當前位置:
首頁 > 新聞 > 供應鏈攻擊活動Red Signature分析

供應鏈攻擊活動Red Signature分析

IssueMakersLab與Trend Micro的研究人員一起發現了Red Signature行動,一起竊取韓國企業信息的供應鏈攻擊。研究人員7月底發現了這起攻擊。

攻擊者黑進了遠程支持方案提供商的更新伺服器,通過更新過程傳播9002 RAT(remote access tool)。這個過程首先是竊取公司的證書,然後用竊取的證書對惡意軟體進行簽名。如果客戶端位於目標組織的IP地址範圍內,攻擊者還會配置更新伺服器使其只傳播惡意文件。

9002 RAT還會安裝其他的惡意工具,IIS 6 WebDav(利用CVE-2017-7269)的漏洞利用工具和SQL資料庫密碼複製器。安裝的這些工具暗示攻擊者的目標未web伺服器和資料庫。

圖1. Red Signature行動供應鏈

Red Signature行動工作原理:

從遠程支持解決方案提供商處竊取代碼簽名證書。證書竊取的時間大概是2018年4月,因為研究人員4月8日發現一個用被竊的證書籤名的ShiftDoor惡意軟體(4ae4aed210f2b4f75bdb855f6a5c11e625d56de2)。

準備惡意更新文件,用竊取的證書對惡意更新文件進行簽名,然後上傳到攻擊者的伺服器(207[.]148[.]94[.]157)。

黑掉該企業的更新伺服器。

配置更新伺服器。如果客戶端從屬於目標組織的IP地址範圍內連接到伺服器,配置更新服務為從攻擊者的伺服器接收update.zip文件。

當遠程支持程序執行時,發送惡意update.zip文件到客戶端。

遠程支持程序驗證簽名認為更新文件為非惡意文件,然後執行update.zip文件中的9002 RAT惡意軟體。

9002 RAT從攻擊者伺服器下載和執行其他惡意文件。

技術分析

更新文件update.zip中含有update.ini文件,含有惡意更新配置信息,其中說明了遠程支持解決方案程序下載file000.zip和file001.zip,然後解壓為rcview40u.dll和rcview.log到安裝文件夾。

程序會執行用竊取的證書籤名的rcview40u.dll和Microsoft register server (regsvr32.exe)。DLL文件負責解密加密的rcview.log文件並再內存中執行。9002 RAT是解密的rcview.log的payload,會連接到位於66[.]42[.]37[.]101的C2伺服器。

圖2. 惡意更新配置文件的內容

圖3. 被黑的更新進程啟動9002 RAT的過程

圖4. 解密的rcview.log文件的payload中的9002 RAT字元串模式

9002 RAT

研究人員分析9002 RAT發現是RAT文件2018年7月編譯的,update.zip文件中的配置文件是7月18日創建的。分析更新日誌文件發現遠程支持程序的更新進程是7月18日啟動的,9002 RAT也是這個時間下載和執行的。

研究人員還發現特定攻擊中使用的RAT文件在8月被設為不活動狀態,所以RAT的活動日期是非常短暫的(7月18日-7月 31日)。

圖5. 9002 RAT樣本編譯時間戳(上),惡意配置文件時間戳(中),程序更新日誌截圖(下)

圖6. 9002 RAT檢查系統時間並設定在2018年8月休眠的代碼段

其他的惡意工具

9002 RAT還作為傳播其他惡意軟體的跳板。大多數的惡意軟體都是以.cab壓縮文件格式下載的。這也是繞過反病毒軟體檢測的一種方法。

下圖為9002 RAT提取和傳播的文件列表:

圖7. 下載的Web.ex_ cabinet文件(左)和解壓的Web.exe文件(右)

其中下載一個文件printdat.dll就是一個RAT,是PlugX惡意軟體的變種,會連接到相同的C2伺服器(66[.]42[.]37[.]101)。

圖8. printdat.dll文件中的內部PlugX date dword值

如何緩解供應鏈攻擊

供應鏈攻擊不僅會影響用戶和企業,因為利用的是廠商和客戶之間的信任。通過木馬化軟體、應用,操作運行的基礎設施和平台,供應鏈攻擊會影響企業提供的商品和服務的完整性和安全性。比如在醫療領域,行業非常依賴第三方和雲服務,供應鏈攻擊會使個人身份信息隱私和知識產權數據處於威脅中,還可以破壞醫院運營,甚至危及病人健康。隨著歐盟GDPR等監管措施的實施,這種攻擊的影響可能會加大。

下面是一些最佳實踐供參考:

考慮第三方產品和服務的安全。除了確保企業自己的在線基礎的安全性外,還要對使用的第三方應用應用安全控制措施。

開發應急響應策略。供應鏈攻擊大多是有特定目標的,企業要完全理解、管理和監控第三方廠商的威脅。

主動監控網路中的異常流量。防火牆、入侵檢測和預防系統能夠幫助緩解基於網路的威脅。

最小許可權原則。網路隔離、數據分類、系統管理工具的限制使用以及應用控制都可以幫助減少暴露的數據。


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 嘶吼RoarTalk 的精彩文章:

SGX可能遇到的攻擊
加密貨幣挖礦殭屍通過潛在的垃圾網站攻擊運行SSH服務的設備

TAG:嘶吼RoarTalk |