关键词:物理隔离|网络|攻击|恶意软件|同源|2系信息|1058|文件|控制指令|攻击者|隔离网模块|并不多|设备|5900|424|受控

海外安全性企业ESET公布了恶意软件Ramsay对于物理隔离

文章内容文件目录

一、情况 三、Ramsay V1系列 四、Ramsay V2系列 五、Retro系列产品和Ramsay系列产品的同源剖析 六、对于防护网络攻击的小结 七、别的的对于围栏网的攻击主题活动 八、依据 九、安全性提议和解决方法 十、附则 1.IOCs

最近,海外安全性企业ESET公布了恶意软件Ramsay对于物理隔离网络的攻击汇报,文中对于该物理隔离网络的一些攻击开展技术性方面的剖析。

一、情况

最近,海外安全性企业ESET公布了恶意软件Ramsay对于物理隔离网络的攻击汇报(见参照连接1)。说白了物理隔离网络,就是指选用物理方法将内部网与外网地址防护,进而防止侵入或数据泄露的风险性的方式方法。物理隔离网络关键用于处理网络安全隐患,尤其是在这些必须肯定确保安全性的信息保密网、云平台和特殊网络,机遇所有选用物理隔离网络。 

根据百度安全威胁情报管理中心的长期性科学研究追踪,该 Ramsay故意文档,跟大家以前追踪的retro系列产品的感柒文本文档软件重合。该波攻击最少从18年就早已刚开始,而且一直不断到现在。其攻击方式也在持续的开展演变,例如感柒的目标从感柒doc文档到感柒exe文件,盗取材料的方法从载入可移动磁盘的扇区到载入文档文件结尾这些。实际上,跟ESET的发觉相近,大家仍未发觉过多真正的可控机,因而大家坚信该架构仍在持续的改善和调节中,临时仍未运用到规模性的攻击主题活动中。 

实际上,除开Retro系列产品和Ramsay系列产品有对于物理隔离网络的攻击外,该犯罪团伙早在2016年就早已刚开始应用Asruex侧门来对于防护网络开展攻击了。Asruex系列产品一样具备感柒doc、pdf、exe等文档的工作能力。对比Ramsay系列产品小有感柒的设备,Asruex系列产品的感柒量就十分极大了,直至现阶段都也有很多的增加设备被感染。自然,该系列产品侧门被觉得是选购的HackTeam的专用工具库。 

本汇报仅对对于物理隔离网络的一些攻击开展技术性方面的剖析,别的的攻击全过程和攻击控制模块没有文中开展探讨和剖析。

二、Retro系列产品

该系列产品的的感柒,大家曾在2019年的文章内容《“寄生兽”的极地行动》(见参照连接2)中就早已简易的公布,开展感柒的控制模块为原始攻击后下达的一个攻击软件:

该次感柒全过程关键有两个控制模块相互配合进行:

docto.exe:开源系统专用工具,用于开展文本文档的格式转化

docto.exe:开源系统专用工具,用于开展文本文档的格式转化

infsvc:感柒可移动磁盘的中的文档文件,促使感柒后的文档为含有CVE-2017-8570系统漏洞(一种Office高风险系统漏洞,亦称“沙虫”二代系统漏洞)的rtf文件

这时,进行感柒的全过程。接下去,当该存在感柒后文本文档的文档,根据可移动磁盘进到到别的机器设备,乃至物理隔离网络后,若运作感柒后的文档文件,便会开启CVE-2017-8570系统漏洞,从而泄漏设备上的比较敏感信息内容。

运作感柒后的文档后,最先会开启脚本制作inteldriverupd1.sct:

脚本制作的作用就为实行最后的故意文档taskhost.exe。该故意文档的关键作用为搜集信息内容,随后载入可移动磁盘的扇区中: 

1) 实行下列指令搜集系统信息存到%allusersprofile%\CommCache\S-{计算机名}.rtt

systeminfo

tasklist /v

netstat -ano

ipconfig /all

arp -a

route print

sc query wlansvc

netsh wlan show all

netsh wlan showprofiles

netsh wlan showinterface

netsh wlan shownetworks mode=Bssid

2) 遍历本地磁盘,将所有文件名称存到%allusersprofile%\CommCache\C-{時间}.rtt

3) 每五分钟手机截图一次,储存到%allusersprofile%\AssemblyDataCache\def{時间}.jpg

4) 数据加密手机截图文档到%allusersprofile%\CommCache\ def{時间}.tmp

搜集完全部信息内容后,会建立%allusersprofile%\CommCache\complete.txt,当检验到complete.txt的情况下,会觉得搜集信息工作早已完毕。刚开始做事后的信息资源管理:

