AI+安全
數(shù)據(jù)安全
數(shù)據(jù)基礎(chǔ)設(shè)施
態(tài)勢感知
云安全
基礎(chǔ)安全
終端安全
商用密碼
軟件供應(yīng)鏈安全
網(wǎng)絡(luò)空間靶場
工業(yè)互聯(lián)網(wǎng)安全
物聯(lián)網(wǎng)安全
安全托管服務(wù)
運(yùn)營管理服務(wù)
魔芋行動(Operation Ninikachu )針對韓國某大型集團(tuán)的定向攻擊
近日,安恒安全研究院獵影威脅分析團(tuán)隊(duì)在文件威脅分析平臺上監(jiān)測到了一起針對韓國大型公司的高級可持續(xù)攻擊。經(jīng)過深入分析,發(fā)現(xiàn)攻擊者可能來自南亞國家,通過樣本中的關(guān)鍵詞匯將該起攻擊命名為魔芋行動(Operation Ninikachu)。
樣本分析
攻擊者投遞了多個(gè)高度偽裝的文檔,文檔實(shí)例展示如下:
文檔利用形式相同,都使用了相似的惡意宏代碼,我們拿出其中一個(gè)進(jìn)行分析,如“????_191030.xls”文檔。
文檔中包含惡意宏代碼
?
宏代碼的功能為遠(yuǎn)程下載文件,其地址如下:
hxxps://218.*.*.187/as/***/***/skcc.com/ReportSVC.exe
?
保存到“c:\ProgramData\ReportSVC.exe”并執(zhí)行。
ReportSVC.exe程序?yàn)榧舆^密的python打包程序,將該程序進(jìn)行解包并反編譯還原如下:
可以得到agent主程序,并可以通過AES算法使用加密key:”XMBci***8HQGPDH”解密被加密的一些模塊:
如解密config.pyc.encrypted文件解密出config模塊:
內(nèi)部包含程序執(zhí)行所需要的各種配置信息,如回連地址信息“hxxps:// 218.*.*.187”,服務(wù)前綴“skcc[.]com”,幫助信息等等。
接下來分析反編譯出的angent.py程序,發(fā)現(xiàn)其就是一個(gè)python遠(yuǎn)程控制程序。包含多個(gè)功能指令。
程序會先進(jìn)行初始化,從配置文件中獲取各類配置信息,以及收集本機(jī)計(jì)算機(jī)中 的各類信息,如獲取系統(tǒng)版本信息:
獲取uid信息:
獲取Hostname信息:
獲取Username信息:
然后回連C2,發(fā)送信息并通過指令進(jìn)行交互
幾個(gè)關(guān)鍵功能包括:
函數(shù)Getdocpaths:獲取指定路徑下的doc*,xls*,ppt*路徑信息
函數(shù)Upload:上傳本地文件到服務(wù)器。
函數(shù)Download:從遠(yuǎn)程服務(wù)器通過http(s)下載文件。
函數(shù)Powershell:運(yùn)行powershell程序或命令。
函數(shù)Python:運(yùn)行python命令或python程序。
函數(shù)Getpw(Ninikachu):通過使用Empire的Invoke-Mimikatz.ps1來獲取系統(tǒng)密碼。?
Agent程序整體函數(shù)功能如下列表:
|
函數(shù) |
功能 |
|
__init__ |
程序初始化,獲取信息和配置等 |
|
log |
日志記錄 |
|
get_UID |
獲取uid |
|
jsonenc |
Aes encrypt |
|
add_server |
添加C2服務(wù)地址 |
|
server_hello |
請求服務(wù)指令 |
|
send_output |
發(fā)送控制臺輸出內(nèi)容到服務(wù)器 |
|
expand_path |
擴(kuò)展環(huán)境變量 |
|
runcmd |
運(yùn)行cmd指令 |
|
getdocpaths |
獲取指定路徑下的doc*,xls*,ppt*路徑信息 |
|
powershell |
運(yùn)行powershell程序 |
|
filterInput |
過濾輸入內(nèi)容 |
|
ninikachu |
獲取系統(tǒng)密碼 |
|
python |
運(yùn)行python命令或python程序 |
|
cd |
切換目錄 |
|
upload |
上傳本地文件到服務(wù)器 |
|
download |
從遠(yuǎn)程服務(wù)器下載文件 |
|
exit |
退出agent |
|
zip |
Zip壓縮文件或文件夾 |
|
help |
幫助 |
|
run |
循環(huán)運(yùn)行指令交互 |
?
