社会养老保险新政策

usdt场外交易平台(www.payusdt.vip):融合流量以逃避检测:SUNSHUTTLE第二阶段后门样天职析

来源:三公开船 发布时间:2021-04-03 浏览次数:

USDT第三方支付

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

0x00 摘要

2020年8月,一家位于美国的实体将一个名为SUNSHUTTLE的新型后门上传到了公共恶意软件存储库。

SUNSHUTTLE是使用GoLang编写的第二阶段后门,包罗一些逃避检测的功效。

我们在遭到UNC2452恶意组织入侵的受害者主机上考察到SUNSHUTTLE的存在,因此有迹象解释该恶意软件与UNC2452相关,但我们现在尚未验证该关联性。

在本文附录中包罗关于MITER ATT&CK的手艺(T1027、T1027.002、T1059.003、T1071.001、T1105、T1140、T1573.001)。

Microsoft在此前的一篇文章中也详细剖析了这一系列恶意流动。在这里,我们要谢谢Microsoft团队和其他互助同伴在追踪这一恶意组织时代的精彩互助。

0x01 威胁详情

Mandiant Threat Intelligence发现了一个新的后门程序,该后门程序由一家美国实体在2020年8月上传到公共恶意软件存储库,我们将其命名为SUNSHUTTLE。SUNSHUTTLE使用GO语言编写,可读取嵌入式或内陆设置文件,并通过HTTPS与硬编码的下令与控制(C2)服务器通讯,支持包罗远程上传设置、文件上传、文件下载、随便下令执行在内的下令。值得注重的是,SUNSHUTTLE使用Cookie标头将值转达给C2,若是举行了响应设置,则可以从盛行网站URL列表中选择泉源网址,以实现与网络流量的“融合”。

通过检查SUNSHUTTLE后门文件“Lexicon.exe”(MD5:9466c865f7498a35e4e1a8f48ef1dffd),发现它是使用GoLang编写的。该文件脱壳后的MD5为86e89349fefcbdd9d2c80ca30fa85511。现在我们尚不清晰SUNSHUTTLE最初的熏染前言。该恶意软件是攻陷受害者后投递的第二阶段后门工具。

SUNSHUTTLE样本使用攻击者控制的站点“reyweb[.]com”作为C2。“reyweb[.]com”是通过NameSilo匿名注册的,这家域名提供商接受比特币付款,此前曾经被具有俄罗斯、伊朗等国家靠山的APT组织用于C2域名注册。

我们在遭到UNC2452攻击的受害者主机上发现了SUNSHUTTLE,而且有迹象解释该恶意软件与UNC2452相关联,然则我们现在尚未证实该关联性。

0x02 展望与启示

新的SUNSHUTTLE后门是一个庞大的第二阶段后门,其中与C2通讯的“融合”流量功效展现了一种简朴而优雅的逃避检测手艺。

SUNSHUTTLE将作为第二阶段的后门程序,与其他SUNBURST相关工具一起实现网络侦查的功效。

0x03 样本详情

Mandiant Threat Intelligence发现了一个SUNSHUTTLE后门样本,并将其上传到在线多重反病毒扫描服务。SUNSHUTTLE是使用GO语言编写的后门,可读取嵌入式或内陆设置文件,并通过HTTPS与硬编码的下令与控制(C2)服务器通讯,支持包罗远程上传设置、文件上传、文件下载、随便下令执行在内的下令。

Lexicon.exe(MD5:9466c865f7498a35e4e1a8f48ef1dffd)

C2:reyweb[.]com

UNAVAILABLE(MD5:86e89349fefcbdd9d2c80ca30fa85511)

脱壳版本MD5:9466c865f7498a35e4e1a8f48ef1dffd

0x04 熏染前言

针对剖析的样本,现在熏染前言尚未明确。

0x05 执行

5.1 执行摘要

SUNSHUTTLE是一个使用GoLang编写的后门程序。一旦SUNSHUTTLE被执行,将会举行以下操作:

1、确定设置设置;

2、向C2请求会话密钥;

3、从C2检索会话密钥;

4、在检索到会话密钥后,SUNSHUTTLE将最先循环请求信标的下令;

5、最先请求信标的下令;

