使用RMS和TeamViewer攻擊工業公司
一、簡述
卡巴斯基實驗室ICS CERT發現了一系列攜帶惡意附件的網路釣魚電子郵件,主要針對與工業生產相關的公司和組織。
網路釣魚電子郵件偽裝成合法的商業報價,主要發送給位於俄羅斯的工業公司。每封電子郵件的內容都反映了受攻擊機構的活動以及接收電子郵件的員工的工作類型。
根據我們收集的數據,這一系列攻擊於2017年11月開始,目前正在進行中。值得注意的是,早在2015年就發生了第一次類似的攻擊。
這些攻擊中使用的惡意軟體安裝了合法的遠程管理軟體——TeamViewer或Remote Manipulator System / Remote Utilities(RMS)。這使攻擊者能夠遠程控制受感染的系統。威脅行為者使用各種技術來屏蔽系統中安裝的惡意軟體的感染和活動。
根據現有數據,攻擊者的主要目標是從受害機構的帳戶中竊取資金。當攻擊者連接到受害者的計算機時,他們會搜索並分析采構文檔以及使用的財務和會計軟體。在此之後,攻擊者會尋找各種方式來進行財務欺詐,例如欺騙用於付款的銀行詳細信息。
如果網路犯罪分子在感染系統後需要額外的數據或功能,例如許可權提升和獲取本地管理員許可權,竊取財務軟體和服務的用戶身份驗證數據,或者橫向移動的Windows帳戶,攻擊者會下載額外的惡意軟體包到系統中,專門針對每個受害者的攻擊而定製。惡意軟體包包括間諜軟體、擴展攻擊者對受感染系統控制的其他遠程管理實用程序、利用操作系統和應用程序軟體漏洞的惡意軟體,以及向攻擊者提供Windows帳戶數據的Mimikatz實用程序。
顯然,通過其他方法,攻擊者分析被攻擊企業員工的通信來獲取他們犯罪活動所需的信息。他們還可能使用這些電子郵件中的信息來準備新的攻擊,針對與當前受害者合作的公司。
顯然,除了經濟損失之外,這些攻擊還會導致受害機構的敏感數據泄露。
二、釣魚郵件
在大多數情況下,釣魚電子郵件都有與財務相關的內容;附件的名稱也表明它們與財務有關。具體來說,一些電子郵件聲稱是大型工業公司的招標邀請(見下文)。
以下是針對某些機構的攻擊中使用的網路釣魚電子郵件示例:
釣魚郵件截圖
上述電子郵件是代表一家知名的工業組織發送的。發送郵件的伺服器域名類似於該組織官方網站的域名。電子郵件附有一個壓縮包,壓縮包受密碼保護,密碼可以在郵件正文中找到。
值得注意的是,攻擊者通過公司中一名員工的全名向該公司的其他員工發起了攻擊(出於保密原因,在上面的屏幕截圖中該部分被屏蔽)。這表明攻擊是經過精心準備的,並且為每個受害者創建了包含與特定機構詳細信息相關的的個人電子郵件。
作為攻擊的一部分,威脅行動者使用各種技術來掩蓋感染。在這種情況下,除惡意軟體組件和遠程管理應用程序外,還在受感染的系統中安裝Seldon 1.7(用於搜索招標的合法軟體)。
為防止用戶不知道為什麼沒有獲得釣魚郵件中提到的採購招標的信息,惡意程序會分發損壞的Seldon 1.7軟體副本。
合法軟體Seldon 1.7
在其他情況下,向用戶顯示部分損壞的圖像。
惡意軟體打開的圖像
還存在已知的惡意軟體被掩蓋為包含銀行轉帳收據的PDF文檔的情況。奇怪的是,收據包含有效數據。具體而言,它提到了現有公司及其有效的財務細節;甚至汽車的VIN也與其型號相匹配。
惡意軟體顯示的銀行收據截圖
這些攻擊中使用的惡意軟體安裝了合法的遠程管理軟體——TeamViewer或Remote Manipulator System / Remote Utilities(RMS)。
三、使用RMS的攻擊
有幾種已知的方法可以將惡意軟體安裝在系統中。惡意文件可以通過附加到電子郵件的可執行文件或特製腳本運行。
