深层次剖析OilRig的DNS隧道施工木马

2021-01-19 23:46 jianzhan

 

 

 

 

写在前面的话

Unit 42自从2016年5月份刚开始就1直在紧密追踪网络黑客机构OilRig的1举1动。依据大家科学研究人员的观查与发现,从2016年5月份刚开始,这个名叫OilRig的网络黑客机构在其互联网垂钓进攻主题活动中刚开始应用Clayslide文本文档来做为垂钓电子邮件的附件。

最近,大家观查到了1种新版本号的Clayslide文本文档,它的开发设计人员将其称之为“ALMA Communicator”,而OilRig的进攻者可使用Clayslide文本文档在总体目标客户的主机中安裝1种新式的自定木马。这类故意文本文档还能够储存相近Mimikatz之类的后渗入凭据搜集专用工具,而科学研究人员则觉得进攻者引进这类作用的最后目地还包含从总体目标客户的主机中搜集账户凭据信息内容。尽管大家如今都还没拿到详尽的数据信息,可是大家有理由坚信这类进攻主题活动对于的是中东地域1家公共性工作企业的本人客户。

 

新式的Clayslide文本文档

最近出現的全新版本号Clayslide文本文档其运作体制与以前的Clayslide文本文档十分类似,它1刚开始会给客户显示信息1个“兼容问题”的Excel工作中表,并宣称这个Excel文档是应用1个升级版本号的Excel建立的,因而客户必须点一下“开启內容”来查询该文本文档的內容。假如客户点一下了“开启內容”以后,文档会显示信息1个掩藏的工作中表并开启故意宏的运作,而这个掩藏的工作中表格中包括的是进攻者所设定的“鱼饵”內容,掩藏工作中表格中的內容大概以下图所示:

 

当“鱼饵”內容显示信息给客户以后,故意宏会从这个“兼容问题”工作中表格中的某个特殊模块格中刚开始浏览数据信息,并建立1个.HTA文档,随后将其储存至相对路径%PUBLIC%\tmp.hta当中,最终再应用mshta.exe运用程序流程来开启这个文档。这个.HTA文档中包括HTML编码,而这些编码将运作1个VBScript脚本制作并在总体目标客户的主机中运作最后的故意Payload。

故意Payload全过程叙述以下:最先,.HTA会建立1个名叫%PUBLIC%\{5468973⑷973⑸0726F6A656374⑷14C4D412E⑵}的文档夹,随后再向这个文档夹中写入3个文档,这3个文档的文档名各自为:

 

SystemSyncs.exe
m6.e
cfg

.HTA文档中包括两个已编号的可实行文档,接着它会对这两个文档开展解码,并将其写入m6.e和SystemSyncs.exe中。.HTA文档还包括1个Base64编号的配备文档,解码以后便会被写入cfg文档当中,而故意木马以后必须应用这些配备信息内容来获得C2网站域名,并应用它来与��击者开展通讯。在该进攻主题活动当中,储存在cfg文档中的C2网站域名为prosalar[.]com。

SystemSyncs.exe文档(SHA256: 2fc7810a316863a5a5076bf3078ac6fad246bc8773a5fb835e0993609e5bb62e)是1个由OilRig网络黑客机构开发设计出来的自定木马,这个木马便是“ALMA Communicator”,大家待会儿会在接下来的章节中对其开展详尽详细介绍。

.HTA文档所释放出来出来的“m6.e”文档实际上是Mimikatz专用工具的变种版本号(SHA256: 2d6f06d8ee0da16d2335f26eb18cd1f620c4db3e880efa6a5999eff53b12415c)。在此以前,大家曾见到过OilRig网络黑客机构在其后渗入主题活动中应用Mimikatz专用工具来搜集凭据信息内容。可是,这1次是大家第1次发现OilRig机构在进攻的感柒环节就应用Mimikatz专用工具。考虑到到ALMA Communicator的C2通讯作用和特性限定,大家觉得释放出来这1附加专用工具(Mimikatz变种)的便是该机构所应用的Clayslide文本文档,待会儿也会对这一部分內容开展详尽剖析。

.HTA文档中的VBScript负责实行SystemSyncs.exe Payload,而且还会根据建立1个方案每日任务来完成进攻长久化。以前的Clayslide文本文档关键根据schtask运用程序流程(根据指令提醒窗)来建立方案每日任务,而这个.HTA文档中的VBScript应用的是程序编写的方法(应用Schedule.service目标)来建立方案每日任务。请大伙儿看下面这张截图,方案每日任务建立取得成功以后, ALMA Communicator Payload每两分钟就会实行1次(相互配合指令行主要参数“Lock”):

 

 

 

ALMA Communicator木马

ALMA Communicator木马是1款后门木马,它应用了DNS隧道施工来从进攻者那里接受操纵指令并从总体目标主机中提取数据信息。接着,这个木马会从Clayslide文本文档所建立的cfg文档中载入配备信息内容。ALMA中其实不包括內部配备文档,因此假如沒有这个cfg文档的话,该木马就没法一切正常运作了。