關(guān)聯(lián)分析
https指紋分析
根據(jù)之前的樣本,我們知道其回連地址是218.*.*.187且使用https進(jìn)行通訊,我們獲取https的證書sha1值
-
c8b81df******de7e360af7a6e54b0
?
使用安恒全球網(wǎng)絡(luò)空間超級雷達(dá)sumap進(jìn)行檢索,又發(fā)現(xiàn)另2個(gè)使用了相關(guān)證書的ip地址:
通過關(guān)聯(lián)分析,發(fā)現(xiàn)了其中一個(gè)IP地址目前仍可訪問,其后臺地址:
代碼特征分析
分析頁面信息,其含有一個(gè)叫“Ares”關(guān)鍵詞信息,通過互聯(lián)網(wǎng)檢索發(fā)現(xiàn),該后臺是Ares遠(yuǎn)控程序的控制端,而解密后的agent程序?yàn)锳res的被控端。
Ares的代碼在github屬于開源項(xiàng)目,但是這次攻擊的程序是黑客定制修改版本,修改包括:
-
設(shè)置終端語言版本。代碼中使用“cp949”編碼可以看出針對目標(biāo)語言為韓語
-
添加了一些竊密功能,如getdocpaths、powershell、ninikachu等定制重要功能
?
?被攻擊目標(biāo)分析
最開始的木馬ReportSVC.exe程序下載地址為hxxps:// 218.*.*.187/as/***/***/skcc.com/ReportSVC.exe中包含的skcc[.]com
而在解密的config.py配置文件中服務(wù)前綴SERVER_PREFIX也是包含skcc[.]com
猜測本次攻擊目標(biāo)為韓國SK C&C公司。SK C&C是韓國幾大企業(yè)集團(tuán)之一的SK集團(tuán)的全資子公司,主營業(yè)務(wù)為IT服務(wù)提供商和數(shù)字業(yè)務(wù)。
?
推測攻擊者
可以從pyimod01_os_path等文件中得到電腦的用戶名“kngkn”的信息。
通過一些搜索發(fā)現(xiàn),推特上有這么一個(gè)用戶名,并且還關(guān)注了兩個(gè)用戶,都和數(shù)字媒體相關(guān),并且所在地為南亞某國。
再可通過facebook搜索kngkn用戶名查看人物,發(fā)現(xiàn)大多數(shù)人物所在地都在南亞某國
如這些人物所在的地址:
說明該名字kngkn可能某地區(qū)的常用名字。
?
再來看看“Ninikachu”這個(gè)函數(shù)功能是使用mimikatz,兩個(gè)單詞拼讀起來也感覺類似,推測攻擊者可能是南亞某國的口音。
拆分ninikachu為nini和kachu,通過檢索發(fā)現(xiàn)在梵文中kachu叫做芋頭,所以我們將這次攻擊也叫作魔芋行動(Operation Ninikachu)。
?
防御建議總結(jié)
企業(yè)應(yīng)當(dāng)注重培養(yǎng)人員安全意識,不輕易打開未知來源的郵件及附件,不隨意點(diǎn)擊未知鏈接,不隨意打開未驗(yàn)證可靠來源的文檔。及時(shí)為信息系統(tǒng)打好補(bǔ)丁。
部署安恒APT預(yù)警平臺,安恒APT預(yù)警平臺能夠發(fā)現(xiàn)已知或未知的威脅,APT預(yù)警平臺 的實(shí)時(shí)監(jiān)控能力能夠捕獲并分析郵件附件投遞文檔或程序的威脅性,并能夠?qū)︵]件投遞,漏洞利用、安裝植入、回連控制等各個(gè)階段做強(qiáng)有力的監(jiān)測。結(jié)合安恒威脅情報(bào)系統(tǒng),可將國內(nèi)外的威脅數(shù)據(jù)進(jìn)行匯總,并分析整個(gè)攻擊演進(jìn)和聯(lián)合預(yù)警。
獵影威脅分析團(tuán)隊(duì)將持續(xù)關(guān)注網(wǎng)絡(luò)安全動態(tài)。
?
IOC
MD5:
7927a48***d0e598c962f4b
526842f***e36d828d5edec
7e851a9***35937bbb54326
36bcfeb***d2f1faf9c6a3ae
?
IP:
218.***.***.187
211.***.***.113
114.***.***.178
?
URL:
hxxps://218.***.***.187/as/***/***/skcc.com/ReportSVC.exe
hxxps://211.***.***.113/as/***/***/skcc.com/SCMetroUIUpdater.exe
hxxps://114.***.***.178/as/login
