关闭
当前位置:首页 - 中超联赛 - 正文

巩新亮,摩诃草团伙使用共用渠道分发C&C装备进犯活动揭穿-培训机构搞大数据、人工智能培训,培训机构评价一览,智能分析

admin 2019-09-11 296°c

概述

近期,奇安信要挟情报中心红雨滴团队运用揭露秦怡情报发现一个摩诃草团伙的XLSM钓饵文档样本,经过剖析发现其载荷首要经过 Github 和 Feed43获取加密的 C&C 配备。经过相关剖析咱们找到了更多被摩诃草运用的 Github 地址,最早能够追溯到2018年7月,而且到陈述完结时,相关账号仍然在运用。

本文首要对Github上配备文件的解密算法剖析和经过解密的数据总结出侵犯者的一些活动特征。

样本剖析

相关投递的Dropper是一个 XLSM文件,打包时刻是2019年8月8号,上传到VT的时刻是8月13号。该文档是运用CVE-2017-11882缝隙开释MSBuild.exe到%appdata%目录下,经过写Run发动项完结耐久化;经过对侵犯者把握的Github和Feed43账号发布的内容进行读取,解密出C&C,并经过http/https地道通讯。

Dropper样本剖析

该样本被上传到VT的时刻为2019-08-13 05:05:15,详细信息如下:

铃声大全

MD5 0D38ADC0B048BAB3BD91861D42CD39DF 文件名 India makes Kashmir Dangerous Place in feverthe World.xlsm 时刻 2019-08-13 05:05:15

翻开图标后是一个含糊的图片,图片提示点击启用宏的话,会呈现明晰的内容,标题翻我国十大最难明方言译后的内容为:“印度使克什米尔变成世界上最风险的当地”。

图2.1 翻开xlsm后的内容(点击启用宏实际明晰的图片和文字)

其实是明晰的图片上面盖着一个含糊的图片,启用宏的话,会把上面的图片删掉,就会显现下面明晰的图片和文字:

图2.2 宏的内容

经过解包,解出一个ole目标,侵犯者好像不小心把bak的文件也一块打包进去了:

图2.3 侵犯者打包进去的ole目标

经过对ole目标中提取的shellcode剖析,详细功用如下:

1、从shellcode进口偏移0558方位批改PE头(前2个字节加上MZ)

2、把批改后的数据写到“%appdata%\MSBuild.exe”文件

3、写注册表run发动(键值:lolli我国矿业大学北京pop),指向“%appdata%\MSBuild.exe”

1、从shellcode进口偏移0558方位批改PE头(前2个字节加上骆冰MZ)

2、把批改后的数据写到“%appdata%\MSBuild.exe”文件

3、写注册表run发动(键值:lol赞许春天的语句lipop巩新亮,摩诃草团伙运用共用途径分发C&C配备侵犯活动戳穿-训练安排搞大数据、人工智能训练,训练安排点评一览,智能剖析),指向“%appdata%\MSBuild.exe”

图2.4 shellcode批改PE头

MSBuild.exe剖析

MSBuild.exe被开释到%appdata%目录下,编译时刻为2019年8月8日;编译时刻和本文后边描绘的github上的xml创立时刻符合;详细信息如下:

文件名 MSBuild.exe MD5 0f4f6913c3aa57b1fc5c807e0bc060fc 编译时刻 2019-08-08 14:00:32

该样本的首要功用是经过侵犯者的Github空间和Feed43空间获取C2配备信息,解密后衔接C2完结通讯。

该恶意代码履行起来后,会休眠一段时刻,休眠是经过履行80000次函数来完结的,这样做是为巩新亮,摩诃草团伙运用共用途径分发C&C配备侵犯活动戳穿-训练安排搞大数据、人工智能训练,训练安排点评一览,智能剖析了逃避沙箱的检测:

图3.1 循环履行函数到达休眠的意图

然后经过衔接“”判别网络联通性;再经过2个配备地址来获取C2的配备文件的信息(2个更稳妥),2个配备地址的加密算法为单字节加1,经过解密获取到C2的配备文件的地址:

配备源 解密后的字符串 Feed43配备地址 Github配备地址

图3.2 解密2个配备地址

侵犯者运用的这个Github账号的创立时刻为2019年8月7号和样本的编译时刻符合:

图3.3 侵犯者的github主页

侵犯者运用的Github的配备信息是从一个很常见的xml配备文件中插入了一个“deion”键,该键里寄存的是侵犯者加密后的C2:

图3.4 Github配备文件内容

依照上图的格局,取出来两个中括号中心的base64编码的数据,然后解密,解密的过程为先base64解码,然后__ROL1__((v11 + 16 * v9) ^ 023, 3),然后再base64解密,最终逐8字节blo巩新亮,摩诃草团伙运用共用途径分发C&C配备侵犯活动戳穿-训练安排搞大数据、人工智能训练,训练安排点评一览,智能剖析wfish解密(老版别的省去blowfish解密这一步);密钥(16进制):