例如,上面提到的檔案包含一個可執行文件,該文件具有相同的名稱,並且是受密碼保護的自解壓存檔。存檔會提取文件並運行一個腳本,用於安裝和啟動系統中的實際惡意軟體。
惡意軟體安裝文件的內容
從上面屏幕截圖中的命令可以看出,在複製文件後,腳本會刪除自身,並在系統中啟動合法軟體--Seldon v.1.7和RMS,使攻擊者能夠在用戶不知情的情況下控制受感染的系統。
根據惡意軟體版本,文件安裝在%AppData% LocalDataNT文件夾,%AppData% NTLocalData文件夾或%AppData% NTLocalAppData文件夾中。
當它啟動時,合法的RMS軟體載入程序操作所需的動態庫(DLL),包括系統文件winspool.drv,它位於系統文件夾中,用於將文檔發送到印表機。RMS使用其相對路徑不安全的載入庫(供應商已收到此漏洞的通知)。這使攻擊者能夠進行DLL劫持攻擊:他們將惡意庫與RMS可執行文件放在同一目錄中,從而導致惡意軟體組件載入並代替相應的系統庫獲取控制。
惡意庫完成惡意軟體安裝。具體來說,它創建一個註冊表值,負責在系統啟動時自動運行RMS。值得注意的是,在攻擊行動中的大多數情況下,註冊表值放在RunOnce鍵,而不是Run鍵,使惡意軟體僅在下次系統啟動時自動運行。之後,惡意軟體需要再次創建註冊表值。
攻擊者最有可能選擇這種方法來儘可能的掩蓋系統中惡意軟體的存在。惡意庫還實現了反分析和檢測的技術。其中一種技術涉及使用哈希動態導入Windows API函數。這樣,攻擊者就不必將這些函數的名稱存儲在惡意庫的正文中,這有助於隱藏程序的的實際功能。
實現動態導入功能的部分代碼
惡意動態庫winspool.drv解密由攻擊者準備的配置文件,其中包含RMS軟體設置、遠程控制機器的密碼以及通知攻擊者系統已成功感染所需的設置。
其中一個配置文件包含一個電子郵件地址,發送有關受感染系統的信息,包括計算機名、用戶名、RMS計算機的Internet ID等。作為此信息的一部分發送的Internet ID是在RMS供應商的合法伺服器上生成的。該標識符隨後用於連接到位於NAT後面的遠程控制系統(類似的機制也用於流行的即時消息解決方案)。
在IOC部分中提供了在已發現的配置文件中找到的電子郵件地址列表。
RC4的修改版本用於加密配置文件。上面提到的存檔中的配置文件如下所示。
解密InternetId.rcfg文件
解密notification.rcfg文件
解密Options.rcfg文件
解密assword.rcfg文件
在此之後,攻擊者可以使用系統的Internet ID和密碼在用戶不知情的情況下通過合法的RMS伺服器使用標準RMS客戶端來控制它。
四、使用TeamViewer的攻擊
使用合法TeamViewer軟體的攻擊與使用RMS軟體的攻擊非常相似,如上所述。一個顯著特徵是來自受感染系統的信息被發送到惡意軟體命令和控制伺服器,而不是攻擊者的電子郵件地址。
與RMS一樣,惡意代碼通過將惡意庫替換為系統DLL注入TeamViewer進程。上對於TeamViewer,使用msimg32.dll。
這不是一種獨特的策略。合法的TeamViewer軟體之前已被APT和網路犯罪分子用於攻擊。使用此工具的最著名的組織是TeamSpy Crew。我們認為本文檔中描述的攻擊與TeamSpy無關,並且是已知惡意軟體被另一個網路犯罪集團重用的結果。奇怪的是,用於加密配置文件的演算法和用於解密它的密碼(在分析這些攻擊的過程中被識別出來的)與去年4月在類似攻擊的描述中發布的相同。
眾所周知,合法的TeamViewer軟體不會向用戶隱藏其啟動或操作,具體而言,會通知用戶傳入的連接。同時,攻擊者需要在用戶不知情的情況下獲得受感染系統的遠程控制。為此,他們掛鉤了幾個Windows API函數。
