溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

Buhtrap黑客組織最新0day漏洞實例分析

發(fā)布時間:2022-01-18 15:42:40 來源:億速云 閱讀:162 作者:柒染 欄目:安全技術(shù)

今天就跟大家聊聊有關(guān)Buhtrap黑客組織最新0day漏洞實例分析,可能很多人都不太了解,為了讓大家更加了解,小編給大家總結(jié)了以下內(nèi)容,希望大家根據(jù)這篇文章可以有所收獲。

一直以來Buhtrap組織以其針對俄羅斯的金融機構(gòu)和企業(yè)而聞名。在我們的跟蹤過程中,發(fā)現(xiàn)并分析了該組織的主要后門以及其他工具。

自2015年底以來,該組織變?yōu)橐越?jīng)濟利益位目的的網(wǎng)絡(luò)犯罪組織,其惡意軟件出現(xiàn)于東歐和中亞進行間諜活動中。

2019年6月我們第一次發(fā)現(xiàn)Buhtrap使用0day攻擊作。 同時我們發(fā)現(xiàn)Buhtrap在攻擊過程中使用了本地提權(quán)漏洞CVE-2019-1132。    

在Microsoft Windows中的本地權(quán)限提升漏洞利用的是win32k.sys組件中的NULL指針取消引用產(chǎn)生的問題。 該漏洞發(fā)現(xiàn)后就已經(jīng)向Microsoft安全響應(yīng)中心報告,該中心及時修復(fù)了漏洞并發(fā)布了補丁。    

歷史活動

下圖中的時間表體現(xiàn)了Buhtrap活動中一些最重要的發(fā)展節(jié)點。    

Buhtrap黑客組織最新0day漏洞實例分析

在他們的工具在網(wǎng)上開源的時期,很難把該組織的活動和網(wǎng)絡(luò)攻擊行為聯(lián)系在一起。 然而,由于該組織在目標的轉(zhuǎn)變后發(fā)生了源代碼泄漏的問題,我們迅速高效的分析了該組織攻擊的惡意軟件,明確了該組織針對的企業(yè)和銀行目標,同時確認了該組織參與了針對政府機構(gòu)的攻擊。

盡管新的工具已經(jīng)添加到他們的武器庫中并且替換了舊版本,但是不同時期的Buhtrap活動中使用的策略、技術(shù)和程序并沒有發(fā)生顯著變化。 他們主要通過惡意文檔作為載體,并廣泛使用NSIS安裝程序作為droppers。 此外,他們的一些工具會使用有效的代碼簽名證書進行簽名,并利用已知的合法應(yīng)用程序來作為攻擊載體。

用于傳遞攻擊載荷的文件通常為設(shè)計好的釣魚文件,以避免在受害者打開時產(chǎn)生懷疑。對這些釣魚文件為我們的分析提供了可靠的線索。 當Buhtrap目標為企業(yè)時,釣魚文件通常是合同或發(fā)票。 下圖是該組織在2014年攻擊行為中使用的通用發(fā)票的示例。

Buhtrap黑客組織最新0day漏洞實例分析當該組織將目標對準銀行時,釣魚文件通常與金融系統(tǒng)法規(guī)或Fincert的咨詢有關(guān),F(xiàn)incert是俄羅斯政府創(chuàng)建的一個組織,為其金融機構(gòu)提供幫助和指導(dǎo)。

Buhtrap黑客組織最新0day漏洞實例分析因此,當我們第一次看到與政府行動有關(guān)的釣魚文件時,我們立即開始跟蹤這些行為。2015年12月,發(fā)現(xiàn)了第一批惡意樣本,它下載了一個NSIS安裝程序,該安裝程序的作用是安裝buhtrap后門,釣魚文檔如下圖:    

Buhtrap黑客組織最新0day漏洞實例分析文本中的URL很有特點, 它與烏克蘭國家移民局網(wǎng)站dmsu.gov.ua非常相似。 該文本以烏克蘭語要求員工提供他們的聯(lián)系信息,尤其是他們的電子郵件地址,還試圖說服他們點擊文本中的惡意鏈接。    

這是我們遇到眾多惡意樣本中的第一個,這些樣本被Buhtrap組織用于攻擊政府機構(gòu)。 我們認為另一個更近期的釣魚文件也是由Buhtrap組織設(shè)計的,如圖所示這個文件可以吸引與政府相關(guān)的另一類群體。    

Buhtrap黑客組織最新0day漏洞實例分析

0day攻擊分析

該組織在0day攻擊中使用的工具與其用于企業(yè)和金融機構(gòu)的工具非常相似。 我們分析的第一批針對政府組織的惡意樣本哈希為2F2640720CCE2F83CA2F0633330F13651384DD6A。 此NSIS安裝程序下載包含Buhtrap后門的常規(guī)包,并顯示如上文提到的2015年12月的釣魚文檔。    

從那以后,我們看到了針對這一政府組織群體的多次攻擊。 攻擊中經(jīng)常使用漏洞來提升權(quán)限,以便安裝惡意軟件。 他們利用了舊的漏洞,如CVE-2015-2387。他們最近使用的0day也采用了相同的模式:利用漏洞以最高權(quán)限運行惡意軟件。    

多年來,該組織使用了具有不同功能的軟件包裝。 最近,我們發(fā)現(xiàn)并詳細分析了兩個全新軟件包,因為它們與該組織典型的工具集相比發(fā)生了變化。    

釣魚文檔包含一個惡意宏,啟用后會刪除NSIS安裝程序。NSIS安裝程序的任務(wù)是安裝主后門。 但是此NSIS安裝程序與此組織早期使用的版本不同, 它更簡單,僅用于設(shè)置并啟動嵌入其中的兩個惡意模塊。    