解密出C2地址为:139.28.38.236,选用http或许https地道的方法通讯:

图3.5 C2的解密算法

然后会搜集一些中招机器的信息,填充到以下字段中,然后经过aes加密后做base64编码发送出去:

字段名 内容 uuid GetCurrentHwProfile获取的机器码 un 体系的一些信息 cn 电脑名 on 操作体系版别 lan Ip列表 nop 空 ver 远控版别,这里是1.0

然后进入while循环,会依据http回来的数据去判别要履行的内容;URI和功用如下:

URI 功用 /e3e7e71a0b28b5e96cc492e636722f73/4sVKAOvu3D/ABDYot0NxyG运单号查询.php 上线、消巩新亮,摩诃草团伙运用共用途径分发C&C配备侵犯活动戳穿-训练安排搞大数据、人工智能训练,训练安排点评一览,智能剖析息行列 /e3e7e71a0b28b5e96cc492e636722f73/4sVKAOvu3D/UYEfgEpXAOE.php 上传数据

图3.6 循环创立线程并接纳音讯

下表为收到的token和服务端要履行的功用的对照表:

Token 功用 0 退出 8 上传键盘记载的文件 23 上传截屏的文件 13 上传搜集的特定后缀的文件列表 5 上传本地文件到服务器 33 从一个url中提取exe链接并下载履行

侵犯者经过下发指令把一些履行命令后的缓存文件上传到C&C服务器上;下表为缓存的文件和记载的内容的对照表:

文件名 记载的内容 9PT568.dat截教逍遥 uuid TPX498.dat 键盘记载的文件 TPX499.dat 截屏文件 AdbFle.tmp 侵犯者指定的待取的受害者文件 edg499.dat 特定后缀的文件列表:(”.txt”,”.doc”,”.xls”,”.xlsx”,”.docx”,”.xls”,”.ppt”,”.pptx”,”.pdf”)

该木马会搜集一些特定后缀的文件列表,寄存到本地文件中,并上传到C2服务器:

图3.7夜神 搜集特定文件后最的文件列表

数据剖析

经过相关剖析,咱们发现该安排保管在 Github 上的一共44个配备文件,提取并经过解密算法解密出一切的C2后,对数据进行剖析,从创立时刻来看,侵犯者最早至少从2018年7月份开始运用,最早创立的账号为2018年7月3日,而且一向连续到2019年8月(文档完结时),从每月创立次数来看,2018年7月的创立次数远超于后续,而且2018年7月-9月的创立数高于后续,咱们结合数据散布给出如下合理估测:

侵犯安排或许在2018年7月-9月安排了一次集中性的侵犯活动;

侵犯安排或许选用需求时才创立的方法,当样本替换或相关更新 Github 链接被封堵后才进行新账户的创立。

侵犯安排或许在2018年7月-9月安排了一次集中性的侵犯活动;

侵犯安排或许选用需求时才创立的方法,当样本替换或相关更新 Github 链接被封堵后才进行新账户的创立。

图4.1 侵犯者活泼月份散布图

提取一切的侵犯者注册的Github用户名如下,咱们能够发现其创立的 Github 用户名首要以人的姓氏称号拼接和改变而成,结合其命名改换的特色,或许由多个侵犯者别离完结,且其间多个ID在交际媒体能够查找到,且大多坐落印度和巴基斯坦

依据Github的目录名喜爱用test等字样的目录名,其间还包含了 Android、Mobile 等关键词,或许用于 Android 手机的侵犯样本中。

运用的C2的IP首要散布在乌克传l姓小鲜肉吸毒兰,我国发现2个IP地址:

图4.2 C2地址散布图

依据对Github中xml的创立时刻进行计算,得下表(横轴是UTC+0的时刻,纵轴是呈现的次数)。

图4.3 侵犯者24小时活泼散布图

总结

在剖析中,咱们也发现在其 XML 配备文件中留传的feeds.rapidfeeds.com相关链接也曾在卡巴斯基的相关陈述中提及(见参阅链接),也印证了摩诃草团伙在曩昔一向在更新其 C&C 配备的获取通道,并连续了其曩昔的解密算法和相关 C&C 链接特征。

此外,在网络战的视点,印巴抵触,因克什米尔的疆域胶葛抵触数十载,包含此前南亚APT安排Donot、Bitter,运用克什米尔之音作为钓饵针对巴基斯坦建议侵犯,南亚APT团伙TransparentTribe,运用恐怖袭击克什米尔为主题针对印度建议侵犯,种种交手都证明了网军将会是网络战中,为保卫国家主权,一起探听军情的重要一环。

而印度企图废弃印控克什米尔这一行动,无异于将引爆两国对立,截止本文宣布日期,两边交火以致数名战士逝世,而在网络侵犯方面,侵犯热度将会继续升温。而此前,南亚APT团伙摩诃草、Bitter、Donot曾多次针对我国建议侵犯,且近期侵犯仍有上升趋势,中方必然要严加防卫。

