51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

暴涨3倍!通过受感染 USB 窃密的事件愈发变多

作者:Avenger
安全
2023 年上半年,Mandiant 观察到使用受感染 USB 驱动器窃取机密数据的事件至少增加了3倍。本文将会介绍研究人员发现的两外两次基于 USB 驱动器的网络间谍行动。

2023 年上半年,Mandiant 观察到使用受感染 USB 驱动器窃取机密数据的事件至少增加了3倍。此前,Mandiant 披露了在菲律宾的一次攻击行动。本文将会介绍研究人员发现的两外两次基于 USB 驱动器的网络间谍行动。

通过 USB 闪存驱动器感染 SOGU 恶意软件

这是使用 USB 闪存驱动器的间谍攻击,也是针对全球各行业垂直领域的公共与私营部门的攻击行动。攻击者使用 USB 闪存驱动器加载 SOGU 恶意软件,来窃取主机的敏感信息。

Mandiant 将攻击行动归因于 TEMP.Hex 攻击团伙,针对欧洲、亚洲与美国的多个行业进行攻击,对建筑、工程、商业服务、政府、卫生、运输与零售行业构成威胁。

通过 USB 闪存驱动器传播 SNOWYDRIVE 恶意软件

攻击者使用 USB 闪存驱动器传播 SNOWYDRIVE 恶意软件。一旦加载成功,就会在失陷主机上创建后门,攻击者可以远程发送命令,使恶意软件传播到其他闪存驱动器上以在整个网络中扩散。

Mandiant 将攻击行动归因于 UNC4698,这是一个针对亚洲石油与天然气公司进行攻击的团伙。一旦获取了访问权限,就可以执行任意命令、修改注册表等。

SOGU 恶意软件

研究人员首先发现该攻击行动,在攻击者用于存放恶意软件、攻击工具或实用程序的开放目录中寻找可疑文件写入。

受害者国家分布

image.png-212.8kBimage.png-212.8kB

受害者行业分布

最初的感染

受感染的 USB 闪存驱动器是最初始的感染媒介,其中包含多个恶意软件,旨在通过 DLL 劫持将恶意 Payload 加载到内存中。

image.png-136.6kBimage.png-136.6kB

攻击链

立足点

完整的感染链通常由三个文件组成:合法的可执行文件、恶意 DLL 加载文件与加密的 Payload 文件。如下显示了整个攻击周期发现的恶意软件文件与路径:

image.png-43.6kBimage.png-43.6kB

常利用的合法可执行文件为安全软件

在合法的可执行文件执行时,会加载一个恶意 DLL 文件(KORPLUG)。随后 KORPLUG 将会加载加密的 dat 文件中的 Shellcode 数据,并在内存中执行。Shellcode 是一个用 C 语言编写的后门,被命名为 SOGU。

侦察

通过将批处理文件放入 RECYCLE.BIN 路径下继续进行侦察。该批处理文件会探测主机并将结果输出到名为 c3lzLmluZm8 的文件中。通过 base64 解码后,c3lzLmluZm8 为 sys.info。脚本执行以下命令收集系统特定元数据:

  • tasklist /v
  • arp -a
  • netstat -ano
  • ipconfig /all
  • systeminfo

随后,恶意软件会在 C 盘检索以下扩展名的文件:

  • .doc
  • .docx
  • .ppt
  • .pptx
  • .xls
  • .xlsx
  • .pdf

恶意软件会加密每个文件的副本,并且使用 base64 对原始文件名进行编码,再将加密的文件放入以下目录:

  • C:\Users\\AppData\Roaming\Intel\\
  • :\RECYCLER.BIN\\

持久化

为了保持持久化,恶意软件需要创建一个伪装成合法程序的目录,并将该目录的属性设置为隐藏。然后,将主要组件都复制到该目录下。常用的文件路径如下所示:

  • C:\ProgramData\AvastSvcpCP
  • C:\ProgramData\AAM UpdatesHtA
  • C:\ProgramData\AcroRd32cWP
  • C:\ProgramData\Smadav\SmadavNSK

随后创建一个与之前创建的目录同名的 Run 注册表项,该表项用于在用户登录时自动运行程序:

  • Value: AvastSvcpCP
  • Text: C:\ProgramData\AvastSvcpCP\AvastSvc.exe
  • Value: AAM UpdatesHtA
  • Text: C:\ProgramData\AAM UpdatesHtA\AAM Updates.exe
  • Value: AcroRd32cWP
  • Text: C:\ProgramData\AcroRd32cWP\AcroRd32.exe
  • Value: SmadavNSK
  • Text: C:\ProgramData\Smadav\SmadavNSK\Smadav.exe

某些 SOGU 变种,可能会创建一个额外的计划任务(SCHTASKS.exe /create /sc minute /mo 10 /tn "Autodesk plugin" /tr """"C:\ProgramData\Smadav\SmadavNSK\Smadav.exe""" 644" /f)。每十分钟运行一次恶意软件,以进行持久化。

完成任务

攻击的最后阶段,恶意软件将会回传所有数据。通信使用 HTTP、HTTPS、TCP 或者 UDP 的自定义协议以及 ICMP。该恶意软件还支持多种命令,包括文件传输、文件执行、远程桌面、屏幕截图、反向 Shell 与键盘记录。

该恶意软件还可以复制到失陷主机新的可移动设备上,使恶意软件能够传播到其他设备,这样也能够穿越气隙网络回传数据。

SNOWYDRIVE 攻击亚洲石油与天然气公司

用户被引诱在 USB 驱动器上执行恶意软件时,通常会发现命令行检索可疑文件夹路径。虽然这种类型的威胁并不罕见,但研究人员坚持发现了特殊的间谍行动。

最初的感染

受感染的 USB 闪存驱动器是初始感染媒介,受害者被引诱点击为转成合法可执行文件的恶意软件。执行后,就会触发一系列恶意行为。

image.png-587.2kBimage.png-587.2kB

攻击链

立足点

感染链通常从可执行文件开始,将恶意文件写入磁盘并启动。例如,名为 USB Drive.exe 的恶意程序将以下加密文件写入 C:\Users\Public\SymantecsThorvices\Data:

  • aweu23jj46jm7dc
  • bjca3a0e2sfbs
  • asdigasur3ase
  • sf33kasliaeae
  • sf24acvywsake

加密文件包含在目录 C:\Users\Public\SymantecsThorvices\Bin 中提取与写入的可执行文件和 DLL 文件。

image.png-176.6kBimage.png-176.6kB

组件情况

这些文件一共分为四个部分,每部分都是由合法的可执行文件通过 DLL 顺序劫持加载的恶意 DLL 文件组成。如下所示,每个组件负责攻击中的一部分任务。

image.png-137.6kBimage.png-137.6kB

组件列表

命令与控制

名为 SNOWYDRIVE 的基于 Shellcode 的后门会根据系统名称、用户名与卷序列号生成唯一标识。该标识符会在 C&C 通信时被当成唯一 ID,而且 C&C 域名通常被硬编码在 Shellcode 中。

image.png-480.5kBimage.png-480.5kB

硬编码域名

后门支持以下命令:

image.png-64.4kBimage.png-64.4kB

支持命令

持久化

恶意软件使用 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ushsguaei1hgba 注册表项进行持久化,存储 Silverlight.Configuration.exe 的路径。

横向平移

该恶意软件会将自身复制并插入失陷主机的可移动驱动器中。首先创建文件夹 <drive_root>\Kaspersky\Usb Drive\3.0,再复制包含恶意组件的加密文件。从文件 aweu23jj46jm7dc中提取可执行文件并写入 <drive_root>\<volume_name> .exe,该文件负责提取并执行加密文件的内容。