使用稱為拼接(splicing)方法掛鉤函數。因此,當合法軟體調用其中一個Windows API函數時,控制權將傳遞給惡意DLL,並且合法軟體獲取欺騙性響應而不是操作系統的。
惡意軟體掛鉤的Windows API函數
掛鉤Windows API函數使攻擊者能夠隱藏TeamViewer窗口,保護惡意軟體文件不被檢測到,並控制TeamViewer啟動參數。
啟動後,惡意庫通過執行命令「ping 1.1.1.1」檢查Internet連接是否可用,然後解密惡意程序的配置文件tvr.cfg。該文件包含各種參數,例如遠程控制系統的密碼,攻擊者的命令和控制伺服器的URL,安裝TeamViewer服務的參數,用於發送到命令和控制伺服器的請求中HTTP頭部的User-Agent欄位,TeamViewer的VPN參數等。
解密的惡意軟體配置文件的截圖
與RMS不同,Team Viewer使用內置VPN遠程控制位於NAT後面的計算機。
與RMS的情況一樣,相關值將添加到RunOnce註冊表項,以確保惡意軟體在系統啟動時自動運行。
惡意軟體收集受感染計算機上的數據,並將其與遠程管理所需的系統標識符一起發送到命令和控制伺服器。發送的數據包括:
·操作系統版本
·用戶名
·計算機名
·運行惡意軟體的用戶的許可權級別的信息
·系統中是否存在麥克風和網路攝像頭
·是否安裝了防病毒軟體或其他安全解決方案,以及UAC的級別
使用以下WQL查詢獲取有關係統中安裝的安全軟體的信息:
rootSecurityCenter:SELECT * FROM AntiVirusProduct
收集的信息將使用以下POST請求發送到攻擊者的伺服器:
用於發送加密信息到命令控制伺服器的POST請求
涉及TeamViewer的攻擊的另一個顯著特徵是能夠向受感染的系統發送命令並讓惡意軟體執行。使用TeamViewer應用程序中內置的聊天從命令和控制伺服器發送命令。聊天窗口也被惡意庫隱藏,且日誌文件被刪除。
使用以下指令在Windows中執行發送到受感染系統的命令:
cmd.exe / c start / b
參數「/ b」表示攻擊者發送的用於執行的命令將在不創建新窗口的情況下運行。
如果從攻擊者的伺服器接收到適當的命令,惡意軟體還具有自毀機制。
五、使用其他惡意軟體
如果攻擊者需要其他數據(授權數據等),他們會將間諜軟體下載到受害計算機,以便收集郵箱、網站、SSH/FTP/Telnet客戶端的登錄名和密碼,以及記錄鍵盤和製作屏幕截圖。
攻擊者伺服器上託管並下載到受害者計算機的其他軟體包含來自以下家族的惡意軟體:
·Babylon RAT
·Betabot/Neurevt
·AZORult stealer
·Hallaj PRO Rat
這些特洛伊木馬很可能被下載到受感染的系統並用於收集信息和竊取數據。除了遠程管理,這些家族的惡意軟體功能還包括:
·鍵盤記錄
·製作截圖
·收集有關已安裝程序及正在運行的進程的系統信息
·下載其他惡意文件
·使用計算機作為代理伺服器
·從流行程序和瀏覽器中竊取密碼
·竊取加密貨幣錢包
·竊取skype通信
·開展DDoS攻擊
·中斷和欺騙用戶通信
·將任何用戶文件發送到命令和控制伺服器
在觀測到的其他情況下,在對受感染系統進行初步分析後,攻擊者在受害者的計算機下載了一個額外的惡意模塊,一個包含各種惡意和合法程序的自解壓存檔,顯然是為每個特定系統單獨選擇的。
