。。�。
之以是选择这种要领�,�,,�,,很可能来自于攻击者想要通过这种要领来掩饰恶意软件在系统中的保存�。�。�。�。�。。�。另外�,�,,�,,恶意库还实现了对抗剖析和检测的手艺�。�。�。�。�。。�。其中一种手艺涉及使用哈希值动态导入Windows API函数�。�。�。�。�。。�。通过这种方法�,�,,�,,攻击者就不必将这些函数的名称存储在恶意库的主体中�,�,,�,,这有助于他们对大大都剖析工具隐藏程序的现实功效�。�。�。�。�。。�。
恶意动态库文件winspool.drv将解密由攻击者准备的设置文件�,�,,�,,其中包括RMS软件的设置、远程控制盘算机的密码以及通知攻击者系统已乐成被熏染所需的设置�。�。�。�。�。。�。
其中一个设置文件包括了一个电子邮件地点�,�,,�,,用于吸收有关受熏染系统的信息�,�,,�,,包括盘算机名称、用户名、RMS盘算机的Internet ID等�。�。�。�。�。。�。其中�,�,,�,,Internet ID是在盘算机毗连到RMS供应商的正当效劳器上天生的�。�。�。�。�。。�。这个标识符随后将用于毗连到位于NAT后面的远程控制系统(在盛行的即时新闻解决计划中也使用了类似的机制)�。�。�。�。�。。�。
在已发明的设置文件中找到的电子邮件地点列表将在IoCs部分中提供�。�。�。�。�。。�。
在完成这些之后�,�,,�,,攻击者就可以使用系统的Internet ID和密码在用户不知情的情形下通过正当的RMS效劳器使用标准的RMS客户端来控制整个系统�。�。�。�。�。。�。
使用TeamViewer实验的攻击
使用正当的TeamViewer软件实验的攻击与使用RMS软件实验的攻击很是相似�,�,,�,,详细如上所述�。�。�。�。�。。�。最显著的一个区别特征是�,�,,�,,来自受熏染系统的信息被发送到了恶意软件的下令和控制效劳器�,�,,�,,而不是攻击者的电子邮件地点�。�。�。�。�。。�。
与使用RMS一样�,�,,�,,恶意代码通过将恶意库替换为系统DLL注入到TeamViewer历程中�。�。�。�。�。。�。在使用TeamViewer的案例中�,�,,�,,攻击者使用了msimg32.dll�。�。�。�。�。。�。
这并非一种专属战术�,�,,�,,正当的TeamViewer软件之前曾被用于APT和网络犯法攻击�。�。�。�。�。。�。在使用过这个工具集的组织中�,�,,�,,最着名的应该算是TeamSpy
Crew�。�。�。�。�。。�。不过�,�,,�,,我们以为在本文中形貌的攻击与TeamSpy无关�,�,,�,,而是另一个网络犯法集团所为�。�。�。�。�。。�。希奇的是�,�,,�,,在剖析这些攻击的历程中被识别出来的用于加密设置文件息争密密码的算法与去年4月份形貌类似攻击的一篇文章中所宣布的算法完全相同�。�。�。�。�。。�。
各人都知道�,�,,�,,正当的TeamViewer软件并不会向用户隐藏其启动或操作�,�,,�,,尤其是在远程控制接入的时间会通知用户�。�。�。�。�。。��?�?�?�??�?墒�,�,,�,,攻击者需要在用户不知情的情形下获得对受熏染系统的远程控制�。�。�。�。�。。�。为此�,�,,�,,他们挂股钏几个Windows API函数�。�。�。�。�。。�。
攻击者使用了一种名为“Hooking”的众所周知的要领来将函数挂钩起来�。�。�。�。�。。�。因此�,�,,�,,当正当的软件挪用其中一个Windows API函数时�,�,,�,,控制权将被转达给恶意DLL�,�,,�,,而正当的软件只会获得一个诱骗性的响应�,�,,�,,而不是一个来自操作系统的响应�。�。�。�。�。。�。
