一、概述近日,腾讯安全御见威胁情报中心捕获到一起针对某大型数字加密币交易平台客服人员发起的鱼叉式定向攻击。攻击者自称为币圈资深用户,由于对该交易平台客服不满,进而对比了该平台与其竞争关系的xx平台,并列出多条建议在邮件附件中,希望该平台做出改进。
邮件附件中包含了一个名为“客服和xx投诉对比和记录2019.xls”的电子表格文件,该文件为攻击诱饵文件,携带Excel4.0XLM宏代码,当接收邮件的客服人员打开该文件,且允许执行其中的宏代码,宏代码将拉取一个伪装为HelloWorld的恶意程序执行,最终经过多层恶意代码解密,执行CobaltStrike远控后门。
针对数字加密币公司的定向攻击流程
一旦客服人员机器被成功植入木马,攻击者则可以轻易的获取到交易平台内部信息资料,甚至通过该客服机器作为跳板机,入侵交易所内部核心机密数据,最终导致平台遭受不可预估的损失。最坏的情况下,可能导致交易平台数字虚拟币被盗。数字虚拟币大规模被盗的事件在币圈曾频繁发生,每次都会引起数字虚拟币市值的极大波动。
通过攻击目标企业安全意识薄弱职位的相关人员,在APT攻击中往往能取得不错的成效。例如攻击者通常通过对攻击目标客服人员发送咨询/建议邮件,对销售人员发送订单信息/采购邮件,对人力资源人员发送简历信息邮件,对法务人员发送律师函等。
腾讯安全团队此前捕获到的:《御点截获针对某大型商贸企业的定向商业APT攻击》,也同样使用了类似的手法。
声音 | 蚂蚁金服区块链产品专家:小微企业用区块链实现无接触贷款,可以缓解现金流短缺:据了解,疫情期间,尚未完全复工的小微企业对现金流的需求主要有两个部分:人力支出和租赁成本。蚂蚁金服区块链产品专家梁蓉在接受采访时表示,一些小微企业目前账面上的现金流,能维持人力支出加租赁支出的时间,不会超过三个月。应收账款在关键时期,将成为小微企业的关键财富。在这一关键环节上,小微企业用区块链实现无接触贷款,一定程度上可以解决现金流短缺的燃眉之急。梁蓉解释称,整个链路上的核心企业产生的付款,由核心企业来签发一个付款凭证,各级的供应商之间,基于真实的贸易去支付这个付款凭证,如果小微企业手里有这个付款凭证,他就可以根据蚂蚁合作的银行在线申请贷款,这个贷款无需线下见面和办理手续,最快可以达到秒级放款。(21世纪经济报道)[2020/2/28]
攻击邮件示例
攻击文档示例
总结一下本次攻击的特点:
事件基础信息
针对某区块链数字加密币交易平台的APT攻击
影响客户和行业
数字加密币交易平台公司
攻击路径
鱼叉邮件攻击,利用社会工程学诱目标打开内嵌恶意宏代码的攻击文件。
主要技术特点
1.诱饵文档利用Excel4.0XLM恶意宏代码;
2.社会工程学利用,诱导目标启用宏代码;
3.XLM恶意宏代码拉取一个伪装为HelloWorld的恶意程序执行,经过多层恶意代码解密执行,最终释放RAT远控木马;
声音 | 腾讯安全王强:区块链正在与实体行业加速融合 为产业升级转型注入动力:11月29日,湖南(长沙)网络安全?智能制造大会在长沙国际会展中心举行。腾讯安全受邀出席区块链应用与落地主体论坛,腾讯TUSI安全实验室专家王强分享了腾讯安全在产业区块链领域的前沿探索与最佳实践。王强表示,区块链正在与实体行业加速融合,为产业的升级、转型注入动力。例如对于传统产业来说,多主体间信任、价值传递和数字化转型等问题是很多传统产业所面临的难题,而区块链的技术特性可以满足其转型升级中的增信、自动化以及数字化的需求,为探索产业区块链新模式提供空间。通过“区块链+”模式,加速推进产业区块链建设,是当前区块链行业发展的主要趋势。为了更好地服务于数字经济,产业区块链从广度上不仅要覆盖实体行业的司法、政务、教育、版权、医疗和公益等,也要触及金融行业的支付、征信、保险和供应链金融等等。同时,在深度上,产业区块链将逐步打破中心化弊端,建立多方协作、资产数字化以及数字资产化链条,逐渐构建稳健的价值互联网生态。[2019/11/29]
4.远控木马的持久化运行,攻击者实现对目标网络的入侵和信息窃取。
二、技术分析
