123   2  /  3  页   跳转

[产品资讯] 2019年中国网络安全报告

回复: 2019年中国网络安全报告

2. 背景介绍

APT组织“响尾蛇”疑似来自印度,其最早的活跃时间可以追溯到2012年。该攻击有着针对性强,组织严密,持续时间长,高隐蔽性和间接攻击的显著特征,主要针对中国、巴基斯坦等国家进行定向攻击,目的在于窃取政府、能源、军事、矿产等领域的机密信息。

3. 攻击手法简述


“响尾蛇”根据不同的攻击目标制定不同的攻击手法。今年捕获到的这几起事件都针对中国,通过技术分析,发现今年“响尾蛇”针对中国主要采用的攻击手法是:通过发送伪造的和受害者工作或生活等相关的邮件,诱使受害者打开邮件中的附件从而实现APT攻击。邮件的附件一般是带有OLE对象和CVE-2017-11882漏洞的RTF文档,利用Office远程代码执行漏洞(cve-2017-11882)执行开源工具DotNetToJScript生成JavaScript脚本,从而释放和执行自研的木马程序达到远控和窃密等目的。

下述是“响尾蛇”今年针对中国的攻击手法详细介绍,因这几起事件的攻击手法较一致,所以取其中一个样本作为例子。分析的样本取自攻击事件1。
最后编辑麦青儿 最后编辑于 2020-01-15 18:06:21
gototop
 

回复: 2019年中国网络安全报告

4. 技术分析

(1)攻击流程

图:攻击流程


(2)诱饵文档

投递的诱饵文档均会被攻击者在末尾嵌入一个名为“包装程序外壳对象”的对象,对象属性指向%temp%目录中的1.a文件。打开文档会在%temp%目录下释放由JaveScript脚本编写的1.a文件。

图:对象属性


攻击者利用诱饵文档的漏洞CVE-2017-11882触发shellcode执行1.a。

图: shellcode


Shellcode流程如下:通过异或0x12解密出一个JavaScript脚本,该脚本的主要功能是执行%temp%目录下的1.a文件。

图:JavaScript脚本密文


图:解密后的JavaScript脚本


ShellCode会将公式编辑器的命令行参数改成JavaScript脚本,利用RunHTMLApplication函数执行将该脚本执行起来。

图:替换命令行


图:执行JavaScript

最后编辑麦青儿 最后编辑于 2020-01-15 18:08:00
gototop
 

回复: 2019年中国网络安全报告

(3)1.a文件分析

1. a是通过开源的DotNetToJScript工具生成,主要功能是通过JavaScript脚本内存执行.net的DLL文件。该脚本首先解密出StInstaller.dll文件,并反射加载该DLL中的work函数。Work函数对传进来的参数x(参数1)和y(参数2)进行解密,解密后x为PROPSYS.dll,y为随机命名文件V1nK38w.tmp。

图:1.a脚本内容



(4)StInstaller.dll文件分析

StInstaller.dll是一个.NET程序,会创建工作目录C:\ProgramData\AuthyFiles,然后在工作目录中释放3个文件,分别是PROPSYS.dll,随机命名文件V1nK38w.tmp和write.exe.config,并将系统目录下的写字板程序(write.exe) 拷贝到该目录中。运行write.exe(白文件)加载同级目录下的PROPSYS.dll(黑文件), 通过白加黑的手段运行恶意代码。 以下是详细过程:

图:work函数


① 在work函数中调用xorIt解密函数得到3个重要配置数据,分别是工作目录名AuthyFiles,域名 https://trans-can.net和设置的注册表键名authy。

图:解密数据


图:xorIt解密函数


② 创建工作目录C:\ProgramData\AuthyFiles,拷贝系统文件write.exe到工作目录,并将其设置为开机自启动。

图:创建AuthyFiles和write.exe


③ 在工作目录中释放一个随机命名的文件V1nK38w.tmp。
④ 在工作目录中释放PROPSYS.dll,并更新该文件中接下来要加载程序的文件名为V1nK38w.tmp。

图:创建PROPSYS.dll


⑤ 将拼接后完整的url链接:https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5写入V1nK38w.tmp文件中。再将该文件使用EncodeData函数进行加密。

图:创建V1nK38w.tmp文件


图:EncodeData加密函数


⑥ 创建配置文件write.exe.config,防止不同.NET版本出现兼容性问题。

图:创建write.exe.config


图:write.exe.config内容


⑦ 执行C:\ProgramData\AuthyFiles\write.exe,调用恶意的PROPSYS.dll。

图:执行write.exe

最后编辑麦青儿 最后编辑于 2020-01-15 19:00:54
gototop
 

回复: 2019年中国网络安全报告

(5)PROPSYS.dll文件分析


使用DecodeData函数对V1nK38w.tmp进行解密,解密完后加载执行V1nK38w.tmp。

图:加载执行V1nK38w.tmp


图:DecodeData解密函数


(6)SystemApp.dll文件分析

V1nK38w.tmp被解密后为SystemApp.dll,其主要作用是窃取大量信息和接收指令执行。

图:主要行为


① 加载初始配置,配置由资源中的Default解密得到。配置内容是网址,上传文件的暂存目录和窃取的指定文件后缀名(doc, docx, xls, xlsx, pdf, ppt, pptx)。

