通过分析从C&C服务器上获得到的代码,我们获得到木马软件正在攻击的一个组织列表,其中包括了Cisco。通过对C&C服务器数据库(9月份4天的数据)的审查,我们可以确认至少20台受害者的机器下载第二阶段有效载荷并执行其它恶意软件。下面是攻击者试图攻击的域名列表,这些域名中包含了思科的域名(Cisco com)以及其他高知名度的科技公司。 技术细节 Web服务器 从C&C服务器获得到的Web目录中包括了许多PHP文件,这些PHP文件负责控制与受感染系统的通信。攻击者运用符号链接将请求“index.php”的所有正常流量重定向到包含恶意PHP脚本的“x.php”文件,具体如下图所示: 下面的信息是从受感染的系统收集的,攻击者往往依靠这些数据来确定如何处理这些受感染的主机,这些数据包括操作系统的版本信息,系统架构信息,用户是否拥有管理员权限以及与系统相关的主机名和域名。 MySQL数据库 C&C服务器的MySQL数据库中一共有两个表:一个表描述了所有与服务器进行通信的机器,另一个描述了所有接收第二阶段有效载荷的机器,这两个表中保存的数据项的日期都在9月12号至9月16号之间。通过分析数据表我们发现超过700000台机器在这段时间与C&C服务器有过通信,超过20台机器接收了第二阶段的有效载荷。 在恶意软件执行期间,恶意软件会定时与C&C服务器通信,并发送有关受感染系统的系统信息。这些信息包括IP地址、在线时间、主机名、域名、进程列表以及更多信息等。攻击者很可能会利用这些信息来确定在攻击的最后阶段应该运用哪些机器。 连接数据储存在“Server”表中。 以下是该数据库表中Talos主机的示例: 与“Server”数据库表分开储存的第二个数据库表中包含了一个数据集,该数据集与第2阶段接收到有效负载的系统相关。该表与“Server”数据库中的表结构比较相似,其结构如下所示: 第2阶段的有效载荷 geesetup_x86.dll是第2阶段的安装程序,此安装程序首先检查操作系统的版本,然后释放一个32位或64位版本的木马工具。x86版本运用tsmsisrv.dll木马工具,该工具运用与CCleaner后门工具相同的方式释放virtcdrdrv。x64版本运用efacli64.dll木马工具释放木马文件并命名为symefa,该名称来自于合法的可执行文件Symantec Endpoint中的一部分,他们还在恶意软件中打包了一个合法的二进制程序。此外,安装程序将一个编码的PE文件放入注册表中: HKLM\Software\Microsoft\Win NT\CurrentVersion\WbemPerf\001 HKLM\Software\Microsoft\Win NT\CurrentVersion\WbemPerf\002 HKLM\Software\Microsoft\Win NT\CurrentVersion\WbemPerf\003 HKLM\Software\Microsoft\Win NT\CurrentVersion\WbemPerf\004 这样做的目的是想在注册表中解码和执行此PE文件,该PE会对其他C&C服务器执行查询操作,并执行内存中的PE文件。这可能使某些系统的检测复杂化,因为可执行文件不会直接储存在文件系统上。注册表中是一个由木马病毒文件执行的轻量级的后门模块,这个后门会从github.com或WordPress.com上获得一个IP地址,并从该IP地址上下载一个PE模块运行,具体如下图所示: 结合卡巴斯基研究人员和Talos小组的分析,Cleaner事件当中发现的种种证据同Group 72这一网络间谍组织连接起来,虽然现在并不确定这一切的幕后黑手就是Group 72黑客组织,但二者确实共享部分代码,如下图所示: 左边: 2bc2dee73f9f854fe1e0e409e1257369d9c0a1081cf5fb503264aa1bfe8aa06f (CCBkdr.dll) 右边: 0375b4216334c85a4b29441a3d37e61d7797c2e1cb94b14cf6292449fb25c7b2 (Missl backdoor - APT17/Group 72) 供应链攻击在速度和复杂性方面似乎都在增加,但安全公司在对待尚未完全了解的安全事件在严重程度上经常被淡化,这可能不利于保护受害者的利益。因此作为安全公司,我们必须认真对待这些攻击。在这个特殊的例子中,一个相当复杂的攻击组织规划了一个系统,该系统似乎专门针对科技公司,通过运用供应链攻击给大量的受害者造成损害,并希望在目标网络的计算机上放置一些有效载荷。 Indicators of Compromise (IOCs) dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83 (GeeSetup_x86.dll) 128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f (EFACli64.dll) 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902 (TSMSISrv.dll) f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a |