Excel4.0恶意宏利用使用Office2010打开恶意文档,可看到虽然有宏提示,但无法看到宏代码。表格内容通过提示需点击“启用内容”进一步查看表格详细内容,进而诱导被攻击者启用宏。
诱饵文档极具迷惑性
动态 | 马来西亚证交所为证券借贷开发区块链概念验证:据Barnama.com5月6日消息,总部位于吉隆坡的马来西亚证券交易所(Bursa Malaysia)正在开发一种基于区块链的证券借贷概念验证(PoC),旨在提高透明度,并解决马来西亚借贷证券面临的其他挑战。据悉,这是东南亚国家联盟成员国首次提出此类倡议,PoC是与香港证交所的技术合作伙伴Forms Syntron Information合作开发。 此前报道,西班牙主要股票市场运营商西班牙证券交易所(Bolsas y Mercados Espanoles)已完成首个区块链抵押品担保电子证书试点。[2019/5/6]
Microsoft很早就使用VBA宏来代替Excel4.0宏技术,这导致Excel4.0宏并不为大众所熟知。文档中右键点击标签页,取消隐藏选择auto后,可看到其Excel4.0-XLM宏代码,宏内容隐藏在表格中,主要功能为通过将d列表格内容写入文件null.hta,然后通过rundll32执行null.hta。
右键标签页取消隐藏工作表,选中auto
之后可看到表格中隐藏的宏代码
也可使用oletools直接提取宏
下图为整理后的null.hta代码,主要功能为从链接(hxxp://close.webredirect.org/age.png)处下载图片文件到本地ProgramData目录下命名为A164C0BF-67AE-3C7E-BC05-BFE24A8CDB62.dat执行。
行情 | 美股区块链概念股涨跌各异:今日美股收盘,美股区块链概念股涨跌各异。柯达收平,埃森哲收涨0.20%,Overstock.com收涨0.23%,Riot Blockchain收跌0.96%,Marathon Patent收跌4.38%,Square收涨1.60%。[2019/4/30]
伪装自身为HelloWorld的空白main函数恶意程序:查看下载回的age.png文件,粗略看是一个Main函数为空的HelloWorld程序,攻击者使用该手法来迷惑分析人员误以为其只是一个测试程序。
仔细观察可发现看似是HelloWorld的空白程序,其中包含了一个卸载接口函数,宏代码使用以下.net命令执行该文件中的卸载函数:
C:\Windows\Microsoft.NET\Framework\v2.0.50727\InstallUtil.exe-UC:\Windows\..\ProgramData\A164C0BF-67AE-3C7E-BC05-BFE24A8CDB62.dat
卸载接口中将执行一段PowerShell代码,PowerShell代码使用Base64编码并压缩
周巍:区块链等技术将推动航运业进入新时代:近日,中国海事金融(东疆)国际论坛在天津举行。民生金融租赁股份有限公司董事长周巍表示,新一代信息技术的进步从根本上改变航运企业的竞争格局。互联网、物联网、大数据、云计算、人工智能、区块链等新一代信息技术方兴未艾,将推动整个航运业进入网络化发展的新时代。[2018/4/26]
解码解压缩后的PowerShell代码如下,主要功能为访问地址Hxxp://close.webredirect.org/index.png?random,随后将返回一个大小约200k的数据流,在内存中对返回的数据先进行Base64解码,解码后内容的前16字节作为RC4密钥,使用RC4再解密剩余部分数据执行。
进一步查看RC4解密后的PowerShell代码如下,主要功能为释放RAT远控木马,并将其设置持久化。
其中关键变量wlbsctrl,解码后为一个区分x86,x64不同平台的dll模块,Powershell代码通过对释放到本地的wlbsctrl.dll进行持久化操作,而wlbsctrl.dll模块主要功能为调用InstallUntil.exe模块进而执行27F31D55-D6C6-3676-9D42-C40F3A918636.dat中的卸载接口,从而实现间接开机启动执行27F31D55-D6C6-3676-9D42-C40F3A918636.dat中的恶意代码。
