供應鏈攻擊活動Red Signature分析

IssueMakersLab與Trend Micro的研究人員一起發現了Red Signature行動，一起竊取韓國企業信息的供應鏈攻擊。研究人員7月底發現了這起攻擊。

攻擊者黑進了遠程支持方案提供商的更新伺服器，通過更新過程傳播9002 RAT（remote access tool）。這個過程首先是竊取公司的證書，然後用竊取的證書對惡意軟體進行簽名。如果客戶端位於目標組織的IP地址範圍內，攻擊者還會配置更新伺服器使其只傳播惡意文件。

9002 RAT還會安裝其他的惡意工具，IIS 6 WebDav（利用CVE-2017-7269）的漏洞利用工具和SQL資料庫密碼複製器。安裝的這些工具暗示攻擊者的目標未web伺服器和資料庫。

圖1. Red Signature行動供應鏈

Red Signature行動工作原理：

從遠程支持解決方案提供商處竊取代碼簽名證書。證書竊取的時間大概是2018年4月，因為研究人員4月8日發現一個用被竊的證書籤名的ShiftDoor惡意軟體（4ae4aed210f2b4f75bdb855f6a5c11e625d56de2）。

準備惡意更新文件，用竊取的證書對惡意更新文件進行簽名，然後上傳到攻擊者的伺服器（207[.]148[.]94[.]157）。

黑掉該企業的更新伺服器。

配置更新伺服器。如果客戶端從屬於目標組織的IP地址範圍內連接到伺服器，配置更新服務為從攻擊者的伺服器接收update.zip文件。

當遠程支持程序執行時，發送惡意update.zip文件到客戶端。

遠程支持程序驗證簽名認為更新文件為非惡意文件，然後執行update.zip文件中的9002 RAT惡意軟體。

9002 RAT從攻擊者伺服器下載和執行其他惡意文件。

技術分析

更新文件update.zip中含有update.ini文件，含有惡意更新配置信息，其中說明了遠程支持解決方案程序下載file000.zip和file001.zip，然後解壓為rcview40u.dll和rcview.log到安裝文件夾。

程序會執行用竊取的證書籤名的rcview40u.dll和Microsoft register server (regsvr32.exe)。DLL文件負責解密加密的rcview.log文件並再內存中執行。9002 RAT是解密的rcview.log的payload，會連接到位於66[.]42[.]37[.]101的C2伺服器。

圖2. 惡意更新配置文件的內容

圖3. 被黑的更新進程啟動9002 RAT的過程

圖4. 解密的rcview.log文件的payload中的9002 RAT字元串模式

9002 RAT

研究人員分析9002 RAT發現是RAT文件2018年7月編譯的，update.zip文件中的配置文件是7月18日創建的。分析更新日誌文件發現遠程支持程序的更新進程是7月18日啟動的，9002 RAT也是這個時間下載和執行的。

研究人員還發現特定攻擊中使用的RAT文件在8月被設為不活動狀態，所以RAT的活動日期是非常短暫的（7月18日-7月 31日）。

圖5. 9002 RAT樣本編譯時間戳（上），惡意配置文件時間戳（中），程序更新日誌截圖（下）

圖6. 9002 RAT檢查系統時間並設定在2018年8月休眠的代碼段

其他的惡意工具

9002 RAT還作為傳播其他惡意軟體的跳板。大多數的惡意軟體都是以.cab壓縮文件格式下載的。這也是繞過反病毒軟體檢測的一種方法。

下圖為9002 RAT提取和傳播的文件列表：

圖7. 下載的Web.ex_ cabinet文件（左）和解壓的Web.exe文件（右）

其中下載一個文件printdat.dll就是一個RAT，是PlugX惡意軟體的變種，會連接到相同的C2伺服器（66[.]42[.]37[.]101）。

圖8. printdat.dll文件中的內部PlugX date dword值

如何緩解供應鏈攻擊

供應鏈攻擊不僅會影響用戶和企業，因為利用的是廠商和客戶之間的信任。通過木馬化軟體、應用，操作運行的基礎設施和平台，供應鏈攻擊會影響企業提供的商品和服務的完整性和安全性。比如在醫療領域，行業非常依賴第三方和雲服務，供應鏈攻擊會使個人身份信息隱私和知識產權數據處於威脅中，還可以破壞醫院運營，甚至危及病人健康。隨著歐盟GDPR等監管措施的實施，這種攻擊的影響可能會加大。

下面是一些最佳實踐供參考：

考慮第三方產品和服務的安全。除了確保企業自己的在線基礎的安全性外，還要對使用的第三方應用應用安全控制措施。

開發應急響應策略。供應鏈攻擊大多是有特定目標的，企業要完全理解、管理和監控第三方廠商的威脅。

主動監控網路中的異常流量。防火牆、入侵檢測和預防系統能夠幫助緩解基於網路的威脅。

最小許可權原則。網路隔離、數據分類、系統管理工具的限制使用以及應用控制都可以幫助減少暴露的數據。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！