图:加载配置


图:解密后的Default资源信息


② 将配置使用EncodeData函数加密,存于注册表HKCU\Sotfware\Authy中。

图:在注册表中加密的配置信息


③ 访问指定地址下载文件执行,优先选择配置信息中的网址,如果没有则选择默认网址https://trans-can.net/ini/thxqfL ... Mvr/-1/1291/f8ad26b

图:下载数据


④恶意程序窃取了大量的用户数据信息。它将窃取的信息以json格式整合,数据内容以明文形式存储于%appdata%\AuthyDat目录下后缀为.fls,.flc,.sif,.err的4个文件中,文件命名为:随机字符串+特定后缀。

图:窃取信息文件


∙ 后缀为.sif的文件主要存储的是系统权限信息,系统信息,4个系统目录文件列表,磁盘驱动器信息,系统安装软件列表。

图:后缀.sif存储的信息


系统权限信息的格式为 privileges":{"IsInAdminGroup":"Yes/NO","IsAdminPrivilege":"Yes/NO"}。
受害者机器的系统信息记录格式是: “sysInfo”:{系统信息}。
详细的系统信息如下表所示:

图:系统信息


受害者机器上特殊目录中的文件列表记录格式是:“dirList”:{目录文件列表}。
详细系统目录文件列表如下表所示:

桌面目录文档目录下载文件目录联络人目录

表:文件目录


受害者机器的驱动信息记录格式是:“driveInfo”:{磁盘驱动器信息}。
详细的磁盘驱动器信息如下表所示:

NametypeisReadyTotalSize
FreeSpaceavailableFreeSpacedriveFormatvolumeLabel

表:磁盘驱动器信息


受害者机器上的安装程序列表记录格式是:“installedApps”:{安装程序列表}。
详细的安装程序列表如下表所示:

软件名称软件版本

表:安装程序信息


后缀为.fls的文件中记录的是后缀为doc, docx, xls, xlsx, pdf, ppt, pptx的文件信息。

filePath文件的名字和路径
complete文件传送情况
sentOffset文件上传的数据大小

表:信息记录


图: 后缀.fls的存储信息


后缀为.flc的文件记录的是盘符信息和盘符下的文件夹和文件信息。
攻击者要获取的盘符信息如下表:

LengthNameDriveTypeIsReady
FormatAvailableFreeSpaceTotalFreeSpaceTotalSize
VolumeLabel   

表:盘符信息


攻击者要获取的文件夹信息如下表:

LengthNameAttributesCreationTime
LastWriteTimeLastAccessTim  

表:盘符下的文件夹信息


攻击者要获取的文件信息如下表:

LengthNameAttributesCreationTime
LastWriteTimeLastAccessTim  

表:盘符下的文件信息


∙ 捕获程序运行异常,将异常信息记录到后缀为.err的文件。

图:捕获异常


⑤ 更新注册表中存储的配置数据:首先遍历系统找寻和指定后缀相同的文件,然后从注册表HKCU\Sotfware\Authy读取和解密配置数据,将找到的文件的名字和路径补充到配置数据中,最后将配置信息加密继续存放注册表。

图:找寻特定后缀文件


图:补充文档路径


⑥ 更新注册表中存储的配置数据:将上传文件的信息更新到注册表配置数据中。

图:注册表中解密后的配置信息


⑦ 将注册表配置信息中记载的指定后缀文档的数据内容全部压缩上传。

图:上传指定后缀文档


⑧ 上传暂存目录中后缀为sif,flc,err和fls的文件。

图:上传文件


5. 总结

“响尾蛇”APT组织于2019年频繁针对我国进行攻击,瑞星威胁情报中心将持续监视其攻击活动,国内相关政府机构和企业单位也务必要引起重视,加强防御措施。
最后编辑麦青儿 最后编辑于 2020-01-15 18:13:54
gototop
 

回复: 2019年中国网络安全报告

五、2019年Linux病毒分析

瑞星安全研究院对近十年捕获到的Linux样本分析发现,近十年来Linux病毒状况可谓是飞跃式的增长。2009年针对Linux 的恶意软件数量逐渐呈现上升趋势, 到2019年Linux样本出现爆炸式增长。2019年捕获到Linux的病毒样本数量比2009年全年捕获到的病毒数量上翻了将近十万倍。