影响

Mandiant 确定打印店、印刷店与酒店都是攻击的重点,这些攻击可能都是长期收集信息的一部分,也可能是针对国家级攻击者后续行动的一部分。

组织应该优先考虑对 USB 驱动器等外部设备的访问进行限制,如果不能限制则至少应该先扫描是否存在恶意代码。

Yara

SOGU

rule M_Code_SOGU
{
meta:
author = "Mandiant"
description = "Hunting rule for SOGU"
sha256 = "8088b1b1fabd07798934ed3349edc468062b166d5413e59e78216e69e7ba58ab"
strings:
$sb1 = { 8B [2] C7 ?? 01 03 19 20 8B [2] C7 ?? 04 01 10 00 00 8B [2] C7 ?? 08 00 00 00 00 8B [2] C7 ?? 0C 00 00 00 00 0F B7 }
$sb2 = { 8B ?? 0C C7 ?? 01 03 19 20 8B ?? 0C C7 ?? 04 00 10 00 00 6A 40 E8 [4] 83 C4 04 8B ?? 0C 89 ?? 08 8B ?? 0C C7 ?? 0C 00 00 00 00 C7 [2] 00 00 00 00 EB 09 8B [2] 83 ?? 01 89 [2] 8B ?? 0C 8B [2] 3? ?? 08 7? ?? 68 FF 00 00 00 E8 [4] 83 C4 04 8B [2] 03 [2] 88 ?? 10 EB D4 }
condition:
(uint16(0) == 0x5A4D) and (uint32(uint32(0x3C)) == 0x00004550) and (uint16(uint32(0x3C)+0x18) == 0x010B) and all of them
}

FROZENHILL

rule M_Code_FROZENHILL 
{
meta:
author = "Mandiant"
description = "Hunting rule for FROZENHILL"
sha256 = "89558b4190abcdc1a2353eda591901df3bb8856758f366291df85c5345837448"
strings:
$str1 = "path_symantec" ascii
$str2 = "symantec_dir" ascii
$str3 = "name_svchost" ascii
$str4 = "run_cmd" ascii
$str5 = "usb_dll_name" ascii
$str6 = "name_mutex" ascii
$str7 = "cmd /c \"%s\" %d" wide
$str8 = { 8B 85 [4] 83 ?? 01 89 85 [4] 8B 85 [4] 3B 45 0C 74 ?? 8B 45 ?? 03 85 [4] 0F B6 08 33 8D [4] 81 E1 [4] 8B 95 [4] C1 EA ?? 33 94 8D [4] 89 95 [4] EB } 
condition:
uint16(0) == 0x5A4D and uint32(uint32(0x3C)) == 0x00004550 and all of them
}

ZIPZAG

rule M_Code_ZIPZAG
{
meta:
author = "Mandiant"
description = "Hunting rule for ZIPZAG"
sha256 = "8a968a91c78916a0bb32955cbedc71a79b06a21789cab8b05a037c8f2105e0aa"
strings:
$str1 = { C6 45 ?? 55 C6 45 ?? 8B C6 45 ?? EC C6 45 ?? 81 C6 45 ?? EC C6 45 ?? 08 C6 45 ?? 01 C6 45 ?? 00 C6 45 ?? 00 C6 45 ?? C7 C6 45 ?? 45 C6 45 ?? FC C6 45 ?? 78 C6 45 ?? 56 C6 45 ?? 34 C6 45 ?? 12 C6 45 ?? 68 C6 45 ?? 04 C6 45 ?? 01 C6 45 ?? 00 C6 45 ?? 00 C6 45 ?? 8D C6 45 ?? 85 C6 45 ?? F8 C6 45 ?? FE C6 45 ?? FF C6 45 ?? FF C6 45 ?? 50 C6 45 ?? FF C6 45 ?? 75 C6 45 ?? FC C6 45 ?? B8 C6 45 ?? 79 C6 45 ?? 56 C6 45 ?? 34 C6 45 ?? 12 C6 45 ?? FF C6 45 ?? D0 C6 45 ?? FF C6 45 ?? 75 C6 45 ?? FC C6 45 ?? B8 C6 45 ?? 7A C6 45 ?? 56 C6 45 ?? 34 C6 45 ?? 12 C6 45 ?? FF C6 45 ?? D0 C6 45 ?? 8D C6 45 ?? 85 C6 45 ?? F8 C6 45 ?? FE C6 45 ?? FF C6 45 ?? FF C6 45 ?? 50 C6 45 ?? B8 C6 45 ?? 7B C6 45 ?? 56 C6 45 ?? 34 C6 45 ?? 12 C6 45 ?? FF C6 45 ?? D0 C6 45 ?? C9 C6 45 ?? C3 } 
$str2 = "shellcode_size" ascii
condition:
uint16(0) == 0x5A4D and uint32(uint32(0x3C)) == 0x00004550 and all of them
}

SNOWYDRIVE

rule M_Code_SNOWYDRIVE
{
meta:
author = "Mandiant"
description = "Hunting rule for SNOWYDRIVE"
sha256 = "964c380bc6ffe313e548336c9dfaabbd01a5519e8635adde42eedb7e1187c0b3"
strings:
$str1 = { C6 45 ?? 6B C6 45 ?? 65 C6 45 ?? 72 C6 45 ?? 6E C6 45 ?? 65 C6 45 ?? 6C C6 45 ?? 33 C6 45 ?? 32 C6 45 ?? 2E C6 45 ?? 64 C6 45 ?? 6C C6 45 ?? 6C } 
$str2 = { C6 45 ?? 47 C6 45 ?? 65 C6 45 ?? 74 C6 45 ?? 50 C6 45 ?? 72 C6 45 ?? 6F C6 45 ?? 63 C6 45 ?? 41 C6 45 ?? 64 C6 45 ?? 64 C6 45 ?? 72 C6 45 ?? 65 C6 45 ?? 73 C6 45 ?? 73 } 
$str3 = { C6 85 ?? FD FF FF 4C C6 85 ?? FD FF FF 6F C6 85 ?? FD FF FF 61 C6 85 ?? FD FF FF 64 C6 85 ?? FD FF FF 4C C6 85 ?? FD FF FF 69 C6 85 ?? FD FF FF 62 C6 85 ?? FD FF FF 72 C6 85 ?? FD FF FF 61 C6 85 ?? FD FF FF 72 C6 85 ?? FD FF FF 79 C6 85 ?? FD FF FF 41 } 
$str4 = { C6 85 ?? FC FF FF 57 C6 85 ?? FC FF FF 61 C6 85 ?? FC FF FF 69 C6 85 ?? FC FF FF 74 C6 85 ?? FC FF FF 46 C6 85 ?? FC FF FF 6F C6 85 ?? FC FF FF 72 C6 85 ?? FC FF FF 53 C6 85 ?? FD FF FF 69 C6 85 ?? FD FF FF 6E C6 85 ?? FD FF FF 67 C6 85 ?? FD FF FF 6C C6 85 ?? FD FF FF 65 C6 85 ?? FD FF FF 4F C6 85 ?? FD FF FF 62 C6 85 ?? FD FF FF 6A C6 85 ?? FD FF FF 65 C6 85 ?? FD FF FF 63 } 
condition:
uint16(0) != 0x5A4D and uint32(0) != 0x464c457f and uint32(0) != 0xBEBAFECA and uint32(0) != 0xFEEDFACE and uint32(0) != 0xFEEDFACF and uint32(0) != 0xCEFAEDFE and all of them
}