Windows API函数被恶意软件挂钩
挂钩Windows API函数使攻击者能够隐藏TeamViewer的窗口�,�,,�,,�;;�;;�;;ざ褚馊砑文件不被检测到�,�,,�,,并控制TeamViewer启动参数�。�。�。�。�。。�。
启动后�,�,,�,,恶意库通过执行下令“ping 1.1.1.1”来检查Internet毗连是否可用�,�,,�,,然后解密恶意程序的设置文件tvr.cfg�。�。�。�。�。。�。该文件包括州参数�,�,,�,,例如用于远程控制系统的密码、攻击者的下令和控制效劳器的URL、在发送到下令和控制效劳器的请求中使用的HTTP标头的User-Agent字段、用于TeamViewer的VPN参数等�。�。�。�。�。。�。
与RMS差别地方在于�,�,,�,,Team
Viewer使用内置VPN远程控制位于NAT后面的盘算机�。�。�。�。�。。�。
与RMS相同的地方在于�,�,,�,,相关的值将被添加到RunOnce注册表键值中�,�,,�,,以确保恶意软件在系统启动时自动运行�。�。�。�。�。。�。
恶意软件会网络受熏染盘算机上的数据�,�,,�,,并将其连同远程治理所需的系统标识符一起发送到下令和控制效劳器�。�。�。�。�。。�。发送的数据包括:
操作系统版本
用户名
盘算机名
有关正在运行恶意软件的用户权限级别的信息
系统中是否保存麦克风和网络摄像头
是否装置了防病毒软件或其他清静解决计划�,�,,�,,以及UAC级别
恶意软件会通过以下WQL盘问来获取有关系统中装置的清静软件的信息:
root\SecurityCenter:SELECT
* FROM AntiVirusProduct
涉及TeamViewer的攻击的另一个显着区别特征是能够向受熏染的系统发送下令�,�,,�,,并让它们由恶意软件执行�。�。�。�。�。。�。这些下令通过TeamViewer应用程序中内置的Chat(谈天)�?�?�?�??�?榇酉铝詈涂刂菩Ю推鞣⑺拖铝�。�。�。�。�。。�。虽然�,�,,�,,谈天窗口会被恶意库隐藏�,�,,�,,且日志文件会被删除�。�。�。�。�。。�。
被发送到受熏染系统的下令将通过以下指令在Windows下令诠释程序中执行:
cmd.exe /c start /b
参数“/ b”体现由攻击者发送的用于执行的下令将在不建设新窗口的情形下运行�。�。�。�。�。。�。
别的�,�,,�,,当恶意软件从攻击者的效劳器吸收到对应的下令时�,�,,�,,它还会执行自毁机制�。�。�。�。�。。�。
其他被使用的恶意软件
当攻击者还需要其他数据(如授权数据)的时间�,�,,�,,他们会将特工软件下载到受害者的盘算机上�,�,,�,,以便网络电子邮箱、网站、SSH/FTP/Telnet客户端的登录名和密码�,�,,�,,以及纪录击键和屏幕截图�。�。�。�。�。。�。
在攻击者的效劳器上装置并下载到受害者盘算机上的其他软件中�,�,,�,,被发明包括来自以下家庭的恶意软件:
Babylon RAT
Betabot/Neurevt
AZORult stealer
Hallaj PRO Rat
关于这些木马而言�,�,,�,,它们被下载到受熏染系统中�,�,,�,,很可能是被用来网络信息和窃取数据�。�。�。�。�。。�。除了远程治理之外�,�,,�,,这些恶意软件还包括以下功效:
纪录击键
屏幕截图
网络系统信息以及与已装置程序和正在运行的历程有关的信息
下载其他恶意文件
使用盘算机作为署理效劳器
从盛行的程序和浏览器中窃取密码
窃取加密钱币钱包