例如,如果惡意軟體之前是由沒有本地管理員許可權的用戶執行的,為了規避Windows用戶帳戶控制(UAC),攻擊者使用上面提到的DLL劫持技術,但這次是在Windows上系統文件,%systemdir%migwizmigwiz.exe和cryptbase.dll。
此外,在某些系統中還安裝了另一個遠程管理實用程序RemoteUtilities,它提供了比RMS或TeamViewer更強大的功能集來控制受感染的計算機。其功能包括:
·遠程控制系統(RDP)
·將文件傳輸到受感染系統或從受感染系統傳輸文件
·控制受感染系統的電源
·遠程管理運行應用程序的進程
·Remoteshell(命令行)
·管理硬體
·捕獲屏幕截圖和屏幕視頻
·從連接到受感染系統的錄音設備記錄聲音和視頻
·遠程管理系統註冊表
攻擊者使用RemoteUtilities的修改版本,使他們能夠在用戶不知情的情況下執行上述操作。
在某些情況下,除了cryptbase.dll和RemoteUtilities之外,還安裝了Mimikatz實用程序。我們認為,如果第一個受感染的系統上沒有安裝處理財務數據的軟體,則攻擊者會使用Mimikatz。在此情況下,Mimikatz實用程序用於竊取企業員工的身份認證數據,並遠程訪問企業網路中的其他計算機。攻擊者使用此技術會帶來嚴重危險:如果他們成功獲取域管理員帳戶的帳戶憑據,則可以控制企業網路中的所有系統。
六、攻擊目標
根據KSN的數據,從2017年10月到2018年6月,使用本文所述的惡意軟體攻擊了大約800名在各個工業公司工作的員工。
2017 .10–2018.06受攻擊的計算機數量
根據我們的估計,俄羅斯至少有400家工業公司成為這次攻擊的目標,包括以下行業的公司:
·製造業
·石油和天然氣
·冶金
·工程
·能源
·施工
·礦業
·物流
基於此,可以得出結論,攻擊者沒有專註於任何特定行業或部門。與此同時,其行動清楚的表明他們決定特意攻擊屬於工業公司的系統。網路犯罪分子的這種選擇可以解釋為工業公司的威脅意識和網路安全文化不如其他經濟行業(如銀行或IT公司)的公司。正如之前所指出的那樣,工業公司比其他類型的公司更常見的是在賬戶上進行涉及大量資金的業務。這也使他們成為更吸引網路犯罪分子的目標。
七、總結
這項研究再次表明,即使使用簡單的技術和已知的惡意軟體,威脅行為者也可以通過熟練的使用社會工程並在目標系統中掩蓋惡意代碼來成功攻擊許多工業公司。犯罪分子積極使用社會工程來防止用戶懷疑他們的計算機受到感染。他們還使用合法的遠程管理軟體來規避防病毒解決方案的檢測。
這一系列攻擊主要針對俄羅斯機構,但同樣的策略和工具可用於攻擊世界上任何國家的工業公司。
我們認為,這次攻擊背後的威脅行動者很可能是一個犯罪集團,其成員可以很好的掌握俄語。為攻擊中使用的網路釣魚電子郵件準備的高級別俄語文本以及攻擊者用俄語更改機構財務數據的能力表明了這一點。有關攻擊者使用的基礎結構和語言研究的更多數據可在Treat Intelligence門戶網站的私密版本中找到。
遠程管理功能使犯罪分子能夠完全控制受感染系統,因此攻擊方案不僅限於盜竊金錢。在攻擊目標的過程中,攻擊者竊取屬於目標組織、其合作夥伴和客戶的敏感數據,對受害公司員工進行秘密視頻監控,並使用連接到受感染機器的設備錄製音頻和視頻。
卡巴斯基實驗室產品會檢測此攻擊中使用的各種惡意軟體組件,並做出以下判決:
·Trojan.BAT.Starter
·Trojan.Win32.Dllhijack
·Trojan.Win32.Waldek
·Backdoor.Win32.RA-based
·Backdoor.Win32.Agent
※高度複雜的寄生蟲RAT已出現在暗網
※Thermanator攻擊:通過讀取鍵盤上的熱殘留竊取密碼
TAG:嘶吼RoarTalk |