瑞星早在2014年底发布的《Linux系统安全报告》中就已预测,未来数年时间里Linux的病毒将会有一个爆发式增长。在2018年瑞星“云安全”系统共截获Linux病毒样本60万个,相较于2017年同比增长15%,2019年1月至10月共截获Linux病毒样本152万个,同比增长高达100%。由此可见,重视Linux系统安全早已迫在眉睫。

最后编辑麦青儿 最后编辑于 2020-01-15 18:18:03
gototop
 

回复: 2019年中国网络安全报告

(一)流行Linux病毒种类

瑞星安全研究院对近些年捕获到的Linux样本分析发现,Linux系统上的病毒主要有如下几类:针对嵌入式和IOT设备的Botnet,利用Linux服务器资源进行挖矿的挖矿病毒,同在Windows上风声水起的勒索病毒类似,勒索病毒也在威胁着Linux系统。

1. Botnet

(1)Mirai

Mirai僵尸网络于2016年8月首次发现并活跃至今, Mirai在互联网上掀起了多起规模较大的网络攻击。Mirai并不局限于标准的计算机设备还通过譬如网络摄像头、家用路由器等物联网设备发起攻击, 由此可见其攻击规模也是远超过寻常僵尸网络。

Mirai擅长对开放的Telnet端口发起爆破攻击进而入侵到IoT等设备中, 随后在目标设备下远程下载Mirai病毒并执行, Mirai病毒将会主动与C&C服务器进行通信接收其下发的DDoS执行相应操作。

图:Mirai攻击流程


2016年10月, 美国互联网服务供应商Dyn宣布于当地时间21日早上6点遭遇一起“分布式拒绝服务攻击”(DDoS), 这次攻击导致欧洲和北美的大批用户无法使用Internet平台和服务, 当月Mirai的源码同时被公开发布到黑客论坛中。

图:受影响的地区


2017年12月, Check Point研究人员发现,Mirai变种利用华为HG532路由器的0day漏洞扩大Mirai僵尸网络的规模。

图:Mirai利用路由器0day


Mirai因为被病毒作者开源,各种修改版本层出不穷,Mirai家族仍然将是Linux网络设备的最大威胁之一。
最后编辑麦青儿 最后编辑于 2020-01-15 18:53:52
gototop
 

回复: 2019年中国网络安全报告

(2)XorDDoS

安全研究小组MalwareMustDie在2014年9月首次报道了基于Linux操作系统的新威胁“XorDDoS”,通过该威胁可将Linux设备劫持加入到用于“分布式拒绝服务攻击”(DDoS)的僵尸网络。XorDDoS的名称正是源于该恶意软件在与C&C服务器在通信过程中所大量使用的XOR加密手法。

XoRDDoS可发起高达每秒150+Gbps的DDoS攻击,据CDN服务商Akamai公布的报告可知XorDDoS每天的目标网站超过20个,其中游戏行业和教育机构是XoRDDoS的常见攻击目标。



图:Akamai的攻击流量统计


那些受感染的Linux设备甚至包括Xor的C&C服务器IP地址都位于亚洲地区,因此也有部分安全人员推测XorDDoS的作者源自于中国。
最后编辑麦青儿 最后编辑于 2020-01-15 18:59:53
gototop
 

回复: 2019年中国网络安全报告

2. 挖矿

(1)Linux.Lady(DDG)

DDG是一款运行在Linux系统下由Go语言编写的挖矿病毒,该病毒从去年一直活跃至今,在一年左右的时间内更新了DDG.3012/DDG3013/DDG3020/DDG4000/DDG4004等多个变种版本,一旦感染将会大量消耗服务器资源。该病毒难以清除并具有内网扩散的特性,DDG前期主要通过ssh爆破,redis未授权访问漏洞等方式进行传播。

图:最新捕获的DDG4004版本


新版中增加了两个漏洞,利用supervisord的远程命令执行漏洞CVE-2017-11610和nexus仓库管理器的远程代码执行漏洞CVE-2019-7238。DDG初始入口点为一个下载脚本,下载的是DDG的Go语言编译的恶意文件主体,其主要作用有创建守护进程、创建后门、下载挖矿程序挖矿、命令执行这4个功能,值得一提的是针对之前的systemdminer,有了针对性的对抗,对其域名做重定向、kill对应进程以及文件清除,可见竞争激烈。

(2)WatchDogsMiner

WatchDogsMiner是一款新型恶意挖矿蠕虫病毒,具有隐藏性高以及中毒后比较难清理的特点。该病毒主要通过Redis未授权访问、SSH爆破实现内外网的蠕虫式传播。中毒后表现为/tmp临时目录存在watchdogs文件,出现crontab任务异常、网络异常、系统文件被删除、CPU异常卡顿等情况,严重影响用户业务。

