伪装成CrowdStrike修复文件的攻击活动分析

2024-07-29 252 0

1          概览

近日,使用CrowdStrike公司终端安全产品的Windows操作系统主机遭遇了严重的系统崩溃问题,即“蓝屏死机”(Blue Screen of Death,BSOD),导致计算机系统无法正常运行。此次事件波及范围极为广泛,安天紧急跟进分析发布报告《CrowdStrike导致大规模系统崩溃事件的技术分析——暨对“猎鹰折羽”的沉思》。随后,安天CERT针对捕获到的两类恶意代码事件进行分析与披露。

回顾以往,每当遭遇重大事件时,总有不法之徒伺机而动,借助这些热点事件作为掩护,散播恶意代码。这种利用社会关注的焦点进行攻击的手法,是社会工程学攻击策略中的一种常见且狡猾的手法。本报告披露了相关恶意代码攻击手法与样本功能,以供防范,增强网络安全意识,抵御潜在的网络威胁。

2          攻击活动分析

表 2‑1 攻击活动梳理

攻击活动

攻击手法

攻击目的

1、利用“蓝屏事件”修复文档投放窃密木马

lnk→docm→dll载荷

窃取数据

2、Handala  Hack组织伪装修复方案邮件投递wiper数据擦除器

邮件→pdf→恶意链接→恶意载荷

擦除数据

本报告针对两类攻击活动进行详细分析。

2.1         攻击活动一:利用“蓝屏事件”修复文档投放窃密木马

安天CERT陆续监测到多起利用“蓝屏事件”修复文档投放窃密木马的攻击活动,其中一起捕获到初始载荷名为“y_Tool_to_help_with_CrowdStrike_issue_impacting_Windows.lnk”的快捷方式文件,快捷方式文件的目标位置指向名为“New_Recovery_Tool_to_help_with_CrowdStrike_issue_impacting_Windows.docm”的恶意宏代码文档。

图 2‑1 伪装成CrowdStrike文件名的初始快捷方式文件(1)

打开带有恶意宏代码的文档后,文档中的内容为“微软官方文档关于修复蓝屏事件的修复方法”,文档中的恶意宏代码经过多层解密后会下载最终载荷窃密木马。

图 2‑2 带有宏恶意代码的文档(1)

安天CERT监测到另一起疑似利用“蓝屏事件”修复文档投放恶意代码的攻击活动,该攻击活动初始载荷名为“Steps to recover from CrowdStrike Blue Screen.lnk”的快捷方式文件,快捷方式文件的目标位置指向名为“Steps to recover from CrowdStrike Blue Screen.docx”的文档。

图 2‑3 伪装成CrowdStrike文件名的初始快捷方式文件(2)

打开文档后,文档中的内容同样为微软官方文档关于修复“蓝屏事件”的修复方法,但是文档并不包含恶意宏代码,但不排除是攻击者在测试开发中亦或是被研究人员清除了宏代码。

图 2‑4 CrowdStrike修复相关诱饵文档(2)载荷概览

2.1.1          载荷标签

表 2‑2样本标签

恶意代码名称

Trojan/Win64. Stealer[Spy]

原始文件名

mscorsvc.dll

MD5

EB29329DE4937B34F218665DA57BCEF4

处理器架构

Intel 386 or later, and compatibles

文件大小

1.34 MB (1,412,096 字节)

文件格式

BinExecute/Microsoft.DLL[:X64]

时间戳

2024-07-19 16:10:10

数字签名

加壳类型

编译语言

Microsoft Visual C/C++

PDB路径

D:\c++\Mal_Cookie_x64\x64\Release\mscorsvc.pdb

VT首次上传时间

2024-07-22 17:36:23

VT检测结果

15/74

2.1.2          载荷分析

初始诱饵文件由一个Word文档及其快捷方式组成,该文档的名称为“New_Recovery_Tool_to_help_with_CrowdStrike_issue_impacting_Windows.docm”,内容与微软提供的CrowdStrike蓝屏恢复方案相关。

图 2‑5诱饵文档内容

该文档中包含恶意宏,执行后先将系统中的curl工具复制到%temp%目录下,利用该工具从指定的URL处下载“payload2.txt”文件,经过Base64解码后保存为%temp%\mscorsvc.dll文件,最终通过rundll32程序对其加载执行。

