近日,天融信天璇实验室在日常安全运营中发现国外黑客组织patchwork将badnews远控木马伪装成pdf的lnk文件进行活动。本次发现的badnews远控木马,不同于之前版本使用http协议上传主机信息和接收远控指令,而是采取https通信,更为隐蔽。
patchwork,印度知名黑客组织,又称hangover、viceroy tiger、the dropping elephant、摩诃草(apt-c-09),该组织主要针对亚洲国家(地区)的政府机构、科研教育等领域进行网络间谍活动,以窃取敏感信息为主。
目前天融信天璇实验室已分析提取出badnews木马特征,经验证,天融信下一代防火墙、edr、僵尸网络木马和蠕虫监测与处置系统、入侵检测系统、入侵防御系统、病毒过滤网关均可精确检测该木马的传播及活动行为,提供全面的保护措施,有效阻止危害进一步蔓延。
样本分析
1、该样本后缀名为.pdf.lnk,实际为lnk文件,双击运行后会执行文件中的powershell命令。lnk文件会从shhh2564.b-cdn.net/abc.pdf下载诱饵文件并打开,接着从shhh2564.b-cdn.net/c下载文件到c:\programdata\microsoft\devicesync\p,将p文件复制为同路径下的onedrive.exe,并删除p文件,最后创建计划任务每隔1分钟执行onedrive.exe。
2、onedrive.exe就是badnews远控木马,使用c 语言编写,编译于4月6日。
3、该远控运行后首先隐藏运行窗口。
4、创建互斥体名为“qzex”,保证木马自身单实例运行。
5、使用setwindowshookexw注册键盘钩子,将捕获到的键盘记录以文本的方式保存在%temp%目录下的kednfbdnfby.dat文件中。
6、获取受害主机的时区名称,检查是否为中国标准时区。
7、若检测结果为中国标准时区将收集系统信息上传至服务器。
① 获取操作系统版本信息。
②使用正常的web服务(myexternalip.com, api.ipify.org,ifconfig.me)获取主机ip外网地址。
③将上一步获取到的外网ip地址在(api.iplocation.net,ipapi.co等)web服务中查询所属国家的名称。
④将获取的信息base64编码后进行aes-128的cbc模式加密,最后将加密后的数据再进行base64编码。aes-128加密使用的密钥为“qgdrbn8kloiuytr3”,iv为“feitrt74673ngbfj”。
⑤具体收集的受害主机基本信息如下表:
8、接着获取createthread函数地址,创建3个线程与服务器通信,上传主机信息接收远控指令。
①获取createthread函数地址,创建3个线程。
②c2地址为:charliezard.shop:443,uri为/tagpdjjarzajgt/cooewlzafloumm.php,通信内容会使用aes-128加密数据。
③线程sub_409900负责将收集到的信息使用post方式发送给c2,内容为收集的系统信息加密数据。
④线程sub_4090a0主要接收服务器下发的控制指令,执行相应的操作。
⑤线程sub_409440创建cmd进程执行whoami命令、ipconfig /all命令、ipconfig /displaydns命令、systeminfo命令、tasklist命令。收集当前用户名、完整网络配置信息、dns缓存信息、完整系统信息、正在执行的进程信息后,使用aes-128加密数据,添加到endfh参数发送到c2。
样本ioc列表
防护建议
应用软件下载请通过官方网站获取,避免通过第三方网站下载,下载文件打开前,提前使用杀毒软件查杀。
及时关闭客户端上不必要的文件共享权限以及端口。
配置高强度密码认证,建议口令长度为16位及以上,包括大小写字母、数字和符号在内的组合。避免多个账户使用相同口令以及弱口令,并定期更换。
定期对系统展开基线检查,组织渗透测试及安全加固,并及时更新操作系统、开源软件、第三方应用程序补丁等。
购买天融信下一代防火墙、edr、僵尸网络木马和蠕虫监测与处置系统、入侵检测系统、入侵防御系统、病毒过滤网关系统的客户,可以通过升级僵尸主机规则库、威胁情报库、病毒特征库进行有效监测防护。
天融信产品防御配置
1、天融信下一代防火墙系统防御配置
1)升级到最新病毒特征库,配置病毒防护策略,开启日志记录和报警功能;
2)通过访问控制策略禁用不必要的端口、服务,缩小资产暴露面,降低传染风险;
3)开启弱口令防护、暴力破解防护功能,可有效降低口令破解风险;
4)开启联动功能,获取天融信edr系统、病毒过滤网关、僵尸网络木马和蠕虫监测与处置系统等产品检测结果,及时拦截传播/感染源,控制网络传播范围;
5)开启资产防护功能,启用资产行为基线功能,通过检测资产异常行为,可及时发现隐藏攻击行为并启用策略进行阻断。
2、天融信edr系统防御配置
1)开启病毒实时监控功能,有效预防和查杀该病毒;
2)通过微隔离策略加强访问控制,降低横向感染风险;
3)创建周期扫描任务,定时对主机进行全面清理,消除安全隐患。
3、天融信僵尸网络木马和蠕虫监测与处置系统、入侵检测系统配置
1)升级最新僵尸主机规则库,配置僵尸主机策略,实时检测木马的异常通信;
2)升级最新威胁情报库,开启威胁情报恶意文件检测和捕获功能,实时检测和捕获网络中传播的木马;
3)开启僵尸主机、威胁情报日志记录和告警功能;
4)可配置旁路阻断或者天融信防火墙联动,拦截木马的异常通信和网络传播。
4、天融信入侵防御系统配置
1)升级最新僵尸主机规则库,配置僵尸主机策略,实时检测、拦截木马的异常通信;
2)升级最新威胁情报库,开启威胁情报恶意文件阻断和捕获功能,实时检测、拦截及捕获网络中传播的木马;
3)开启僵尸主机、威胁情报日志记录和告警功能。
5、天融信病毒过滤网关防御配置
1)升级到最新病毒特征库;
2)导入https证书;
3)开启http、pop3、smtp、ftp、imap等协议的病毒扫描检测;
4)配置病毒检测处置策略;
5)开启日志记录和报警功能。
天融信产品获取方式
天融信下一代防火墙、病毒过滤网关、僵尸网络木马和蠕虫监测与处置系统、入侵检测系统、入侵防御系统等产品特征库下载地址: ftp://ftp.topsec.com.cn
天融信edr企业版试用:天融信全国各分支机构获取(查询网址:
http://www.topsec.com.cn/contact/)
天融信edr单机版下载地址:http://edr.topsec.com.cn
- 关键词标签:
- 天融信 安全防御方案 远控木马“badnews”