概述
近期金山毒霸鹰眼情报中心,在内存防护数据中监测到针对缅甸地区特定人群的窃密样本。通过关联溯源,发现其2021年就已经有相关活动轨迹。样本发起攻击后,通过伪装为硬盘盘符图标的Loader释放启动含有赛门铁克数字签名的宿主程序,通过Dll Sideloading技术加载恶意模块SHELLSEL.ocx,随后恶意模块对payload解密进行内存加载,对目标实施监控。
传播方式:
样本伪装的缅甸政府通知或相关活动通知文件以鱼叉攻击形式向相关政务人员投递。主要以新冠疫情以及相关政府活动通知等文件形式。诱导目标打开指向网盘或附件形式的病毒程序。诱导启动后,样本会以蠕虫病毒形式感染可移动设备,企图依靠可移动设备进行二次传播。
攻击目标:
样本主要针对缅甸地区的政府相关工作人员及外交使团等特定人群进行定向攻击。
正文
该样本目前仍在更新中,其Loader和攻击载荷也在不断迭代,行文以2022年样本为蓝本。样本伪装成盘符图标,启动后创建含有数字签名的Symantec.exe,通过其加载恶意模块SHELLSEL.ocx,通过SHELLSEL.ocx部署最终恶意载荷2.dat。基本流程如下:
伪装宿主
此部分通常为delphi语言编写,伪装为盘符图标,通过鱼叉途径首次传播时,命名多为SymantecHp.exe,后通过U盘等渠道传播时,名称多伪装为U Disk(xxGB)。宿主运行后主要负责部署后续的Symantec.exe、SHELLSEL.ocx等模块。宿主通过启动批处理调起后续攻击流程。
Symantec.exe
此文件隶属于赛门铁克公司,含有有效的数字签名,由于对内部模块加载并未校验,被攻击者利用,通过Dll Sideloading技术,对安全软件进行绕过,加载恶意模块。本例中被加载的恶意模块为SHELLSEL.ocx,除此之外,命名为LDVPOCX.OCX、SRVCON.OCX、CLNTCON.OCX、LDVPTASK.OCX也同样可以被加载。
使用鹰眼情报中心高级搜索可以检索到同类使用Dll Sideloading技术的恶意模块。
SHELLSEL.ocx
此模块用于部署最终攻击载荷2.dat,从模块残留的部分代码看,此模块早期直接包含远控功能代码,后期迭代过程中,逐步将攻击载荷与加载模块进行分离,躲避杀软查杀及情报收集。通过Symantec.exe加载SHELLSEL.ocx执行导出函数DllRegisterServer后,开始读取2.dat并解密,最后通过反射加载方式运行解密的内存远控模块。
payload(2.dat)
SHELLSEL.ocx采用debug模式编译,加入了大量的垃圾代码,通过分析还原,解密出其反射加载的内存模块。解密算法如下:
def decryptpayload(key,endata):
dedata = bytearray()
keyindex = 0
for enbyte in endata:
keyindex = keyindex if keyindex < len(key) else 0
keybyte = key[keyindex]
dedatabyte = keybyte ^ enbyte
dedata.append(dedatabyte)
keyindex += 1
return bytes(dedata)
if __name__ == '__main__':
fpayload = open("2.dat", "rb")
payloadbuf = fpayload.read()
fpayload.close()
keylen = payloadbuf.find(0x0)
key = payloadbuf[0:keylen]
enbuf = payloadbuf[keylen+1:]
newfilebuf = decryptpayload(key, enbuf)
fmemdll = open("memdll.dll", "wb")
fmemdll.write(newfilebuf)
fmemdll.close()
解密后的payload与PlugX远控有一定的相似度,payload由部署执行后,解密C2地址与154.204.27.181、103.56.53.120、 176.113.69.91通讯,进行远控上线。
payload核心包括以下功能
-
修改防火墙规则
-
svchost.exe傀儡进程转移
-
计划任务、注册表持久化
-
可移动磁盘传播
-
文件管理
-
进程管理
-
注册表管理
-
文档类型文件收集
-
系统日志清理
部分功能代码片段如下:
总结
近年来定向攻击安全事件越演愈烈,此类攻击只针对特定群体,鱼叉攻击内容迷惑性较高。在内存防护数据中属于长尾数据,不易发现。对运行环境检查比较严格,使用知名安全厂商的宿主程序加载恶意模块,载荷与宿主分离,多段式加载,payload云端动态编译等诸多手段对安全工具进行规避。但技术再高超的攻击,也并非无迹可寻。提升终端行为回溯能力、可疑内存行为预警,可以有效追踪此类样本。除此之外也需要提升相关人员的整体安全意识,防患于未然。
目前鹰眼威胁情报平台已支持相关情报检索 ,毒霸客户端已支持本文相关恶意模块的查杀。
IOC
C2
154.204.27.181
176.113.69.91
103.56.53.120
ATT&CK 战术
原文始发于微信公众号(鹰眼威胁情报中心):寓浊于清:针对缅甸特定人群的定向攻击