狩猎规则

rule hunting_T1091_User Execution: Malicious File
{
meta:
rule_name = "Replication Through Removable Media"
description = "This rule detects a file write event from a RECYCLER/S named path to another directory"
author = "Mandiant Managed Defense"
mitre_technique_name = "User Execution: Malicious File"
mitre_technique = "T1204"
mitre_tactic_name = "Execution"
platform = "Windows"
events:   
$e.target.process.path = ":\RECYCLER.BIN\" nocase or
$e.target.process.path = ":\RECYCLERS.BIN\" nocase
}
condition:
$e
}
rule hunting_T1091_Replication_Through_Removable_Media
{
meta:
rule_name = "Replication Through Removable Media"
description = "This rule detects windows explorer process execution with a suspicious folder path specified on the command line"
author = "Mandiant Managed Defense"
mitre_technique_name = "Replication Through Removable Media"
mitre_technique = "T1091"
mitre_tactic_name = "Lateral Movement,Initial Access"
platform = "Windows"
events:
$e.target.process = "explorer.exe" and
{
re.regex($e.principal.process.command_line, = `/explorer.exe?(\")?\s+(\")?[A-BD-Za-bd-z]:\\/`) nocase and
re.regex($e.principal.process.full_path, `:\\[^\\]+\.exe$`) nocase
}
condition:
$e
}


责任编辑:赵宁宁 来源: FreeBuf.COM
网络间谍网络攻击
相关推荐
Windows 11硬件要求难倒玩家 TPM 2.0模块价格暴涨3
在Wind’ows11的硬件要求中,CPU、内存、显卡、硬盘这些要求对当前的玩家来说没有压力,但是最容易被卡住的地方就是TPM2.0,相比Win10都要严格很多。

2021-06-26 06:34:51

Windows 11操作系统微软
滥用SaaS平台网络钓鱼攻击暴涨11
根据PaloAltoNetworksUnit42的一份调查报告,研究人员发现,攻击者滥用合法软件即服务(SaaS)平台创建钓鱼网站的行为正在激增,数据显示,从2021年6月到2022年6月,这种滥用行为大幅增加了1100%。

2022-08-25 06:47:42

攻击者SaaS滥用
起底突破物理隔离USB设备攻击窃密技术
USB设备攻击技术顾名思义是指利用USB设备进行攻击的技术,从USB接口诞生就存在利用它的攻击技术。但是近些年来,这种类型的攻击呈现了爆发式的增长,相比以往的攻击手段,现在的USB攻击技术种类多样、威胁巨大。

2017-06-06 09:02:30

NVIDIA狂飙AI ,市值暴涨,PC性能提升60
今年的CES大会上,NVIDIA依然给全世界震撼不停。正式下场AIPC,性能直接飙涨60倍;40系SUPER显卡,已全面碾压上代旗舰;AINPC甚至能跟屏幕外的玩家直接开启实时对话,这也太科幻了……

2024-01-09 12:58:21

PC性能NVIDIA
Linux能通过Wine感染病毒
Linux不是避风港,它也会被病毒感染,虽然数量上与Windows相差几个数量级。但是别忘了Windows模拟环境,如wine。如果通过wine下载了病毒......

2009-11-02 11:32:30

LinuxWine感染病毒
通过恶意App感染安卓智能电视
有的用户喜欢使用一些应用程序来观看海外的电视节目,因为他们无法通过其他方法来观看这类节目。但是,在这些电视App中,有的却会给用户带来安全风险。

2016-01-08 16:22:37

QBot通过DLL侧载方式感染设备
Windows7的DLL侧载缺陷近期被QBot恶意软件利用,攻击者通过Windows计算器在受感染的计算机上侧载恶意的有效载荷。

2022-07-25 20:50:30

Windows7QBot恶意软件
窃密恶意软件通过仿冒盗版软件下载网站进行传播
自从Napster在互联网上发布盗版已经有二十余年,海盗湾种子下载站出现也近十年。

