歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

xHunt:針對科威特航運組織的攻擊行動

來源:本站整理 作者:佚名 時間:2019-10-06 TAG: 我要投稿

2019年5月至6月,unit42安全團隊在一起針對科威特航運業的攻擊事件中,檢測到了一個新后門工具——Hisoka,它的作用是下載幾個的定制工具進行后漏洞利用,所有工具似乎都由同一個開發人員創建,最早的一個工具其版本可以追溯到2018年7月。
工具的名稱都借用了動漫《全職獵人》中的人物名字,這也是此次行動“xHunt”名稱的來源,如后門工具Sakabota、Hisoka、Netero和Killua,它們通過HTTP、DNS隧道和電子郵件與C2通信。除了上述的后門工具外,還有名為Gon和EYE的工具,提供后門訪問和進行后漏洞利用的能力。
通過比較分析,2018年7月至12月期間針對科威特的攻擊事件可能也與此有關。
活動細述
2019年5月19日,科威特航運部門系統上出現了一個名為inetinfo.sys的惡意二進制文件。inetinfo.sys是Hisoka的后門變種,在代碼中注明為版本0.8。威脅行為者是如何在系統上安裝惡意文件的我們還不得而知。
Hisoka訪問系統的兩個小時內,又有兩個工具——Gon和EYE部署到了系統上,其文件名分別是Gon.sys和EYE.exe。Gon的作用是遠程系統上掃描開放端口、上傳下載文件、截屏、網絡上查找其他系統、遠程運行命令,以及創建遠程桌面協議(RDP)會話。Gon既可以用作命令行實用程序,也通過圖形用戶界面(GUI)調用,如圖1所示:
 

圖1. Gon的GUI
EYE工具則作為攻擊者通過RDP登錄到系統時的故障保險,如果合法用戶登錄,將殺死攻擊者創建的所有進程并刪除其他標識。更多關于Gon和EYE的詳細信息請參考附錄。
2019年6月18日至30日期間,科威特航運系統上又出現了Hisoka的0.9版本,其中包含文件netiso.sys。6月18日,該文件通過服務器消息塊(SMB)協議從內部IT服務臺帳戶傳輸到另一個系統上,又以相同方式傳輸了名為otc.dll的文件。
otc.dll文件實際上是工具Killua,它也是一個簡單的后門,能讓攻擊者使用DNS隧道通信,在受感染的系統上運行C2命令。基于字符串的比較,可以確信Killua和Hisoka由同一位開發人員創建。Killua是我們在2019年6月首次觀察到的,可能是Hisoka的進化版,詳情請參見附錄。
通過電子郵件與C2通信
兩個版本的Hisoka——v0.8和v0.9,均包含系統控制的命令集,都能通過HTTP或DNS隧道與C2通信,v0.9還增加了通過電子郵件與C2通信的功能。
v0.9中增加的這項功能基于Exchange Web Services (EWS),通過Exchange服務器上的合法帳戶與Hisoka通信。一般來說,惡意軟件登錄到Exchange服務器后以發送接收電子郵件的方式建立通信,但v0.9則是創建郵件草稿來交換數據,這樣不會檢測到郵件的出入站行為。
要啟用基于電子郵件的C2通道,攻擊者需要在命令行上提供–E EWS ,后跟以下結構的數據:
; ; ;
用戶名和密碼必須是Exchange服務器上的有效帳戶。
Hisoka創建郵件草稿作為接收命令的通知,類似于C2中的信標。郵件草稿的主題為“ Present”,郵件主體為空,“ To”字段中的電子郵件地址具有受感染系統的唯一標識符,附加后綴“ @ contoso.com”。圖2顯示了Hisoka創建的郵件草稿,可通過Outlook Web App登錄帳戶查看。
 

圖2. Hisoka v0.9中,郵件草稿用作信標
發出命令需要攻擊者登錄帳戶,創建一個主題為“Project”的草稿,正文中包含了命令,為加密字符串形式,結構為字符串,下一行跟著一個base64編碼的密文。在C2中,這個郵件通道沒有使用過的痕跡,所以應該是以HTML郵件的形式發送的,因為Hisoka會檢查郵件標簽之后的三行——這是通過檢查三個回車字符(\r)來實現,我們推測三個回車字符分別在:密文一行、標記結束的一行和結束的最后一行。
攻擊者對每個字符異或操作來加密命令,并用值83(0x53)和base64對密文編碼。圖3顯示了測試C2通道的郵件草稿,郵件通道發出命令C-get C:\\Windows\\Temp\\test.txt后,Histoka會將其解析為將文件上傳到C:\Windows\Temp\test.txt的命令。
 

圖3. Hisoka用于獲取命令的郵件草稿
解析并運行命令后,Histoka創建另一封郵件草稿將結果發送回攻擊者。草稿以“ Present”作為主題,系統唯一標識符和“ @ contoso.com”構造地址,消息正文是包含命令響應結果,加密方式跟上面所述相同。
Histoka將文件附加到郵件草稿中來上傳文件。圖4顯示了Hisoka在收到文件上傳命令后創建的郵件草稿,test.txt是測試的上傳文件。
 

圖4.Histoka v0.9,響應上傳文件命令的郵件草稿
雖然基于電子郵件的C2通道不是第一次在威脅活動中看到,但是使用郵件草稿和Exchange的情況還是少見的。
工具集重合
在我們分析科威特組織中發生的惡意軟件活動時,我們注意到Hisoka中的一些字符串跟之前的工具Sakabota存在一定相似性,該樣本最早是在2018年7月左右發現的。對這兩場活動分析后我們確認,Sakabota是Hisoka的前身。
Hisoka后門工具共享了Sakabota的大量代碼,函數和變量名稱的數量完全相同,表明由同一位開發人員創建。
 

[1] [2] [3] [4] [5] [6]  下一頁

【聲明】:黑吧安全網(http://www.fhetww.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected]ack58.com,我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        江西十一选五走势图爱彩乐