1)将CommCache文件目录重新命名为CommCache_{rand},并转化成CommCache_{rand}.zip

2)持续检验可移动磁盘,将CommCache_{rand}.zip內容立即以读写能力扇区的方法载入硬盘偏位1000000000处,并以HDdE&mE做为标识:

这时,该可移动磁盘上就存在了该机器设备的基本信息。若该可移动磁盘再一次插返回以前被Retro木马病毒攻击的设备处时,这些数据信息便会被载入,随后根据别的的搜集软件,把这种数据信息回传入攻击者的网络服务器上。而在受害人来看,简易应用文件浏览器压根看不到该机器设备储存的密秘数据信息。 

大概的流程表以下:

三、Ramsay V1系列

在2020年的4月初,大家再度发觉了一批含有CVE-2017-8570系统漏洞的文档文件,历经分析研判后,大家发觉该批含有系统漏洞的文本文档跟Retro系列产品感柒后得文本文档存有十分多的类似点。因而大家分辨为,该批文档文件一样为被感染后的物质,一样为攻击物理隔离网络为之,而且为同一攻击犯罪团伙全部。可是缺憾的是,此次大家仍未发觉初始的感柒器文档。

自然跟Retro系列产品感柒后的文档文件对比,该波感柒后的文档,在作用上存有非常大的改善点。而储存感柒设备的信息内容的方法也是有一定的更改。

实行感柒后的文档,一样会开启CVE-2017-8570系统漏洞,实行脚本制作OfficeTemporary.sct:

脚本制作会释放出来locked.ini、config.ini、slmgr.vbs等文档,最后的故意文档关键为%allusersprofile%\Identities\netwiz.exe和%windir%\System32\dpnom.dll。在其中netwiz.exe关键用于搜集设备的信息内容;dpnom.dll关键用于把搜集到的信息内容写到相对的地区储存。

大概的步骤以下:

netwiz.exe搜集的信息内容以下:

1)实行下列指令搜集系统信息存到%allusersprofile%\MediaCache\S-{计算机名}.rtt:

systeminfo

tasklist /v

netstat -ano

ipconfig /all

route print

arp -a

reg queryHKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

2)应用开源系统的powershell脚本制作%appdata%\Microsoft\Word\winword.ps1,把%appdata%\Microsoft\Word\下全部文档文件转化成TXT文档,并把变换后的TXT文档加密拷贝到%allusersprofile%\MediaCache\{rand}.dat;

3)装包下列文件目录全部.lnk文件到\MediaCache\Items_{rand}.db,密码是[email protected]#:

%APPDATA%\Microsoft\Windows\Recent\*.lnk

%APPDATA%\Microsoft\Office\Recent\*.lnk

4)接受Mailslot信息(为dpnom.dll注入的过程为iexplorer.exe,winword.exe时推送的一个信息),当接到信息后储存显示屏到%allusersprofile%\NetCache\def {時间}.tmp;

而dpnom.dll的关键功效为Hook WriteFile涵数,监控器到实际操作的文件为doc的情况下,Hook CloseHandle函数,将%allusersprofile%\MediaCache\中的一个文件额外写到将要关掉的doc文件结尾,流程表为:

载入额外信息后的文件:

%allusersprofile%\MediaCache\便是储存netwiz.exe搜集到的信息的文件文件目录。但是特别注意的是:每一次载入的內容是所述搜集到的信息的文件中任意选择的一个。因而编写doc的频次越多,搜集到的信息也会越大。

因而,当隔离网中的doc文件,伴随着可移动磁盘再度返回转站的设备上的情况下,攻击者一样可以把隔离网络中的设备的信息给传回回来。

特别注意的是,我们在netwiz.exe还发觉了此外一个掩藏的作用,该作用为扫描仪整盘doc、docx文件,检索控制指令,依据控制指令开展相对的实际操作。该作用的目地便是以便进行攻击者对隔离网络中的设备开展操纵。因为在隔离网络中没法开展一切正常的通信网络,因而攻击者以便操纵隔离网中的设备,会在外界下达一个操纵文本文档到中转折上,随后追随可移动磁盘摆渡到隔离网中,因而来进行相对的操纵实际操作。适用的控制指令有:

操纵码 调节信息 作用叙述 Rr*e#R78m3QNU3Sy ExecuteHiddenExe 实行接着的exe文件 CNDkS_&pgaU#7Yg9 ExecuteHiddenDll 释放出来软件Identities\\netmgr_%d.dll并载入 3DWcdSqcv3?(XYqT ExecuteHiddenBat 先后实行接着的cmd指令

作为操纵的文本文档构造以下:

四、Ramsay V2系列

除开发觉被感染的文本文档文件外,大家一样还发觉了被感染的exe文件。因为在文件中存有Ramsay标识符,因而ESET把其取名为Ramsay:

因为跟上边的感柒文本文档文件的版本号,不论是编码、相对路径、作用上面极其相近,因而所属到同一机构。因此把上边的版本号称之为Ramsay V1系列,该版本号称之为Ramsay V2系列。

该系列产品具备感柒整盘exe文件的作用,因而一样具有感柒隔离网络的工作能力。进行感柒作用的控制模块为Identities\bindsvc.exe,该感柒器的姓名跟Retro系列产品中感柒文本文档的取名也极为相近,都以svc.exe末尾。被感染后的文件构造以下:

实行被感染后的文件后,一样为再次感柒该服务器上的别的exe文件,完成蜘蛛的实际效果。除此之外跟上边的Ramsay V1相近,一样会对有关的设备信息开展搜集,随后Hook WriteFile和CloseHandle后,对写doc、docx实际操作情况下,把搜集到的信息写到文本文档的尾端。一样的,也会检索操纵文本文档,对操纵文本文档中的有关命令,开展相匹配的指令实际操作。

这些的作用跟上边V1系列相近,因而已不再次探讨。

五、Retro系列产品和Ramsay系列产品的同宗剖析

除开ESET文章内容中提及的Retro侧门跟Ramsay侧门存有十分多的相近点外,大家发觉感柒后的文件也存有非常多的相近点,包含应用相相近的字符串数组、获得結果都储存在.rtt文件、破译优化算法的相似、作用相似这些: 

获得的信息均储存为S-{计算机名}.rtt

提取的显示屏均储存为def-{時间}.rtt

作用上的不同点以下表所显示:

个人行为较为 Retro plugin Ramsay V1 Ramsay V2 编译程序時间 2018 2019 2020 传播途径 感柒文本文档 感柒文本文档 感柒exe 信息传回相对路径 U盘扇区 文本文档尾端 文本文档尾端 信息储存文件后缀名 .rtt .rtt .rtt cmd指令搜集信息 ✓ ✓ ✓ 获得手机截图 ✓ ✓ ✓ 遍历硬盘文件 ✓ ✓ ✓ 持久化 ✕ ✓ ✓ 是不是接纳控制指令(文件)   ✕ ✓ ✓ 适用软件 ✕ ✓ ✓ 整盘感柒 ✕ ✕ ✓ 内部网检测 ✕ ✕ ✓ 获得IE临时性文件 ✕ ✕ ✓

能够发觉,该专用工具一直在开展升级,且作用愈来愈趋向性强劲和详细。 

特别注意的是,百度安全威胁情报管理中心在今年发布的文章内容(见参照连接3),文章内容中提及的作为进攻孕妈的”网易邮箱高手 ”,那时候大家觉得是根据掩藏一切正常手机客户端的方法,根据水洼来开展原始进攻。可是从现阶段把握的信息来推断,该文件将会一样为感柒后的物质:

自然该依据仅为猜想,临时并无大量的直接证据。因而若存有不正确,劳烦诸位同行业纠正。 

六、对于隔离网络进攻的小结

依据上边的剖析,大家推断攻击者对于物理学隔离网络的感柒步骤大概以下:

1、根据渔叉垂钓、水洼、供应链管理进攻等方法,原始进攻某台曝露在外网地址的服务器;

2、横着渗入某台作为转站(该设备用于外网地址和隔离网络间摆渡文件等作用)的设备上,下达感柒文件(包含文本文档文件、可实行文件等)、搜集信息等故意软件控制模块;

3、在转站设备上监控可移动磁盘并感柒可移动磁盘上的文件;

4、可移动磁盘进到隔离网络。隔离网内的设备若实行被感染的文件,则搜集该设备上的有关信息,并载入可移动磁盘的硬盘扇区或文件的文本文档文件的尾端;

5、可移动磁盘再度插进转站设备处时,转站设备上的别的的故意软件,对可移动磁盘特殊扇区储存的商业秘密信息开展搜集,再回传入攻击者操纵的网络服务器中。

6、除此之外,攻击者还会继续下达作为操纵作用的文件,把有关的命令和系统命令写在操纵文件中,随后根据可移动终端摆渡到隔离网络中,再说分析实行。 

到此,进行对隔离网络的进行感柒全过程。大概的流程表以下:

七、别的的对于隔离网的进攻主题活动

实际上,早在2016年,该进攻犯罪团伙就早已被发觉应用Asruex系列产品侧门,来对于隔离网络开展进攻。Asruex系列产品一样具备感柒整盘文件的工作能力,感柒的文件种类包含doc、pdf、exe等:

相比于Retro和Ramsay系列产品小有感柒的设备,Asruex系列产品的感柒量就十分极大,直至现阶段,每天都也有很多的增加设备被感染:

这般大的感柒量,不一定是攻击者最开始的总体目标,终究高級威协进攻是目的性很强的进攻主题活动,非常少是规模性进行的进攻主题活动。进攻姿势很大,感柒范畴太广反倒非常容易暴露。不利掩藏和事后的进攻主题活动。好在该版本号的C&C网络服务器早早已无效,因而该系列产品的木马病毒对被害设备的伤害并不算太大。 

除此之外,该进攻专用工具库,疑是为Hacking Team所有着:

Asruex的C&C为themoviehometheather.com,该网站域名的申请注册者为[email protected]

该邮箱注册的网站域名中,odzero.net曾被报导是Hacking Team所有着:

并且,该犯罪团伙选购HackingTeam的军火库也并不是初次,卡巴斯基曾报道过有关的新闻报道:

这也跟以前曝出的日本谍报高官由于选购HackingTeam恶意程序而自尽的恶性事件相证实:

八、依据

Ramsay为一个功能齐全的进攻模块,并且该模块一直维持着升级且作用愈来愈健全和完善。好在现阶段发觉的受控设备并不多,但都不清除存有防护互联网中的感柒设备未被发现的状况。 

除此之外,不论是Asruex系列产品還是Ramsay系列产品,该进攻犯罪团伙最少从2016年刚开始就早已对于物理隔离互联网开展目的性的进攻了,而且仍然在持续的开发设计进攻库。因而对于物理隔离互联网的安全性基本建设也是势在必行,干万不可以由于防护互联网中的设备未与外网地址通讯而心存侥幸。

九、安全性提议和解决方法

此次Ramsay恶意程序对于防护网络空间的进攻,其目地是开展各种各样互联网泄密主题活动,网络攻击将搜集到的谍报,立即载入挪动移动存储设备的特殊扇区,并没有该移动存储设备上建立非常容易查询的文档,促使搜集个人行为具有隐秘性。会对税企组织 、科研机构会组成严重危害。百度安全专家认为有关企业参照下列安全防范措施提升防御力,避免黑客攻击提升泄露风险性:

1、根据官方网方式或是靠谱的手机软件派发方式免费下载专业软件,防护网络安装应用的手机软件及文本文档须保证其来源于靠谱; 

2、慎重联接公共的WiFi互联网。若务必联接公共WiFi互联网,提议不必开展将会泄露机密信息内容或隐私保护信息内容的实际操作,如收取和发送电子邮件、IM通讯、银行转帐等;最好是不要在联接公共WiFi时开展必备软件的升級实际操作; 

3、将会联接防护互联网的系统软件,切忌随便开启模糊不清来源于的邮件附件; 

4、必须在防护网络空间应用的移动存储设备设备,必须需注意安全大检查,防止恶意软件根据插进挪动物质散播; 

5、防护互联网也必须布署靠谱的漏洞检测及修复系统,立即安裝漏洞补丁和关键手机软件的补丁下载; 

6、应用腾讯电脑大管家或腾迅御点网络安全审计智能管理系统防御力病毒感染木马病毒进攻; 

7、强烈推荐有关企业布署腾迅T-Sec高級威协监测系统(御界)捕获黑客入侵。御界高級威协监测系统,是根据百度安全防病毒软件试验室的安全性工作能力、借助腾迅在云和端海量信息,产品研发出的与众不同威胁情报和故意检验实体模型系统软件。(https://s.tencent.com/product/gjwxjc/index.html) 

十、附则

1.IOCs

MD5:

92480c1a771d99dbef00436e74c9a927 infsvc.exe

dbcfe5f5b568537450e9fc7b686adffd  taskhost.exe

03bd34a9ba4890f37ac8fed78feac199 bindsvc.exe

URL:

http://themoviehometheather.com

2.参照连接

1) https://www.welivesecurity.com/2020/05/13/ramsay-cyberespionage-toolkit-airgapped-networks/

2) https://s.tencent.com/research/report/465.html

3) https://s.tencent.com/research/report/741.html

猜你喜欢