Buhtrap黑客组织最新0day漏洞分析

Track-1   ·   发表于 2019-7-25   ·   漏洞文章

一直以来Buhtrap组织以其针对俄罗斯的金融机构和企业而闻名。在我们的跟踪过程中,发现并分析了该组织的主要后门以及其他工具。

自2015年底以来,该组织变为以经济利益位目的的网络犯罪组织,其恶意软件出现于东欧和中亚进行间谍活动中。

2019年6月我们第一次发现Buhtrap使用0day攻击作。 同时我们发现Buhtrap在攻击过程中使用了本地提权漏洞CVE-2019-1132。

在Microsoft Windows中的本地权限提升漏洞利用的是win32k.sys组件中的NULL指针取消引用产生的问题。 该漏洞发现后就已经向Microsoft安全响应中心报告,该中心及时修复了漏洞并发布了补丁。

历史活动

下图中的时间表体现了Buhtrap活动中一些最重要的发展节点。

https://image.3001.net/images/20190712/1562916766_5d28379ecc17a.jpg

在他们的工具在网上开源的时期,很难把该组织的活动和网络攻击行为联系在一起。 然而,由于该组织在目标的转变后发生了源代码泄漏的问题,我们迅速高效的分析了该组织攻击的恶意软件,明确了该组织针对的企业和银行目标,同时确认了该组织参与了针对政府机构的攻击。

尽管新的工具已经添加到他们的武器库中并且替换了旧版本,但是不同时期的Buhtrap活动中使用的策略、技术和程序并没有发生显着变化。 他们主要通过恶意文档作为载体,并广泛使用NSIS安装程序作为droppers。 此外,他们的一些工具会使用有效的代码签名证书进行签名,并利用已知的合法应用程序来作为攻击载体。

用于传递攻击载荷的文件通常为设计好的钓鱼文件,以避免在受害者打开时产生怀疑。对这些钓鱼文件为我们的分析提供了可靠的线索。 当Buhtrap目标为企业时,钓鱼文件通常是合同或发票。 下图是该组织在2014年攻击行为中使用的通用发票的示例。

https://image.3001.net/images/20190712/1562917495_5d283a77ca265.png

当该组织将目标对准银行时,钓鱼文件通常与金融系统法规或Fincert的咨询有关,Fincert是俄罗斯政府创建的一个组织,为其金融机构提供帮助和指导。

https://image.3001.net/images/20190712/1562917644_5d283b0cce0b8.png

因此,当我们第一次看到与政府行动有关的钓鱼文件时,我们立即开始跟踪这些行为。2015年12月,发现了第一批恶意样本,它下载了一个NSIS安装程序,该安装程序的作用是安装buhtrap后门,钓鱼文档如下图:

https://image.3001.net/images/20190712/1562917774_5d283b8ed84cf.png

文本中的URL很有特点, 它与乌克兰国家移民局网站dmsu.gov.ua非常相似。 该文本以乌克兰语要求员工提供他们的联系信息,尤其是他们的电子邮件地址,还试图说服他们点击文本中的恶意链接。

这是我们遇到众多恶意样本中的第一个,这些样本被Buhtrap组织用于攻击政府机构。 我们认为另一个更近期的钓鱼文件也是由Buhtrap组织设计的,如图所示这个文件可以吸引与政府相关的另一类群体。

https://image.3001.net/images/20190712/1562917965_5d283c4d3922b.png

0day攻击分析

该组织在0day攻击中使用的工具与其用于企业和金融机构的工具非常相似。 我们分析的第一批针对政府组织的恶意样本哈希为2F2640720CCE2F83CA2F0633330F13651384DD6A。 此NSIS安装程序下载包含Buhtrap后门的常规包,并显示如上文提到的2015年12月的钓鱼文档。

从那以后,我们看到了针对这一政府组织群体的多次攻击。 攻击中经常使用漏洞来提升权限,以便安装恶意软件。 他们利用了旧的漏洞,如CVE-2015-2387。他们最近使用的0day也采用了相同的模式:利用漏洞以最高权限运行恶意软件。

多年来,该组织使用了具有不同功能的软件包装。 最近,我们发现并详细分析了两个全新软件包,因为它们与该组织典型的工具集相比发生了变化。

钓鱼文档包含一个恶意宏,启用后会删除NSIS安装程序。NSIS安装程序的任务是安装主后门。 但是此NSIS安装程序与此组织早期使用的版本不同, 它更简单,仅用于设置并启动嵌入其中的两个恶意模块。

