?

Jul 09 2017

Petya最新進展之利用M.E.Doc后門

首頁 » 滲透測試 » Petya最新進展之利用M.E.Doc后門   

導語:6月27日晚,烏克蘭境內多個政府組織和重要企業的電腦遭遇惡意軟件攻擊,致使多地出網絡中斷和電腦故障,政府無法正常辦公,企業無法正常運營。

Petya最新進展之利用M.E.Doc后門

6月27日晚,烏克蘭境內多個政府組織和重要企業的電腦遭遇惡意軟件攻擊,致使多地出網絡中斷和電腦故障,政府無法正常辦公,企業無法正常運營。事后,ESET把這次攻擊的惡意軟件檢測為Diskcoder.C也就是我們這兩天常聽的ExPetr,PetrWrap,Petya或NotPetya。Diskcoder.C像典型的惡意軟件一樣能夠加密計算機上的數據并勒索價值300美金的比特幣。

ESET將這次攻擊歸因于“TeleBots”組織,并發現了有關烏克蘭其他類似攻擊的詳細信息。本文介紹了DiskCoder.C攻擊期間使用的初始分布向量的詳細信息。

ESET在一篇博文中稱,“2016年下半年,ESET研究人員識別出一款獨特的惡意工具集,針對烏克蘭金融行業的高價值目標實施網絡攻擊。我們認為,攻擊者使用這些工具的主要目標是進行網絡破壞。而發起此次攻擊的惡意軟件TeleBots及其背后團伙與BlackEnergy黑客組織存在眾多相似之處。BlackEnergy2015年12月與2016年1月曾對烏克蘭的能源行業發起網絡攻擊。事實上,我們認為BlackEnergy組織已經變身TeleBots組織。”

Diskcoder.C的變異過程

烏克蘭國家警察網絡部在其Facebook帳戶上表示:“如ESET和其他信息安全公司分析的那樣,攻擊者利用本國的合法會計軟件M.E.Doc來傳播DiskCoder.C。”

不過到目前為止,關于其具體的傳播細節,官方還沒有公布。而在ESET的研究中,他們發現一個M.E.Doc非常隱秘的后門,這使得攻擊者可以輕松將DiskCoder.C注入到M.E.Doc的合法模塊中,否則攻擊者似乎不太可能通過訪問M.E.Doc源代碼的方式進行注入。

后門模塊的文件名為ZvitPublishedObjects.dll,它是使用.NET Framework編寫的,文件大小是5MB,其中包含很多可以由其他組件調用的合法代碼,比如M.E.Doc可執行文件主要的主執行模塊ezvit.exe。

ESET的專家們檢查了2017年發布的所有M.E.Doc更新,并發現至少有三個更新包含后門模塊,它們分別是:

01.175-10.01.176,于2017年4月14日發布
01.180-10.01.181,于2017年5月15日發布
01.188-10.01.189,于2017年6月22日發布

Win32 / Filecoder.AESNI.C事件發生在10.01.180-10.01.181更新三天后,DiskCoder.C在10.01.188-10.01.189更新五天后爆發。有趣的是,從2017年4月24日至2017年5月10日出現了四個更新,以及從2017年5月17日至2017年6月21日出現了七個軟件更新,在這些更新中并沒有包含后門模塊。

由于5月15日更新中確實包含了后門模塊,而5月17日的更新卻沒有包含該更新,這就可以解釋為什么Win32/Filecoder.AESNI.C事件的感染率非常低,因為5月17日的更新是攻擊者未預料到的事,而當他們在5月18日推送出了Win32/Filecoder.AESNI.C后,大部分M.E.Doc的用戶的后門模塊已經被更新。分析文件的PE編譯時間表明,這些文件是在更新當天或更新的前一天同時進行期編譯的,下圖就是5月15日更新后推送的模塊的編譯時間戳。

Petya最新進展之利用M.E.Doc后門

下圖則顯示了使用ILSpy .NET反編譯器在有無后門兩種情況下的模塊列表之間的區別,其中左側為帶有后門的反向模塊,右側為非后門的反向模塊:

Petya最新進展之利用M.E.Doc后門

后門的主要類命名為MeCom,它位于ZvitPublishedObjects.Server命名空間中,如下圖所示為具有惡意代碼的MeCom類,如ILSpy .NET反編譯器:

Petya最新進展之利用M.E.Doc后門

MeCom類是由ZvitPublishedObjects.Server命名空間中UpdaterUtils的IsNewUpdate方法調用。通過定期調用IsNewUpdate方法,以檢查是否有新的更新可用。可以看出從5月15日起的后門模塊的注入方式就發生了變化,因為相比于6月22日的功能更加豐富。

在烏克蘭開展商業活動時,每個組織都會獲得一個單獨的法人實體標識符,稱為EDRPOU號碼(Код?ДРПОУ)。這對攻擊者來說是非常重要的,一旦攻擊者擁有EDRPOU號碼,他們就可以確定正在使用具有后門的M.E.Doc的確切組織。一旦攻擊對象確定,攻擊者就可以根據攻擊目標來制定對應的網絡攻擊策略。

在烏克蘭, 由于M.E.Doc是企業最常用的會計軟件,因此企業的EDRPOU號碼可以在使用M.E.Doc的設備上的應用程序數據中被找到。在IsNewUpdate方法中注入的代碼會從應用程序數據中收集所有EDRPOU值,由于一個M.E.Doc實例可同時為多個組織執行會計操作,因此后門代碼會收集所有可能的EDRPOU值,下圖就是收集EDRPOU號碼的代碼:

Petya最新進展之利用M.E.Doc后門

除了收集EDRPOU號碼,攻擊者還會利用后門從M.E.Doc應用程序收集代理和電子郵件設置,其中就包括用戶名和密碼。我們建議使用M.E.Doc軟件的所有用戶趕緊更改代理密碼和電子郵件帳戶。

惡意代碼使用Cred和Prx值將收集的信息寫入HKEY_CURRENT_USER  SOFTWARE  WC密鑰的Windows注冊表中。因此,如果這些值存在于計算機上,則后門模塊很可能就在該計算機上運行。

該后門非常的隱蔽,不使用任何外部服務器作為C&C,僅使用M.E.Doc軟件的常規更新檢查請求進入官方M.E.Doc服務器upd.me-doc.com[.]ua。這種偽裝的請求與合法請求的唯一區別是后門代碼將收集的信息發送到Cookie,下圖就是在Cookie中包含EDRPOU號碼的后門模塊的HTTP請求:

Petya最新進展之利用M.E.Doc后門

雖然截至目前,ESET的專家還沒有對M.E.Doc服務器進行取證分析。但是,正如他們之前分析那樣,有跡象表明服務器遭到入侵。因此,完全有理由推測,攻擊者部署的服務器軟件允許他們區分來自受損和不受影響的計算機的請求,下圖就是請求添加Cookie的后門代碼:

Petya最新進展之利用M.E.Doc后門

當然,攻擊者也增加了控制受感染設備的能力。請求添加Cookie的后門代碼會接收一個二進制的BOB(binary large object,二進制大對象)官方M.E.Doc服務器,并使用3DES算法進行解密,最后使用GZip進行解壓縮,最后可以得到一個一次包含多個命令的XML文件。這個遠程控制功能使得后門同時成為一個功能齊全的網絡間諜和網絡攻擊的平臺,下圖就是解密傳入惡意軟件操作員命令的后門代碼:

Petya最新進展之利用M.E.Doc后門

下表顯示了可能的命令:

Petya最新進展之利用M.E.Doc后門

應該注意的是命令5,之所以惡意軟件開發者將其命名為AutoPayload,是因為它完全符合了最初在“patient zero”設備上執行DiskCoder.C的方式,下圖就是用于執行DiskCoder.C惡意軟件的AutoPayload方法:

Petya最新進展之利用M.E.Doc后門

結論

本文分析顯示,該后門為一個完美的攻擊計劃和惡意操作創造了良好的條件。假設攻擊者可以訪問M.E.Doc應用程序源代碼,則他們有時間學習代碼,并加入了一個非常隱蔽的后門。完整的M.E.Doc安裝的大小約為1.5GB,ESET的專家目前還沒有辦法驗證是否還存在除了MeCom之外的其他注入后門。

另外有待考證的是,這個后門使用了多長時間? 除了DiskCoder.C或Win32 / Filecoder.AESNI.C以外,還有哪些命令和惡意軟件使用了此后門就行過傳播?有沒有其他的軟件更新參與過傳播?

特別感謝我的同事FrédéricVachon和Thomas Dupuy在這項研究中的幫助。

IOCs

1.ESET檢測名稱:

MSIL / TeleDoor.A

2.惡意軟件開發者濫用的合法服務器:

upd.me-doc.com[.]ua

3.SHA-1哈希:

7B051E7E7A82F07873FA360958ACC6492E4385DD

7F3B1C56C180369AE7891483675BEC61F3182F27

3567434E2E49358E8210674641A20B147E0BD23C

本文翻譯自:https://www.welivesecurity.com/2017/07/04/analysis-of-telebots-cunning-backdoor/ ,如若轉載,請注明來源于嘶吼: http://www.4hou.com/technology/6111.html

如果您喜歡本博客,歡迎點擊圖片定訂閱到郵箱填寫您的郵件地址,訂閱我們的精彩內容:

正文部分到此結束

文章標簽: 后門

版權聲明:若無特殊注明,本文皆為( mOon )原創,轉載請保留文章出處。

也許喜歡: «開源掃描器 | w8scan 一款模仿bugscan的掃描器»

你腫么看?

你還可以輸入 250/250 個字

? 微笑 大笑 拽 大哭 親親 流汗 噴血 奸笑 囧 不爽 暈 示愛 害羞 吃驚 驚嘆 愛你 嚇死了 呵呵

評論信息框

這篇文章還沒有收到評論,趕緊來搶沙發吧~

?
?
河北11选5开奖