一、前言
隨著新冠肺炎病毒(nCoV-19)在世界範圍內的傳播擴散,多個國際黑客組織開始注意到疫情話題在社會工程學方面的易用性,用疫情信息做掩護髮起攻擊。
在綠盟科技伏影實驗室早前發佈的信息中顯示,已有Emotet、FormBook等知名木馬在攻擊中使用了疫情信息作為誘餌。(詳情可見:http://blog.nsfocus.net/watch-out-for-hackers-attacked-by-new-crown-virus-pneumonia/)
近期,伏影實驗室發現,NetWire遠控木馬控制者開始使用nCoV-19疫情相關的誘餌文檔來投放木馬。相關IOC可通過綠盟威脅情報中心(https://nti.nsfocus.com/)獲取。
NetWire,又稱NetWireRC或Recam,是一款遠控木馬,最早出現在2012年。曾被尼日利亞的黑客用於攻擊企業目標。多年以來,NetWire一直在更新版本,並演化出多條不同的攻擊鏈。2019年起,NetWire進入新一輪的爆發期,藉助由魚叉郵件和網盤組建的擴散網絡廣為傳播。
二、事件簡述
近期,伏影實驗室捕獲的部分NetWire文檔樣本中含有nCoV-19疫情的社工信息。
當受害者打開惡意郵件中的附件文檔時,將會看到如下所示的內容:
文檔中圖片顯示了nCoV-19病毒的全球傳播情況,並且有地域上的錯誤。
而該文檔實際包含cve-2017-11882公式編輯器漏洞,會下載並執行惡意程序,最終使NetWire木馬在受害者主機上運行。
該NetWire的大致攻擊流程如下:
漏洞rtf文檔運行後,通過短鏈接獲取到二階段載荷的地址並下載運行,二階段載荷將解密後的字符串和shellcode注入到windows程序ieinstal.exe中運行,shellcode訪問GoogleDrive並將NetWire下載到內存中執行。該NetWire變種最終連接cnc服務器79.137.*.103。
三、事件分析
rtf文檔
該誘餌文檔包含高度混淆的rtf編碼,會觸發cve-2017-11882漏洞:
漏洞觸發後,程序跳轉至shellcode運行。shellcode使用常見的GlobalLock思路尋找Ole流對象位置,隨後跳轉至對象中的第二段shellcode運行。第二段shellcode亦經過高度混淆。
該漏洞文檔的惡意shellcode最終下載短鏈接bit.ly/2T*xW(當前被解析至hxxp://www.asim*.com/new/Notepad.txt)中的內容並執行,同時在word中顯示文檔中附帶的jpeg格式疫情地圖。
Notepad.txt
惡意rtf下載運行的二階段載荷Notepad.txt是vb程序,主要功能為啟動和注入windows程序ieinstal.exe,注入內容為shellcode和解密後的字符串配置項等。
被注入的isinstal.exe運行後,會創建指定目錄USER\\\\Bagtaler4\\\\,將惡意程序本體轉移至目錄下並命名為Samipat8.exe,之後創建註冊表啟動項實現持久化:
隨後程序訪問硬編碼地址hxxps://drive.google.com/uc?export=download&id=1kFK*Jz90下載解密並執行最終階段載荷NetWire遠控木馬。
解密過程中使用了以下函數:
解密邏輯為長鍵值異或,使用的異或鍵由shellcode提供。本例中用到的解密鍵長度為0x24A,由長為0x100的鍵循環生成,值為:
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
NetWire
被注入的ieinstal程序最終在內存中加載了NetWire木馬。
木馬程序連接C&C地址為79.137.*.103:39561,通信遵循以下格式:
data部分使用aes加密,加密的key與IV在木馬初始化時隨機生成,並在首次通信時上傳給C&C:
圖中藍色部分為協議頭部,紅色部分為32字節key,黃色部分為16字節IV,綠色部分為加密例文,對應的明文硬編碼在木馬文件中。
C&C收到木馬提供的加密鍵後,使用此鍵加密data段內容,與木馬持續通信:
本例中使用的NetWire木馬是功能較全的變種,共支持57種不同的指令,可進行包括文件操作、進程操作、窗口操作、註冊表操作、反彈shell、流量轉發、模擬輸入、用戶憑證竊取等行為。具體功能見指令表:
四、事件影響
關聯數據顯示,此次事件中的域名www.asim*.com在2019年10月就開始下發NetWire木馬,而事件中的網盤鏈接自2月26日被發現以來已經運行了超過兩週。此外,我們通過數據發現,自今年以來NetWire已經下發了25個不同的網盤鏈接,其中早在1月9日的鏈接至今仍可訪問。以上信息均證實了NetWire攻擊具有長效性。
本次nCoV-19疫情誘餌的傳播表明NetWire及其背後的團體進入了新的活躍期,長效的攻擊鏈使得郵件用戶將有相當長的時間籠罩在NetWire的攻擊之下。
關於伏影實驗室
伏影實驗室專注於安全威脅研究與監測技術,包括但不限於威脅識別技術,威脅跟蹤技術,威脅捕獲技術,威脅主體識別技術。研究目標包括:殭屍網絡威脅,DDOS對抗,WEB對抗,流行服務系統脆弱利用威脅、身份認證威脅,數字資產威脅,黑色產業威脅 及 新興威脅。通過掌控現網威脅來識別風險,緩解威脅傷害,為威脅對抗提供決策支撐。
關於綠盟威脅情報中心
綠盟威脅情報中心(NSFOCUS Threat Intelligence center, NTI)是綠盟科技為落實智慧安全2.0戰略,促進網絡空間安全生態建設和威脅情報應用,增強客戶攻防對抗能力而組建的專業性安全研究組織。其依託公司專業的安全團隊和強大的安全研究能力,對全球網絡安全威脅和態勢進行持續觀察和分析,以威脅情報的生產、運營、應用等能力及關鍵技術作為核心研究內容,推出了綠盟威脅情報平臺以及一系列集成威脅情報的新一代安全產品,為用戶提供可操作的情報數據、專業的情報服務和高效的威脅防護能力,幫助用戶更好地瞭解和應對各類網絡威脅。
NTI網址:https://nti.nsfocus.com/
閱讀更多 綠盟科技 的文章