后门分析

第一个模块,称为“抓取器”,是一个独立的密码窃取程序。 它尝试从邮件客户端,浏览器中获取密码,并将它们发送到C&C服务器。 此模块使用标准Windows API与其C&C服务器进行通信。

https://image.3001.net/images/20190712/1562919836_5d28439cd6e6d.png

第二个模块是我们从Buhtrap操作人员得到的:一个包含合法应用程序的NSIS安装程序,将用来安装Buhtrap主后门。利用的是一种免费的反病毒扫描程序AVZ。

Meterpreter和DNS隧道

本文档包含一个恶意宏,启用后会删除NSIS安装程序,该安装程序的任务是准备安装主后门。 安装过程的一部分是设置防火墙规则以允许恶意组件与C&C服务器通信。 接下来是NSIS安装程序用于设置这些规则的命令示例:

```

cmd.exe /c netsh advfirewall firewall add rule name=\”Realtek HD Audio Update Utility\” dir=in action=allow program=\”<path>\RtlUpd.exe\” enable=yes profile=any

```

最终的有效载荷是与Buhtrap传统工具完全不同的东西。 在其正文中加密了两个有效负载。 第一个是一个非常小的shellcode下载器,而第二个是Metasploit的Meterpreter。 Meterpreter是一个反向shell,允许其操作员完全访问被攻击的系统。

Meterpreter反向shell实际上使用DNS隧道与其C&C服务器进行通信。对于防御者来说,检测DNS隧道可能很困难,因为所有恶意流量都是通过DNS协议完成的,而不是常规的TCP协议。 以下是此恶意模块的初始通信片段。

```
7812.reg0.4621.toor.win10.ipv6-microsoft[.]org
7812.reg0.5173.toor.win10.ipv6-microsoft[.]org
7812.reg0.5204.toor.win10.ipv6-microsoft[.]org
7812.reg0.5267.toor.win10.ipv6-microsoft[.]org
7812.reg0.5314.toor.win10.ipv6-microsoft[.]org
7812.reg0.5361.toor.win10.ipv6-microsoft[.]org
[…]```

此示例中的C&C服务器域名模仿Microsoft。 事实上攻击者注册了不同的域名,其中大多数都模仿微软域名。

总结

虽然我们不知道为什么该组织突然转变目标,但它是说明了网络间谍团体与网络犯罪之间界限日益模糊。 目前还不清楚该组织中的一个或几个成员出于什么原因改变目标,但未来会有更多的攻击行为出现。    

##IOC

###ESET检测名称

VBA/TrojanDropper.Agent.ABM
VBA/TrojanDropper.Agent.AGK
Win32/Spy.Buhtrap.W
Win32/Spy.Buhtrap.AK
Win32/RiskWare.Meterpreter.G

###恶意软件样本

Main packages SHA-1:

2F2640720CCE2F83CA2F0633330F13651384DD6A
E0F3557EA9F2BA4F7074CAA0D0CF3B187C4472FF
C17C335B7DDB5C8979444EC36AB668AE8E4E0A72

Grabber SHA-1:

9c3434ebdf29e5a4762afb610ea59714d8be2392

###C&C服务器

https://hdfilm-seyret[.]com/help/index.php
https://redmond.corp-microsoft[.]com/help/index.php
dns://win10.ipv6-microsoft[.]org
https://services-glbdns2[.]com/FIGm6uJx0MhjJ2ImOVurJQTs0rRv5Ef2UGoSc
https://secure-telemetry[.]net/wp-login.php

###Certificates

Company nameFingerprint
YUVA-TRAVEL5e662e84b62ca6bdf6d050a1a4f5db6b28fbb7c5
SET&CO LIMITEDb25def9ac34f31b84062a8e8626b2f0ef589921f

###MITRE ATT&CK techniques

TacticIDNameDescription
ExecutionT1204User executionThe user must run the executable.
T1106Execution through APIExecutes additional malware through CreateProcess.
T1059Command-Line InterfaceSome packages provide Meterpreter shell access.
PersistenceT1053Scheduled TaskSome of the packages create a scheduled task to be executed periodically.
Defense evasionT1116Code SigningSome of the samples are signed.
Credential AccessT1056Input CaptureBackdoor contains a keylogger.
T1111Two-Factor Authentication InterceptionBackdoor actively searches for a connected smart card.
CollectionT1115Clipboard DataBackdoor logs clipboard content.
ExfiltrationT1020Automated ExfiltrationLog files are automatically exfiltrated.
T1022Data EncryptedData sent to C&C is encrypted.
T1041Exfiltration Over Command and Control ChannelExfiltrated data is sent to a server.
Command and ControlT1043Commonly Used PortCommunicates with a server using HTTPS.
T1071Standard Application Layer ProtocolHTTPS is used.
T1094Custom Command and Control ProtocolMeterpreter is using DNS tunneling to communicate.
T1105Remote File CopyBackdoor can download and execute file from C&C server.

*本文作者:Kriston 转载来自FreeBuf


打赏我,让我更有动力~

0 Reply   |  Until 2019-7-25 | 493 View
LoginCan Publish Content
返回顶部 投诉反馈

掌控者 © 2016. All Rights Reserved. 掌控者

Powered by 掌控者 Version 2.1.3