图 2‑6恶意宏利用curl下载后续载荷文件并解码执行

该恶意宏最终投放的DLL文件是窃密木马。该窃密木马会窃取Chrome、Edge、Firefox等浏览器中的敏感数据,将窃取到的各类数据存放在C:\Windows\Temp路径下,最终将窃密数据回传至C2服务器中。该木马目前未关联到具体现有窃密家族。

图 2‑7窃密木马将数据回传至C2服务器

2.2         攻击活动二:Handala Hack黑客组织伪装修复方案邮件投递wiper数据擦除器

图 2‑8 Handala Hack黑客组织声称

图 2‑9钓鱼邮件案例

名为update1.pdf的文件打开后,带有相关恶意链接,点击后会下载名为“update.zip”的压缩文件,该压缩包中是名为“wiper”的数据擦除器。

图 2‑10 带有恶意链接的pdf文档

2.2.1          载荷标签

表 2‑3 样本标签

恶意代码名称

Trojan/Win32.Autoit

原始文件名

CrowdStrike.exe

MD5

755C0350038DAEFB29B888B6F8739E81

处理器架构

Intel 386 or later, and compatibles

文件大小

6.04 MB (6,338,272 字节)

文件格式

BinExecute/Microsoft.EXE[:X64]

时间戳

2012-02-25 03:19:54

数字签名

加壳类型

编译语言

Microsoft Visual C/C++

VT首次上传时间

2024-07-21 04:31:45

VT检测结果

47/74

2.2.2          载荷分析

PDF文件中含有一个名称为“Download The Updater”的超链接,当用户点击该超链接后,将会下载一个名称为“update.zip”的压缩包文件,其中含有一个名称为“CrowdStrike.exe”的恶意程序。

图 2‑11通过钓鱼邮件传播的PDF文件

该恶意程序使用了一个无效的数字签名,运行后在%temp%目录中释放数十个文件,并通过其中一个经过混淆处理的“Carroll.cmd”的文件执行后续的攻击流程。

图 2‑12 Carroll.cmd文件部分内容

Carroll.cmd执行后通过tasklist、findstr命令检查是否存在指定名称的反病毒产品进程,然后在同路径中创建名为“564784”文件夹,并在其中释放Champion.pif(AutoIt程序)、RegAsm.exe(程序集注册工具)、L(由5个释放文件拼接组成,是AutoIt脚本文件)。最后,Carroll.cmd文件通过AutoIt程序执行脚本,将最终载荷注入至内存中执行。

图 2‑13安天追影威胁分析系统监测的进程相关内容

经分析,最终载荷是一款名为“Hatef Wiper”的擦除器,与Handala Hack组织存在联系。Hatef Wiper会擦除系统中指定关键路径中的文件,并与攻击者创建的Telegram账号进行通信。

3          IOC

文件名

MD5

说明

y_Tool_to_help_with_CrowdStrike_issue_impacting_Windows.lnk

A35F0D906EBE286DDA7A4EDC4A7BCE47

打开恶意宏代码文档

New_Recovery_Tool_to_help_with_CrowdStrike_issue_impacting_Windows.docm

DD2100DFA067CAAE416B885637ADC4EF

恶意宏代码文档

payload2.txt

D67EA3B362D4E9B633216E85AC643D1F

base64编码的载荷文件

mscorsvc.dll

EB29329DE4937B34F218665DA57BCEF4

窃密木马

update3.pdf

22E9135A650CD674EB330CBB4A7329C3

带有恶意链接的pdf文件

CrowdStrike.exe

755C0350038DAEFB29B888B6F8739E81

wiper数据擦除器

IP地址或URL

172.104.160.126

hxxps://api.telegram[.]org/bot7277950797:AAF99Nw5rAT1BHnMmwY_tQNYJFU3dYJ5RHc/sendMessage?chat_id=7436061126


4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

相关文章

webpack打包站点,js文件名批量获取思路
加密对抗靶场enctypt——labs通关
【论文速读】| 注意力是实现基于大语言模型的代码漏洞定位的关键
蓝队技术——Sysmon识别检测宏病毒
内网渗透学习|powershell上线cs
LLM attack中的API调用安全问题及靶场实践

发布评论