在载入完配备文档以后,该木马会建立两个文档夹,即Download和Upload。ALMA应用Download文档夹来储存C2服务器出示的批解决文档,这些文档以后会运作。ALMA应用Upload文档夹来储存批解决文档实行后的輸出,最后这些数据信息会推送给C2服务器。

ALMA Communicator应用了DNS隧道施工来做为其C2通讯信道,这类DNS隧道施工应用了1种独特的协议书,而且应用了专业的子网站域名来给C2服务器传送数据信息,而服务器应用了专业的IPv4详细地址来给木马推送数据信息。

在搭建这类专业的子网站域名时,木马会转化成1个任意的4位数据,并联接1个硬编号标识符串,最终再在标识符串结尾加上1个用于标志受感柒系统软件的唯1标志符。以便转化成这个唯1标志符,该木马会从总体目标系统软件的申请注册表格中获得ProductId,该主要参数坐落于SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId。假如没法寻找这个申请注册表键,它可能应用硬编号值00000-00000-00000-00000。接下来,它还会获得当今系统软件的客户名,后边跟上1个下划线并再加ProductId标识符串。该木马财务会计算这个标识符串的MD5哈希,随后将其做为受感柒系统软件的唯1标志符。最终,它会加上硬编号的-0⑵D⑵D标识符串来完毕子网站域名(用于C2服务器通讯)的结构。下图显示信息的是网站域名的构造:

 

 

以便让大伙儿更清晰地掌握ALMA转化成的唯1标志符,大家假定检测系统软件的客户名和ProductId建立的标识符串为Administrator_00000-00000-00000-00000,其MD5哈希为35ead98470edf86a1c5a1c5fb2f14e02。接下来,该木马会选择MD5哈希中的第1、5、9、13、17、21、25和29个标识符,并将其组成转化成唯1标志符标识符串3d7f11b4。实际以下图所示:

 

 

C2服务器可能应用A纪录中的IPv4详细地址往返应DNS恳求,而木马可能从这些恳求中分析出两个IP详细地址,1个用于标志数据信息传送(C2->木马)的刚开始,1个用于标志数据信息传送(C2->木马)的完毕。这两个独特的IP详细地址以下:

 

刚开始– 36.37.94.33 ($%^!)
完毕– 33.33.94.94 (!!^^)

在大家的剖析全过程中,C2服务器推送给大家的剖析系统软件的数据信息以下所示(“$%^!”和“ !!^^”各自意味着数据信息的起止一部分和结尾一部分):

 

$%^!_DnsInit.bat@echo off & chcp 65001\r\necho
%userdomain%\\%username% 2>&1 & echo %computername% 2>&1 & echo
________________________________Task__________________________________
& schtasks /query /FO List /TN "Google_{50726F6A656374-
414C4D41⑷8747470}" /V | findstr /b /n /c:"Repeat: Every:" 2>&1
& schtasks /query /FO List /TN "Micro_{50726F6A656374-
414C4D41⑷46E73⑵}" /V | findstr /b /n /c:"Repeat: Every:" 2>&1 & echo
______________________________________________________________________   !!^^

根据C2服务器传回的数据信息,该木马会应用数据信息中的指令来建立1个名叫_DnsInit.bat的文档,随后将其储存在Download文档夹中。接下来,该木马会枚举类型该文档夹中的文档名,随后应用批解决脚本制作的相对路径做为指令行主要参数来建立1个cmd.exe过程。在过程刚开始运作以前,该木马还会再加下面这行指令行主要参数:

\r\nDEL /f /q \”%~0\”|exit

下面得出的是该木马在向C2服务器推送数据信息时所应用的DNS查寻句子的构造:

[random 4 digits]ID[unique identifier]-[number of DNS queries needed]-[string of hexadecimal bytes for sent data]-[string of hexadecimal bytes for filename being sent].prosalar[.]com

在其中每次DNS恳求1次只能推送10个字节的数据信息,下面得出的是当检测系统软件运作了_DnsInit.bat脚本制作以后所推送的第1条DNS查寻:

 

 

由此能够看出,ALMA Communicator的C2信道在数据信息传送时有1定的特性限定,假如你想应用ALMA Communicator来提取大中型文档的话,则会造成很多的出境DNS恳求。将会更是由于这个缘故,OilRig网络黑客机构才会挑选运用Clayslide文本文档来携带Mimikatz专用工具并应用它来从受感柒的系统软件中提取数据信息(后渗入环节)。

 

总结

现阶段OilRig网络黑客机构仍在她们的进攻主题活动中应用这类Clayslide文本文档,从大家对当今Clayslide变种的剖析中能够看出,该网络黑客机构如今还在这类文本文档中尝试新的安裝技术性和检验绕开技术性。

 

侵入威协指标值IoC

f37b1bbf5a07759f10e0298b861b354cee13f325bc76fbddfaacd1ea7505e111 (Clayslide)
2fc7810a316863a5a5076bf3078ac6fad246bc8773a5fb835e0993609e5bb62e (ALMA Communicator)
2d6f06d8ee0da16d2335f26eb18cd1f620c4db3e880efa6a5999eff53b12415c (Mimikatz)
prosalar[.]com