2022-08-31 08:24:19

恶意软件网络攻击
神秘黑客组织每天分发感染黑客工具
在一场新的恶意软件活动中,Cybereason的专家发现,一些黑客也成为了其他黑客的攻击目标。

2020-03-14 11:06:56

黑客黑客工具网络攻击
新银行木马Hesperbot可在感染系统中创建VNC服务器
Hesperbot是国外安全软件公司发现的一款新的银行木马,在该款木马中,使用了一些非常先进的技巧,活跃在土耳其、捷克、葡萄牙和英国。

2013-09-11 15:22:17

银行木马Hesperbot
从XcodeGhost病毒事件看墙、感染、信任和欺骗
最近XcodeGhost导致的严重安全问题,相信大家已经从各个渠道知道了。简单概括一下,有人在中国网盘和论坛上传播了一个修改过的Xcode,这个版本的Xcode会在编译出来的App上面加一些可以被远程控制的代码,并且发送数据到某个服务器上。这是iOS出现以来,未越狱系统遭遇的最大安全威胁。

2015-09-21 14:20:35

中国网络安全漏洞事件较2013年增长3
国家互联网应急中心(CNCERT)30日发布的《2014年我国互联网网络安全态势报告》数据显示,我国网络安全形势不容乐观,2014年CNCERT通报的漏洞事件达9068起,较2013年增长3倍。截至2014年12月底,我国网站总量规模为364.7万个,网民规模达6.49亿,手机网民规模5.57亿,互联网普及率达到47.9%,2014年,CNCERT协调处置涉及基础电信企业的漏洞事件1578起,总共...

2015-05-29 13:29:13

巴以冲突中各路窃密黑客
本轮巴以冲突持续发酵,各路黑客组织也持续活跃。尽管这些黑客组织的规模相对较小,但持续不断提高自己的攻击技术水平。

2023-11-23 12:12:00

美国今天关闭感染DNS服务器 部分网民将断网
由于美国联邦调查局(以下简称“FBI”)今天将关闭DNSChanger木马背后的僵尸网络,因此受感染的电脑将会被迫断网。

2012-07-09 13:18:43

变多端 汉柏3G路由器“无线”精彩
随着无线技术的普及和3G网络的建设,移动3G和无线网络逐渐成为人们生活和工作的重要选择。近日,全球领先的行业深度定制化、智能网络和云计算解决方案提供商,汉柏重磅推出了两款3G无线路由器——汉柏PWA300E1和汉柏PWA300W1,为“柏变多端”的智能网络终端家族再添新成员。

2012-03-26 15:31:34

无限
安全狗:台积电勒索病毒感染事件给我们启示
如Locky病毒,该病毒一般是通过邮件方式进行传播,黑客对目标对象发送带有附件的恶意邮件,员工或者领导一旦打开附件后,电脑、手机上的各种重要文件,包括软件源代码

2018-08-09 12:02:00

谷歌Gmail愈发靠近Google Wave?
广大开发人对GoogleWave不会陌生,日前也有消息称Gmail将愈发靠近GoogleWave,主要的原因是两者在功能上有不少共同之处。

2009-11-10 11:21:45

Google Wave
美国攻击窃密能力背后顶层架构
DSE是一种治理机制,提供实现安全能力策略上监督和主张的方法,保障支持整个国防部综合优先任务的完成。这种机制就是倡导建立一个联合架构,协调各成员企业,集中优势资源,在必要时保证国家安全。

2018-01-30 16:23:09

物联网僵尸网络如何通过DDoS攻击并感染设备
为了应对物联网僵尸网络不断增长的威胁,IT管理员必须了解黑客如何创建僵尸网络并发起分布式拒绝服务攻击。

2020-06-19 16:02:03

物联网僵尸网络DDoS攻击
FireEye:网络攻击形式愈发复杂
根据网络安全专家FireEye的“最新网络攻击现状”报告显示,技术型公司成为最经常遭受高级持续威胁(APT)攻击的组织。

2013-04-28 10:10:15

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服