Andariel組織的偵察新技術暗示下階段攻擊對象
偵察在網路犯罪中起著很重要的作用,一些組織會在調查攻擊目標的系統上花費大量的時間,比如朝鮮黑客組織Lazarus Group(拉撒路)的分支Andariel組織。上個月,研究人員發現了Andariel組織用於偵察的新技術,主要攻擊目標是韓國。
簡介
Andariel在過去幾個月非常活躍。韓國IssueMakersLab的安全研究稱該組織5月份使用ActiveX的0 day漏洞對韓國的網站發起水坑攻擊,即Operation GoldenAxe。6月21日,研究人員發現Andariel對4個被黑的韓國網站注入了惡意腳本,用於監視目的。
研究人員發現新注入腳本代碼與Andariel 5月份使用的樣本數類似的。不同的是新腳本在嘗試收集不同的ActiveX對象消息和目標對象,這些對象之前都不是攻擊的目標。
在之前的例子中,該組織在利用0 day漏洞之前收集了用戶IE瀏覽器的目標ActiveX對象。這應該是偵察策略的一部分,來尋找漏洞利用的正確目標。基於此,研究人員認為攻擊者這次收集的目標ActiveX對象應該是水坑攻擊的下一個目標。為了預防潛在攻擊帶來的危害,研究人員決定在該組織實施攻擊前公布他們的發現。
圖1. 水坑偵查流
Andariel技術分析
6月21日,研究人員發現韓國一個非贏利組織的網站被注入了一個收集訪問者信息的腳本。而同樣的腳本在之前韓國本地政府工會網站也發現過。該偵察活動持續了一周時間,研究人員已通知網站管理員。
因為發現的代碼結構和使用的混淆方法都相同,所以研究人員認為注入的腳本同樣來自Andariel組織。腳本是用來從訪問者的瀏覽器收集信息的,收集的信息包括瀏覽器的類型、系統語言、Flash Player的版本、Silverlight版本和多個ActiveX對象。
原始腳本來源於PluginDetect庫,利用套件在攻擊前用該腳本驗證受害者。驗證的過程包括發送收集的信息到另一個被黑的網站,該網站保存有攻擊者的PHP程序,而且程序也是用來接收這些收集的信息的。
圖2. 被注入了收集信息的惡意腳本的被黑網站
IssueMakersLab團隊的研究人員共享了關於Andariel組織的一些信息,包括該組織從2007年開始就使用ActiveX漏洞。同時,該組織2017年1月底時候向韓國智庫的網站注入了惡意腳本用於偵察活動,並於4月注入了ActiveX 0 day漏洞利用。IssueMakersLab還列出了Andariel組織攻擊的ActiveX對象。
在分析中,研究人員注意到新注入的腳本嘗試檢測兩個前面列表中沒有列出的ActiveX對象,分別是DSDOWNCTRL.DSDownCtrlCtrl.1和WSACTIVEBRIDGEAX.WSActiveBridgeAXCtrl.1。DSDOWNCTRL.DSDownCtrlCtrl.1與來自韓國文檔保護安全供應商的DRM軟體相關,WSACTIVEBRIDGEAX.WSActiveBridgeAXCtrl.1與來自韓國的變聲軟體公司相關。而且許多當地政府和公共組織都使用這些軟體。
研究人員對腳本樣本收集的信息進行了對比。
除了ActiveX對象外,研究人員發現腳本還添加了新的代碼來連接websocket到localhost。
因為變聲軟體有監聽local host websocket的服務,所以注入的腳本可以通過檢測是否建立了到埠45461和45462的連接來檢測使用這兩個埠的軟體。
在之前的腳本中驗證的過程與ActiveX檢測是不同的,因為之前的腳本只適用於IE瀏覽器。而在6月發現的腳本中,websocket驗證可以在Chrome和Firefox這樣的瀏覽器上執行。這說明攻擊者擴大了攻擊基,而且也對這些軟體本身感興趣,而不僅僅是對ActiveX對象。基於這個變化,研究人員認為未來攻擊者將使用攻擊向量而不僅僅是ActiveX對象。
圖3. 檢測變聲軟體Activex對象和websocket可用性的腳本
圖4. 變聲軟體監聽45461和45462埠
建議
偵察是攻擊者從潛在攻擊者處收集信息來幫助決定未來使用哪些攻擊策略的階段。Andariel組織的新開發過程給出了未來他們的攻擊戰略。據此,研究人員建議在本地環境中使用分層的安全保護模式。
附:
IOC
※使用超長文件名讓Windows API崩潰
※BYOL——一種新穎的紅隊技巧
TAG:嘶吼RoarTalk |