• <span id="oqvfj"></span>

  • <span id="oqvfj"><output id="oqvfj"><b id="oqvfj"></b></output></span><optgroup id="oqvfj"><em id="oqvfj"><pre id="oqvfj"></pre></em></optgroup>

    <optgroup id="oqvfj"><em id="oqvfj"><del id="oqvfj"></del></em></optgroup>
    <span id="oqvfj"><sup id="oqvfj"></sup></span>
    <legend id="oqvfj"></legend><optgroup id="oqvfj"><em id="oqvfj"><del id="oqvfj"></del></em></optgroup>
    <acronym id="oqvfj"></acronym>
  • <ol id="oqvfj"></ol>

    歡迎來到興華永恒!加入收藏設為首頁
    您當前所在位置:首頁 > 技術專欄 > 專業發布
    技術專欄

    綜述:

    2016年8月8日,卡巴斯基和賽門鐵克相繼披露出一個長期對中國、俄羅斯等國進行APT攻擊的組織——ProjectSauron也被稱作索倫之眼。ProjectSauron至少在2011年10月起就一直保持活躍。此前,該團伙一直行事低調,其目標主要為國家情報部門所關注的政府機構、民生企業和個人。


    綜述.png


    該組織攻擊目標時使用了一種名為“Remsec”的高端惡意軟件。

    Remsec工具是一款技術含量特別高的遠程控制軟件,主要用來暗中監視和控制目標。這種軟件能夠在受感染計算機上打開后門,記錄用戶點擊的按鍵,并盜取相關文件。

    我公司墨俠團隊基于鉆石分析模型,對該攻擊事件進行相關的事件還原和攻擊者分析。

    受害者分析:

    目前興華永恒團隊諦聽APT防御系統監測到該組織對全球多個國家的多個行業發起攻擊。


    受害者分析1.png


    已知攻擊包括20多個針對俄羅斯的攻擊,40余起針對中國的攻擊,針對比利時大使館的攻擊和瑞典某公司的攻擊。同時包括伊朗、盧旺達以及幾個意大利語系國家。


    受害者分析2.png


    技術能力分析:

    一.Remsec遠程控制技術分析

    這里針對某一個遠程控制樣本進行分析。

    樣本名:Backdoor.Remsec.server.exe

    MD5  234e22d3b7bba6c0891de0a19b79d7ea

    Hash  9214239dea04dec5f33fd62602afde720b71d2d2

    文件大?。?/span> 135168 字節

    樣本通過 MSAOSSPC.DLL裝載硬盤文件,并執行。硬盤上的文件是一種特殊格式BLOB,并通過“0xBAADF00D”進行加解密。

    加載路徑c:\System Volume Information\_restore{ED650925-A32C-4E9C-8A738E6F0509309A}\RP0\A0000002.dll

    獲取啟動參數,這個啟動參數在該樣本中并沒有起到太大作用,需要其他輔助增加參數完成具體攻擊行為。

    blob.png

    參數識別,并將獲取的參數存入重新分配的內存中


    blob.png


    判斷是不是pe結構,并開始查找pe的區塊,找到bin區塊之后返回bin區塊的首地址


    blob.png


    動態加載該程序,初始階段有明顯的脫殼函數調用。

    這里動態解析pe,并修正導入表


    blob.png


    調用rsaenh.dll交互的進行加密,rsaenh.dll是微軟Microsoft增強加密服務相關文件,用于128位加密


    blob.png


    分配一段bin區塊大小的內存存放加密過的shellcode


    blob.png

    blob.png


    加載kernel32,主要是為了獲取kernel32模塊的首地址


    blob.png


    Shellcode中循環解密字符串,獲取api地址。


    blob.png


    獲取api函數地址后保存


    blob.png


    blob.png

    blob.png


    循環解密兩次之后有一個crc檢測,當檢測到被調試或者下斷點便直接退出返回。

    在解密之后啟用遠程鏈接的命名管道同時創建線程來配合管道命名,該命名管道可以實現對任意文件的讀寫刪除,接受遠程命令等操作。

    同時還有遠程加載pe文件行為,實現無實體惡意代碼的運行。

    綜合各種分析發現,remsec遠程控制軟件具備多種高級特性:

    l  Remsec的強大功能

    Remsec適用于所有的x64和x86 Microsoft Windows操作系統。由于Remsec采用獨特的插件系統,插件用Lua語言編寫,這種lua插件可自定義配置,從特定機器中獲取特定數據文件,能便捷的進行網絡操作,完成各種網絡任務。同時該平臺具備數十種插件,能支持從類似ls命令到keylog,hashdump的全系列工具插件。

    l  Remsec的偽裝術

    “Remsec”遠程控制軟件自身只是一個平臺,不具備特殊功能,所有的功能都通過內存加載,減少了使用了自身的行為特征。它還使用一種Lua模塊技術,多種操作通過Lua語言是實現。另外,我們還發現,Remsec 惡意文件根據每臺機器安裝的軟件不同,偽裝成不同軟件的不同組成部分,如下圖所示:


    blob.png


    remsec偽裝進程列表

    Remsec 偽裝的文件多種多樣,包括像卡巴斯基、賽門鐵克這種殺毒軟件,同時也有諸如微軟補丁文件、VmWareTools更新文件。有趣的是,Remsec偽裝的kavupdate.exe文件即是卡巴斯基殺毒軟件的進程文件,同時也是國產迅雷安全組件的必要文件。


    blob.png


    偽裝迅雷/卡巴斯基升級文件




    l  特殊的上線技術

    Remsec遠程控制軟件使用特殊的技術上線,在這里發現的有DNS方式上線和mail方式實現數據傳輸。這兩種傳輸技術在遠程控制軟件中都不多見。

    一個叫“DEXT”的插件顯示了DNS隧道數據傳輸。


    blob.png

    Remsc使用特殊的郵件方式進行數據傳輸


    blob.png


    l  虛擬文件技術

    Remsec木馬VFS具有兩個主要功能,一個是負責竊取數據保存在本地C:\System Volume Information\_restore{ED650925-A32C-4E9C-8A73-8E6

    F0509309A}目錄下,以bka*、da、~*.tmp等方式存儲。


    另一功能是連接外部通信,將竊取的數據通過自己本地服務器發送出去,不過木馬在完成以上兩個功能后,由于木馬本身的設計缺陷,木馬并沒有將緩存文件刪除干凈。

     

    綜上可以看到,該遠程控制軟件具備很多特殊的高級特征和特殊功能,絕不是普通的黑客個人或小團體所能有能力開發使用的。


    二.內網拓展能力分析

    該組織使用了多種特殊的攻擊方式進行內網拓展。從木馬偽裝位置和功能上就可以看出,在內網拓展中秘密收集各種用戶密碼和機密文件。

    blob.png

    該APT攻擊團隊,會通過網絡滲透控制目標內網系統中的域服務器,以域服務器為重要攻擊目標。獲取相應權限之后,再通過被控制的服務器進行橫向移動,攻擊內網系統中的其他設備和終端。獲取到想要的目標數據。

    三.0day使用能力

    在所有的攻擊中,各大廠商都未報道發現相關了0day攻擊漏洞,都只發現了被方式remsec控制型后門的攻擊結果,未能發現攻擊過程。由此推測,該組織一定具備較多的0day資源,使用較多的0day工具、較好的攻擊技能和特殊的隱藏技術才能實現這種效果。

    四.非聯網數據獲取能力

    遠程控制軟件可以使木馬跳出隔離的網絡實現繼續控制。其原理在于USB磁盤分區有一塊預留空間,木馬利用這塊USB磁盤空間,感染USB驅動,秘密寫入執行指令,一旦目標網絡系統不能使用,攻擊者等待USB驅動器繼續控制被感染的機器。 






    在線咨詢 周一至周五
    09:00-18:00
    亚洲一区二区三区香蕉_国产成人AV国语在线观看18_婷婷五月中文字幕有码_中文字幕在线精品视频