WatchDogsMiner病毒主体为一个sh脚本,sh脚本主要做了两个操作,清理其他恶意程序,“kworkerd”、“ddgs”等挖矿程序,然后下载并运行挖矿病毒。

图:watchdogs攻击流程


挖矿病毒使用Go语言编写,以守护进程的方式进行挖矿,币种为门罗币,程序包含了网络通信模块、加密算法、Redis攻击、SSH暴力破解、挖矿等自实现功能。
最后编辑麦青儿 最后编辑于 2020-01-15 19:03:44
gototop
 

回复: 2019年中国网络安全报告

3. 勒索

(1)Lilocked

2019年7月首次报道了Lilocked勒索病毒, 根据部分用户的反馈攻击者很可能利用了Exim(邮件转发软件)的远程执行漏洞CVE-2019-15846进行传播。该病毒在初期感染量并不大,但在最近其感染量突增,有爆发的趋势,据Goolge关键字统计目前为止已至少感染了6000+台Linux设备。感染后计算机文件的文件加密后缀为.lilocked,并且在每个文件夹下产生一个#README.lilocked的勒索信。

图:Lilocked加密的服务器


攻击者通过创建名为#README.lilocked的勒索信来告知受害者,他们的数据已被加密, 必须前往指定的Tor地址支付赎金。当用户访问勒索地址并输入勒索信中的key后将跳转至勒索联系窗口,在该窗口下要求用户支付0.010BTC获得解密Key。

图:LiLocked付款页面


(2)Lucky

Lucky为Satan变种的勒索病毒,支持Windows和Linux双平台,该病毒会使用多种漏洞及弱口令攻击Windows和Linux系统,并植入勒索病毒和挖矿病毒。所有被加密文件使用同一密钥进行加密,加密成功后样本将原文件修改为:“勒索邮箱+原文件名+随机字符+.lucky”的格式。

图:Lucky攻击流程


此病毒使用了以下漏洞和弱口令进行攻击:

图:漏洞及弱口令攻击手段


Windows版本主要包含以下模块:

图:Windows下模块


Linux版本主要包含以下模块:

图:Linux下模块

最后编辑麦青儿 最后编辑于 2020-01-15 19:07:45
gototop
 

回复: 2019年中国网络安全报告

(二)Linux病毒特点

1. Linux上大部分病毒的传播方式大都通过漏洞和弱口令进行传播

Linux系统主要被应用在服务器和嵌入式等网络设备中,同Windows在桌面级操作系统占据统治地位不同,病毒在Windows中利用的邮件、挂马、捆绑安装等传播方式在Linux系统中比较少见,病毒在Linux中传播途径以漏洞和弱口令传播为主。Linux服务器中承载的Web、数据库、Redis等第三方应用,漏洞是linux病毒传播主要的利用途径。同时错误系统配置,如SSH、数据库、Web等弱口令也是Linux上病毒的一种主要传播手段。从Mirai botnet的组建到最近这两年Linux挖矿病毒的泛滥,都是利用这两种手段进行大规模传播。

2. Linux上大部分病毒种类较少、目的相对单一,增长迅速

同Windows系统中病毒“百花齐放”不同,Linux病毒的种类还是相对较少,主要以后门、挖矿和DDOS类型为主,病毒以占用系统CPU资源进行挖矿和利用网络资源进行垃圾邮件发送和DDOS为主要目的。那些在Windows系统中常见的间谍软件、隐私窃取、广告等种类病毒在Linux系统中还是鲜有看到。同时我们看到,Linux病毒最近几年呈爆炸式增长。随着物联网、5G等新技术的发展和应用,在未来万物互联的时代,Linux病毒的威胁将会越来越大。

3. Linux病毒的开发成本逐渐变小门槛越来越低

随着Mirai病毒的开源、Linux病毒脚本化、Go语言流行等因素,Linux病毒的开发成本有着逐渐变小的趋势。目前泛滥的挖矿病毒,通过第三漏洞扫描工具扫描加远程命令执行传播到挖矿木马的种植,全过程几乎不用开发任何程序,通过公开的工具即可实现,将Linux病毒制造和传播门槛降到几乎为零。随着Linux病毒的增长,Linux病毒开发者之间相互学习借鉴也加快了病毒的增长。Linux病毒的开发成本和门槛的降低将进一步促进Linux病毒的发展。

(三)总结


Linux病毒因其系统的生态和应用场景而呈现出和windows不同的特点,虽然在病毒数量和种类上目前和Windows病毒不可同日而语,但是其增长速度迅猛。随着5G、物联网的发展,越来越多的设备将受到Linux病毒的威胁,同时由于Linux系统的安全人员的短缺,Linux系统病毒的安全威胁将愈发严重。
最后编辑麦青儿 最后编辑于 2020-01-15 18:33:19
gototop
 
123   2  /  3  页   跳转
页面顶部
Powered by Discuz!NT