MM CORE內存型后門回歸“BigBoss”和“SillyGoose”。
在2016年10月Forcepoint安全實驗室發現了一個新版本的MM Core后門。也叫做“BaneChant“,MM Core是沒有文件形態的APT,通過一個下載組件在內存中執行。在2013年它第一個版本”2.0-LNK“首次被披露,在它的C&C服務器請求中有”BaneChant“特征。第二個版本”2.1-LNK“的網絡標記是”StrangeLove“。
在本文中我們我們發現的另兩個版本,“BigBoss“(2.2-LNK)和”SillyGoose“(2.3-LNK)。”BigBoss“被發現于2015年中旬,”SillyyGoose“被發現于2016年9月。兩個版本都還存活著。
攻擊目標區域和工業
在2013年的報告中攻擊目標是中東和中亞國家。我們發現最近的目標是非洲和美國。下面的列表是一些目標工業:
新聞媒體
政府
石油天然氣
通信
MM Core的功能
MM Core后門的功能如下:
發送被感染系統的計算機名,Windows版本,系統時間,運行的進程,TCP/IP配置,和C盤到H盤的頂層目錄
下載執行文件
下載在內存中執行文件
自我更新
自我卸載
感染方法
以前MM Core下載組件通過CVE-2012-0158漏洞溢出的shellcode下載執行。然而新的DOC溢出通過CVE-2015-1641漏洞釋放嵌入的惡意程序。這個被釋放的惡意程序通過Dll side-loading漏洞執行。
我們分析的這個DOC文檔(SHA1:d336b8424a65f5c0b83328aa89089c2e4ddbcf72)的名字是“US pak track ii naval dialogues.doc”。這個文檔利用CVE-2015-1641并且執行shellcode釋放一個綁定了名為“ChoiceGuard.dll”木馬DLL的合法的可執行文件。然后shellcode執行這個可執行文件,導致這個惡意的dll通過“side-loading”被加載。這個dll下載和在內存中執行沒有文件形態的MM Core后門。后門隱藏在一個JPEG文件中。這個JPEG文件包含代碼用Shikata ga nai算法解密它自己。
一旦在內存中被解密執行,在第一次啟動時這個MM Core后門將釋放和安裝一個嵌入的下載器,同時添加到Windows啟動目錄實現自啟動。這個下載器和第一個木馬dll類似,然后再次執行并下載MM Core JPEG,并在內存中執行。這次MM Core將創建后門處理函數發送系統信息并等待更多的命令。
感染過程概述如下:
可靠的證書
我們發現一些下載者組件(如ChoiceGuard.dll)用一個來自俄羅斯組織“BorPort”的有效的證書簽名:
我們懷疑這可能是一個被盜證書,因為作者不可能用他們自己的組織的證書。
更新內容
新版的MM Core版本、互斥量、文件名、如下:
逃逸策略
MM Core做了很多努力阻止安全研究者跟蹤分析。新版本的C&C服務器用需要登記的隱私保護服務。這個使得用WHOIS數據跟蹤結構變得困難。
同時在BigRock(流行的網絡服務公司)上面注冊了他們的域名,這些域名混合在合法的網站中。
總結
MM Core是一個還存活的攻擊多個國家和企業的威脅。有趣的是發現MM Core的版本增加了兩次,但是核心后門代碼還是保留了幾乎相同的文件名和互斥量名。最大的原因可能是由于無文件形態,也解釋了為什么主要是更新了傳播機制。攻擊這很清楚他們要做什么,做了足夠的更新來保證這些年攻擊的持續有效。
另一方面,MM Core和Gratem分享了代碼、技術、網絡架構,同時也和最近的一些樣本分享了相同的證書。Gratem是從至少2014年來更加活躍。最后我們懷疑MM Core可能還有很多動作沒有被發現。
0x06 IOCS
Documents
d336b8424a65f5c0b83328aa89089c2e4ddbcf72 (US pak track ii naval dialogues.doc)
Dropper/Downloader Samples (SHA1)
f94bada2e3ef2461f9f9b291aac8ffbf81bf46ab
ef59b4ffc8a92a5a49308ba98cb38949f74774f1
1cf86d87140f13bf88ede74654e01853bae2413c
415ad0a84fe7ae5b88a68b8c97d2d27de5b3aed2
e8bfa4ed85aac19ab2e77e2b6dfe77252288d89b
f94bada2e3ef2461f9f9b291aac8ffbf81bf46ab
83e7b2d6ea775c8eb1f6cfefb32df754609a8129
b931d3988eb37491506504990cae3081208e1a66
7031f4be6ced5241ae0dd4315d66a261f654dbd6
ab53485990ac503fb9c440ab469771fac661f3cc
b8e6f570e02d105df2d78698de12ae80d66c54a2
188776d098f61fa2c3b482b2ace202caee18b411
e0ed40ec0196543814b00fd0aac7218f23de5ec5
5498bb49083289dfc2557a7c205aed7f8b97b2a8
ce18064f675348dd327569bd50528286929bc37a
3a8b7ce642a5b4d1147de227249ecb6a89cbd2d3
21c1904477ceb8d4d26ac9306e844b4ba0af1b43
f89a81c51e67c0bd3fc738bf927cd7cc95b05ea6
MM Core Unpacked DLL Samples (SHA1)
13b25ba2b139b9f45e21697ae00cf1b452eeeff5
c58aac5567df7676c2b08e1235cd70daec3023e8
4372bb675827922280e8de87a78bf61a6a3e7e4d
08bfdefef8a1fb1ea6f292b1ed7d709fbbc2c602
Related Gratem Samples (SHA1)
673f315388d9c3e47adc280da1ff8b85a0893525
f7372222ec3e56d384e7ca2650eb39c0f420bc88
Dropper/Downloader Payload Locations
hxxp://davidjone[.]net/huan/normaldot.exe
MM Core Payload Locations
hxxp://mockingbird.no-ip[.]org/plugins/xim/top.jpg
hxxp://presspublishing24[.]net/plugins/xim/top.jpg
hxxp://ichoose.zapto[.]org/plugins/cc/me.jpg
hxxp://presspublishing24[.]net/plugins/cc/me.jpg
hxxp://waterlily.ddns[.]net/plugins/slm/pogo.jpg
hxxp://presspublishing24[.]net/plugins/slm/pogo.jpg
hxxp://nayanew1.no-ip[.]org/plugins/xim/top.jpg
hxxp://davidjone[.]net/plugins/xim/top.jpg
hxxp://hawahawa123.no-ip[.]org/plugins/xim/logo.jpg
hxxp://davidjone[.]net/plugins/xim/logo.jpg
MM Core C2s
hxxp://presspublishing24[.]net/plugins/cc/mik.php
hxxp://presspublishing24[.]net/plugins/slm/log.php
hxxp://presspublishing24[.]net/plugins/xim/trail.php
Gratem Second Stage Payload Locations
hxxp://adnetwork33.redirectme[.]net/wp-content/themes/booswrap/layers.png?www.2cto.com
hxxp://network-resources[.]net/wp-content/themes/booswrap/layers.png?www.2cto.com
hxxp://adworks.webhop[.]me/wp-content/themes/bmw/s6.png?www.2cto.com
hxxp://adrev22[.]ddns.net/network/superads/logo.dat
hxxp://davidjone[.]net/network/superads/logo.dat
看文倉www.kanwencang.com網友整理上傳,為您提供最全的知識大全,期待您的分享,轉載請注明出處。
歡迎轉載:http://www.kanwencang.com/bangong/20170114/87389.html
文章列表
留言列表