奇安信要挟情报中心必然为客户第一时刻供给最新的侵犯意向,帮忙政企抵挡外敌网络侵略。现在奇安信旗下一切侵犯检测类产品,包含天眼高档要挟检测体系、天擎终端安全办理途径、NGSOC/态势感知体系等,现已支撑对相关要挟的检测和处置。

IOCs

C2:

139.28.38.236

AES密钥:

DD1876848203D9E10ABCEEC07282FF37

BlowFish密钥:

F0E1D2C3B4A5968778695A4B3C2D1E0F0011223344556677

主机名:

WIN-ABPA7FG820B

C2:

139.28.38.236

AES密钥:

DD1876848203D9E10ABCEEC07282FF37

BlowFish密钥:

F0E1D2C3B4A5968778695A4B3C2D1E0F0011223344556677

主机名:

WIN-ABPA7FG820B

提取到的C2信快播看片息

C2 时刻 github用户名 2018-07-03T05:19:43 y4seenkhan 2018-07-03T05:29:balcony54 hazkabeeb 2018-07-04T12:45:13 Zunaid-zunaid1 2018-07-04T14:39:00 Zunaid-zunaid1 185.82.217.200/@lb3rt/dqvabs.php 2018-07-04T20:46:50 Zunaid-zunaid1 185.82.217.200/N3wt0n/dqvabs.php 2018-07-04T22:01:40 aleks0rg0v 2018-07-05T10:43:25 Vldir 2018-07-05T20:30:57 Alaeck 2018-07-07T巩新亮,摩诃草团伙运用共用途径分发C&C配备侵犯活动戳穿-训练安排搞大数据、人工智能训练,训练安排点评一览,智能剖析12:10:04 yamichaeldavid 2018-07-10T16:26:55 habre巩新亮,摩诃草团伙运用共用途径分发C&C配备侵犯活动戳穿-训练安排搞大数据、人工智能训练,训练安排点评一览,智能剖析w 2018-07-10T16:35:49 ehsaankhan 2018-07-11T00:03:07 dawoood 2018-07-11T01:24:49 fangflee 185.156.173.73 2018-07-11T02:47:04 noorhasima 2018-07-11T03:15:07 alfreednobeli 2018-07-11T09:27:55 jahilzubaine 94.156.35.204 2018-07-11T11:23:16 husngilgit 2018-07-11T16:26:29 raqsebalooch 185.203.118.115 2018-07-12T10:19:05 lctst 185.29.11.59 2018-07-13T18:28:04 rehmanlaskkr ?桔%?旵`辚3 2018-07-13T19:33:56 noorfirdousi 185.206.144.67 2018-07-14T12:04:38 rizvirehman 185.36.188.14 2018-08-20T10:58:18 fakheragainfkhr 199.168.138.119 2018-08-24T12:46:00 malikzafar786 199.168.138.119 2018-08-巩新亮,摩诃草团伙运用共用途径分发C&C配备侵犯活动戳穿-训练安排搞大数据、人工智能训练,训练安排点评一览,智能剖析24T12:55:02 malikzasystemfar786 199.168.138.119 2018-08-24T12:57:59 malikzafar786 85.217.171.138 2018-09-01剪纸图片T09:47:20 malikzafar786 85.217.171.138 2018-09-01T09:53:03 malikzafar786 2018-09-01T10:35:34 malikzafar786 199.168.1尿液发黄38.119 2018-09-18T10:34:23 malikzafar786 199.168.138.119 2018-09-18T10:37:49 malikzafar786 193.37.213.101 2018-11-05T11:53:40 a1amir1 178.33.94.35 2018-12-05T12:11:46 malikzafar786 178.33.94.35 2018-12-05T12:38:34 malikzafar786 ;3癬??^a;?筛 2018-12-17T06:50:14 yusufk1 185.29.11.59 2019-01-15T08:03:17 str1ngstr 164.132.75.22 2019-03-01T05:28:04 z00min 193.22.98.17 2019-05-27T05:47:11 alexboycott 91.92.136.239 2019-06-24T1怪物猎人ol1:14:16 imrankha刑侦大唐n713 91.92.136.239 2019-06-24T12:05:21 imranikhan17 185.116.210.8 2019-07-18T10:35:43 chrisyoks 185.161.210.8 2019-07-18T12:10:48 johnhenery12 139.28.38.231 2019-08-07T10斯柯达昕锐:58:56 petersonmike 139.28.38.236 2019-08-08T09:06:03 shaikmalik22 参阅资料

1. https://securelist.com/the-dropping-elephant-actor/75328/

1. https://securelist.com/the-dropping-elephant-actor/75328/

*本文作者:奇安信要挟情报中心,转载须注明来自FreeBuf.COM

标签: 未定义标签
admin 14文章 0评论 主页

  用户登录