窃取Skype新闻
举行DDoS攻击
阻挡和诱骗用户流量
将恣意用户文件发送到下令和控制效劳器
在其他一些案例中�,�,,�,,在对受熏染系统举行起源剖析后�,�,,�,,攻击者会将一个特另外恶意软件�?�?�?�??�?橄略氐绞芎φ叩呐趟慊�。�。�。�。�。。�。这是一个包括多种恶意和正当程序的自解压存档文件�,�,,�,,它很可能是针对某些特定系统而特殊被下载的�。�。�。�。�。。�。
例如�,�,,�,,若是恶意软件是在没有外地治理员权限的情形下执行的�,�,,�,,那么为了绕过Windows用户帐户控制(UAC)�,�,,�,,攻击者则会使用上面提到的DLL挟制手艺�。�。�。�。�。。�。但在这种情形下�,�,,�,,使用的是Windows系统文件%systemdir%\migwiz\migwiz.exe和库文件cryptbase.dll�。�。�。�。�。。�。
别的�,�,,�,,攻击者在一些系统中还装置了另一个远程治理适用程序RemoteUtilities�,�,,�,,它提供了比RMS或TeamViewer更强盛的功效集来控制受熏染的盘算机�。�。�。�。�。。�。其功效包括:
远程控制系统(RDP)
从受熏染的系统下载文件或上传文件到受熏染系统
控制受熏染系统的电源
远程治理正在运行的应用程序的历程
远程shell(下令行)
治理硬件
屏幕截图和录制屏幕
通过毗连到受熏染系统的装备录制音频和视频
远程治理系统注册表
攻击者使用了RemoteUtilities的修改版本�,�,,�,,使得他们能够在用户不知情的情形下执行上述操作�。�。�。�。�。。�。
在某些案例中�,�,,�,,除了cryptbase.dll和RemoteUtilities之外�,�,,�,,攻击者还装置了Mimikatz适用程序�。�。�。�。�。。�。我们以为�,�,,�,,若是第一个受熏染的系统没有装置财务数据处置惩罚软件�,�,,�,,那么攻击者则会装置Mimikatz�。�。�。�。�。。�。Mimikatz适用程序被攻击者窃取企业员工的身份验证数据�,�,,�,,并获取对企业网络中其他盘算机的远程会见�。�。�。�。�。。�。攻击者使用这种手艺会给企业带来很大的威胁:若是他们乐成获取到了域治理员帐户的凭证�,�,,�,,那么他们则可以控制企业网络中的所有系统�。�。�。�。�。。�。
攻击的目的
凭证KSN的数据�,�,,�,,在2017年10月到2018年6月时代�,�,,�,,约莫有800属于工业企业的员工盘算机被本文中形貌的恶意软件所攻击�。�。�。�。�。。�。
在2017年10月到2018年6月时代被攻击的盘算机数目(按月统计)
据我们预计�,�,,�,,俄罗斯至少有400家工业企业成为了这次攻击的目的�,�,,�,,涉及到以下行业:
制造业
石油和自然气
冶金
工程
能源
制作
矿业
物流
基于此�,�,,�,,可以得出结论�,�,,�,,攻击者并不专注于任何特定行业或领域的企业�。�。�。�。�。。�。与此同时�,�,,�,,他们的活动清晰地批注晰他们专注于破损属于工业企业的系统�。�。�。�。�。。�。网络犯法分子的这一选择可能是由于工业企业的网络威胁意识和网络清静文化远不如其他经济领域(如银行或IT公司)的企业�。�。�。�。�。。�。另外�,�,,�,,正如我们早前所提到的那样�,�,,�,,工业企业与其他领域的企业相比更习惯于在其账户上举行涉及大宗资金的操作�。�。�。�。�。。�。这些都使得它们成为关于网络罪犯而言更具吸引力的目的�。�。�。�。�。。�。
(泉源:FreeBuf.COM)
京公网安备11010802024551号