关键变量rat解码后查看,依然为一个HelloWorld-Main空程序,该模块同样使用卸载函数执行恶意代码,不同点为卸载接口内PowerShell内容不同,该模块解码后存放于用户目录27F31D55-D6C6-3676-9D42-C40F3A918636.dat文件中。
27F31D55-D6C6-3676-9D42-C40F3A918636.dat中的PowerShell代码内部解密硬编码变量DoIt执行,解密方式依然为RC4,密钥为Base64解码后内容的前16字节。
对DoIt变量解密后可拿到其代码,主要为创建线程,申请内存执行payload,payload的解密方式依然为Base64解码+RC4,与之前的不同之处为解密完成后再进行一次Base64解码获取最后要执行的ShellCode。
云端拉取内存装载执行的ShellCode:
ShellCode代码通过遍历LDR找到kernel32模块,然后获取LoadLibraryA的地址,加载Wininet模块,然后获得一系列网络操作函数InternetConnect,httpOpenRequest,httpSendRequest地址调用,最终向地址192.52.167.185发送Get请求,并使用InternetReadFIle循环每次读取0x2000字节网络数据流在内存中拼接出一个完整Dll文件,Dll使用反射式装载的方式在内存中执行。
CobaltStrike后门远控DLL:内存中可dump出的反射加载的DLL文件
观察该Dump模块可知为CobaltStrike生成的DLL后门远控攻击模块,CobaltStrike攻击模块数据交互支持HTTP、HTTPS、DNS和SMB隧道协议,该后门支持远程屏幕,键盘记录,远程Shell等常用的远程控制功能。攻击模块通过异或0x69解密出上线配置信息。
解密可得攻击者使用C2地址为192.52.167.185
CobaltStrike控制端主界面如下,是一个具备键盘记录,屏幕监控,远程shell的多功能的后门远控,攻击者可利用该木马窃取用户机器内重要资料,详细资料可参考其官方站点。
三、安全建议1、建议不要打开不明来源的邮件附件,除非清楚该文档来源可靠;2、企业要防止组织架构和员工信息的公开泄漏;3、使用高版本完整版Ofiice,并注意安装Office安全更新,如下图中高版本Office会自动识别出文档有风险,提醒用户“编辑此文件可能损害计算机”;
4、使用杀软件防御可能的病木马攻击。
IOCs
MD566e36f8395ab863c0722e129da19b53a47a3bfa4c2cda547a20cfd495355ed8f1c19ccab8237cd63b9e1f2d3b4303bc714be66a46b1964ba2307fe8a54baadf21d93f68b6d7f0b03eb137974b16e249b95c998ebef4804e2d15dcef659d73df6
URLhxxp://close.webredirect.org/age.pnghxxp://close.webredirect.org/index.png
C2192.52.167.185
参考资料:御点截获针对某大型商贸企业的定向商业APT攻击https://mp.weixin.qq.com/s/kusT8mArumwmuRaiAtdRWA
有关数字加密币交易所被盗的新闻报道:https://finance.sina.com.cn/blockchain/roll/2019-03-27/doc-ihsxncvh6018982.shtml
来源:腾讯御见威胁情报中心
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。