后門分析

第一個模塊,稱為“抓取器”,是一個獨立的密碼竊取程序。 它嘗試從郵件客戶端,瀏覽器中獲取密碼,并將它們發(fā)送到C&C服務(wù)器。 此模塊使用標準Windows API與其C&C服務(wù)器進行通信。    

Buhtrap黑客組織最新0day漏洞實例分析第二個模塊是我們從Buhtrap操作人員得到的:一個包含合法應(yīng)用程序的NSIS安裝程序,將用來安裝Buhtrap主后門。利用的是一種免費的反病毒掃描程序AVZ。    

Meterpreter和DNS隧道

本文檔包含一個惡意宏,啟用后會刪除NSIS安裝程序,該安裝程序的任務(wù)是準備安裝主后門。 安裝過程的一部分是設(shè)置防火墻規(guī)則以允許惡意組件與C&C服務(wù)器通信。 接下來是NSIS安裝程序用于設(shè)置這些規(guī)則的命令示例:    

```
cmd.exe /c netsh advfirewall firewall add rule name=\”Realtek HD Audio Update Utility\” dir=in action=allow program=\”<path>\RtlUpd.exe\” enable=yes profile=any
```

最終的有效載荷是與Buhtrap傳統(tǒng)工具完全不同的東西。 在其正文中加密了兩個有效負載。 第一個是一個非常小的shellcode下載器,而第二個是Metasploit的Meterpreter。 Meterpreter是一個反向shell,允許其操作員完全訪問被攻擊的系統(tǒng)。

Meterpreter反向shell實際上使用DNS隧道與其C&C服務(wù)器進行通信。對于防御者來說,檢測DNS隧道可能很困難,因為所有惡意流量都是通過DNS協(xié)議完成的,而不是常規(guī)的TCP協(xié)議。 以下是此惡意模塊的初始通信片段。

```7812.reg0.4621.toor.win10.ipv6-microsoft[.]org7812.reg0.5173.toor.win10.ipv6-microsoft[.]org7812.reg0.5204.toor.win10.ipv6-microsoft[.]org7812.reg0.5267.toor.win10.ipv6-microsoft[.]org7812.reg0.5314.toor.win10.ipv6-microsoft[.]org7812.reg0.5361.toor.win10.ipv6-microsoft[.]org[…]```

此示例中的C&C服務(wù)器域名模仿Microsoft。 事實上攻擊者注冊了不同的域名,其中大多數(shù)都模仿微軟域名。

總結(jié)

雖然我們不知道為什么該組織突然轉(zhuǎn)變目標,但它是說明了網(wǎng)絡(luò)間諜團體與網(wǎng)絡(luò)犯罪之間界限日益模糊。 目前還不清楚該組織中的一個或幾個成員出于什么原因改變目標,但未來會有更多的攻擊行為出現(xiàn)。    

##IOC

###ESET檢測名稱

VBA/TrojanDropper.Agent.ABMVBA/TrojanDropper.Agent.AGKWin32/Spy.Buhtrap.WWin32/Spy.Buhtrap.AKWin32/RiskWare.Meterpreter.G

###惡意軟件樣本

Main packages SHA-1:

2F2640720CCE2F83CA2F0633330F13651384DD6A
E0F3557EA9F2BA4F7074CAA0D0CF3B187C4472FF
C17C335B7DDB5C8979444EC36AB668AE8E4E0A72

Grabber SHA-1:

9c3434ebdf29e5a4762afb610ea59714d8be2392

###C&C服務(wù)器

https://hdfilm-seyret[.]com/help/index.php
https://redmond.corp-microsoft[.]com/help/index.php
dns://win10.ipv6-microsoft[.]org
https://services-glbdns2[.]com/FIGm6uJx0MhjJ2ImOVurJQTs0rRv5Ef2UGoSc
https://secure-telemetry[.]net/wp-login.php

###Certificates

Company nameFingerprint
YUVA-TRAVEL5e662e84b62ca6bdf6d050a1a4f5db6b28fbb7c5
SET&CO LIMITEDb25def9ac34f31b84062a8e8626b2f0ef589921f

###MITRE ATT&CK techniques

TacticIDNameDescription
ExecutionT1204User executionThe user must run the executable.
T1106Execution through APIExecutes additional malware through CreateProcess.
T1059Command-Line InterfaceSome packages provide Meterpreter shell access.
PersistenceT1053Scheduled TaskSome of the packages create a scheduled task to be executed periodically.
Defense evasionT1116Code SigningSome of the samples are signed.
Credential AccessT1056Input CaptureBackdoor contains a keylogger.
T1111Two-Factor Authentication InterceptionBackdoor actively searches for a connected smart card.
CollectionT1115Clipboard DataBackdoor logs clipboard content.
ExfiltrationT1020Automated ExfiltrationLog files are automatically exfiltrated.
T1022Data EncryptedData sent to C&C is encrypted.
T1041Exfiltration Over Command and Control ChannelExfiltrated data is sent to a server.
Command and ControlT1043Commonly Used PortCommunicates with a server using HTTPS.
T1071Standard Application Layer ProtocolHTTPS is used.
T1094Custom Command and Control ProtocolMeterpreter is using DNS tunneling to communicate.
T1105Remote File CopyBackdoor can download and execute file from C&C server.

看完上述內(nèi)容,你們對Buhtrap黑客組織最新0day漏洞實例分析有進一步的了解嗎?如果還想了解更多知識或者相關(guān)內(nèi)容,請關(guān)注億速云行業(yè)資訊頻道,感謝大家的支持。

向AI問一下細節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI