NO.56 | 2019.06.28
banner
title有備而來 友善列印>>
【情資案例調查報告】新網路威脅活動,「科學怪人」現蹤跡_資通安全組 林高裕經理

一、案例背景說明

  Cisco Talos[1]團隊於2019年1月至4月期間發現一種新的網路威脅活動,駭客利用四種不同的開源技術進行攻擊,並被命名為「科學怪人」。包含之攻擊技術如下:
  • 反分析檢測
  • Msbuild
  • FruityC2
  • PowerShell Empire
  其中一項反偵測技術能確認環境中是否有任何正在運作的分析工具,例如:資安分析人員常用的Process Explorer。

二、案例研究說明

  為使受害者感染,駭客利用電子郵件夾帶惡意的office檔案以進行攻擊,例如:於研究期間,分析團隊發現了一個名為「MinutesofMeeting-2May19.docx」的文件,該文件內除有約旦的國旗外,亦聲明此檔案受卡巴斯基(Kaspersky)所保護,以提升受害者啟用惡意檔案之機率,如圖1及圖2所示。
 
圖1:文件內附有約旦的國旗
(資料來源:Cisco Talos)
 
圖2:文件偽裝成已由卡巴斯基(Kaspersky)所保護
(資料來源:Cisco Talos)

  目前發現的感染方式有兩種,第一種方式於受害者開啟文件的同時,駭客便能遠端操控該主機,使其連結至惡意中繼站並下載文件luncher.doc。接著透過微軟的office漏洞(CVE-2017-11882)在受害者的機器執行遠端程式碼,之後便會將其設置為持續運作的工作項目,名為"WinUpdate",並且運行PowerShell命令。
  
  第二種方式為當受害者啟用檔案巨集後,便會開始執行駭客的Visual Basic Application (VBA)腳本,此VBA腳本包含兩個反分析功能。首先,它將查詢Windows Management Instrumentation (WMI)以檢查以下任何應用程序是否正在運行,包含:
  • VMWare
  • Vbox
  • Process Explorer
  • Process Hacker
  • ProcMon
  • Visual Basic
  • Fiddler
  • WireShark
  接著腳本會再進一步檢查以下服務是否正在運行:
  • VMWare
  • Vbox
  • VxStream
  • AutoIT
  • VMtools
  • TCPView
  • WireShark
  • Process Explorer
  • Visual Basic
  • Fiddler
  如有上述任何應用程式或服務被偵測到,惡意腳本將被強制停止執行,如下圖3所示:
 
圖3:檢查環境的VBA腳本
(資料來源:Cisco Talos)

  而另一項反分析功能則是利用WMI檢測主機核心數,當核心數小於2時,惡意腳本也將停止執行,並且跳出"The file is  not compatible with your Microsoft Office Version."(文件與您的Microsoft Office版本不相容)的警訊。上述所有檢查都通過時,駭客將使用MSbuild執行名為"LOCALAPPDATA\Intel\instal.xml"的文件。該文件屬於二進位檔案,研究團隊研判,可能於執行惡意代碼時,可繞過主機應用程式的白名單管控機制。

  接著用工具FruityC2與惡意中繼站進行連線,並使用PowerShell Empire獲取主機內的資訊,其資訊包含IP、Domain、用戶權限、運行中的程序、系統版本。一旦獲得上述訊息後,便會以AES加密的方式將其回傳至惡意中繼站。除了獲取主機資訊外,駭客也能上傳與下載檔案至受害主機內。

三、駭客攻擊流程與手法
圖4:攻擊流程與方式
(資料來源:本中心整理)

 圖4為駭客採用第一種攻擊的流程與方式,攻擊步驟說明如下:
  1. 寄送夾帶惡意腳本office檔案的郵件
  2. 檔案寫有受卡巴斯基所保護,誘使受害者開啟
  3. 連線至中繼站
  4. 下載檔案luncher.doc
  5. 利用漏洞CVE-2017-11882執行遠端代碼攻擊
  6. 將竊取的主機訊息回傳至惡意中繼站
四、Indicators of Compromise (IOCs)資訊

  此惡意程式之入侵指標 (Indicator of Compromise, IoC) 檢測,包含關聯的URL、SHA1、MD5、SHA256相關入侵指標,以利於加強資安設備之資安防護,詳見表1至表3。
 
編號 IP黑名單
1 104[.]28.18.55
 
表1:惡意IP清單
(資料來源:Cisco Talos,本中心整理)

 
編號 關聯URL
1 hxxp://droobox[.]online/luncher.doc
2 hxxp://msdn[.]cloud/FC001/JOHN
3 hxxp://search-bing[.]site/FC003/User=H6szn1woY2pLV
 
表2:惡意URL清單
(資料來源:Cisco Talos,本中心整理)

 
編號 Hash
1 418379fbfe7e26117a36154b1a44711928f52e33830c6a8e740b66bcbe63ec61
2 50195be1de27eac67dd3e5918e1fc80acaa16159cb48b4a6ab9451247b81b649
3 6b2c71bfc5d2e85140b87c801d82155cd9abd97f84c094570373a9620e81cee0
4 6be18e3afeec482c79c9dea119d11d9c1598f59a260156ee54f12c4d914aed8f
5 6e6e7ac84b1b0a0ae833ef2cb56592e1a7efc00ffad9b06bce7e676befc84185
6 b2600ac9b83e5bb5f3d128dbb337ab1efcdc6ce404adb6678b062e95dbf10c93
 
表3:惡意Hash值(SHA256)
(資料來源:Cisco Talos,本中心整理)

 
五、整體建議與總結

  近年來,駭客越來越傾向使用開源的工具進行網路攻擊,研究團隊認為這樣能有效提升惡意程式的營運,並且降低開發的時間與成本。如來自伊朗的MuddyWater APT組織也曾使用開源工具對政府機構、電信和石油公司進行攻擊,並且攻擊的區域已拓展至亞洲、歐洲。

  為避免遭到駭客組織的攻擊,企業可採取以下保護措施,避免系統遭受任何潛在威脅之攻擊,例如:
  1. 針對CVE-2017-11882漏洞攻擊的威脅,建議將PowerShell或是command-line應用程式設限制使用,並盡速修補其漏洞。
  2. 針對報告中之入侵威脅指標(IoCs)進行評估並納入防護監控規則,以強化資安防護設備之防禦能力。
  3. 收到不明來源的電子郵件後,切勿直接開啟附加檔或連結,應先確認標題與內容與本身業務相符,再交由防毒程式進行進一步確認。

資料來源:Danny Adamitis,David Maynor,Kendall McKay.Cisco Talos Intelligence Group:https://blog.talosintelligence.com/2019/06/frankenstein-campaign.html
 

[1] Danny Adamitis,David Maynor,Kendall McKay.Cisco Talos Intelligence Group
https://blog.talosintelligence.com/2019/06/frankenstein-campaign.html