6、剖析下令并执行操作。

我们所剖析的SUNSHUTTLE样本中,保留了该恶意软件使用的例程的名称,其中包罗:


main.request_session_key
main.define_internal_settings
main.send_file_part
main.clean_file
main.send_command_result
main.retrieve_session_key
main.save_internal_settings
main.resolve_command
main.write_file
main.beaconing
main.wget_file
main.fileExists
main.encrypt
main.decrypt
main.random
main.removeBase64Padding
main.addBase64Padding
main.delete_empty
main.Unpad
main.GetMD5Hash
main.Pad

注重:在整个SUNSHUTTLE后门中,通过在Cookie标头中使用唯一的字符串标识符来指示正在执行的操作。同时,唯一的字符串标识符也用于验证息争析来自C2的响应内容。我们发现这些唯一的字符串值在每个编译样本中都是唯一且随机的。

5.2 初始执行

一旦执行后,SUNSHUTTLE后门就会枚举受害者的MAC地址,并将其与硬编码的MAC地址值“c8:27:cc:c2:37:5a”举行对照。若是找到匹配项,后门即退出。该MAC地址可能是Windows沙箱网络适配器的默认MAC地址。

MAC地址检查:

5.3 设置

若是检查通过,则SUNSHUTTLE后门会进入到一个名为“main_define_internal_settings”的例程,该例程将判断运行SUNSHUTTLE的目录中是否存在设置文件,若是不存在则确立该文件。在我们所剖析的样本中,设置文件名是“config.dat.tmp”。使用以下密钥对设置数据举行Base64编码和AES-256加密:

hz8l2fnpvp71ujfy8rht6b0smouvp9k8

在对Base64举行解码、对AES举行解密后,样本的设置文件内容如下:

48b9e25491e088a35105274cae0b9e67|5-15|0|0|TW96aWxsYS81LjAgKFdpbmRvd3MgTlQgMTAuMDsgV2luNjQ7IHg2NDsgcnY6NzUuMCkgR2V
ja28vMjAxMDAxMDEgRmlyZWZveC83NS4w

在设置中,使用“|”字符举行差异值的区分,简要形貌如下。

48b9e25491e088a35105274cae0b9e67

执行时代盘算出当前时间戳的MD5哈希值。

5-15

SUNSHUTTLE执行时代随机睡眠时间的最小值和最大值。

0

是否使用“融合”流量请求,内部将其称为“false_requesting”。

0

激活(activation)执行时间戳(默以为0),若是当前时间大于设置中的值,则执行“激活”或继续。

TW96aWxsYS81LjAgKFdpbmRvd3MgTlQgMTAuMDsgV2luNjQ7IHg2NDsgcnY6NzUuMCkgR2Vja2
8vMjAxMDAxMDEgRmlyZWZveC83NS4w

HTTP请求中使用Base64编码后的User Agent,解码后内容为:Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:75.0) Gecko/20100101 Firefox/75.0 。

若是举行了响应设置,则在恶意软件执行历程中会行使以下URL实现流量“融合”:

https://reyweb[.]com/icon.ico
https://reyweb[.]com/icon.png
https://reyweb[.]com/script.js
https://reyweb[.]com/style.css
https://reyweb[.]com/css/style.css
https://reyweb[.]com/css/bootstrap.css
https://reyweb[.]com/scripts/jquery.js
https://reyweb[.]com/scripts/bootstrap.js
https://cdn.mxpnl[.]com/
https://cdn.google[.]com/
https://cdn.jquery[.]com/
https://code.jquery[.]com/
https://cdn.cloudflare[.]com/

5.4 会话密钥机制

SUNSHUTTLE执行对C2的初始请求,以请求并检索其内部称为“会话密钥”(Session Key)的内容。在从C2检索到会话密钥后,使用嵌入在SUNSHUTTLE中的以下私钥举行RSA解密,该密钥针对每个编译版原本说都是唯一的。我们正在剖析该恶意软件若何行使解密后获得的会话密钥,不外在SUNSHUTTLE的下令与控制例程中,该密钥很可能是用于加密内容的会话密钥。

-----BEGIN PRIVATE KEY-----
MIIEowIBAAKCAQEA0Aj/3K3m/rKNESwUfHC9qAhnsNYA9bJ4HQ30DPsfPDvbbHZm
Uj5nyp2abjYZYMQbWa2 ZO4Ixgfdm0FzsAH/haKIN4sSkbw YRESYW35MnMI3Adf
mj/eK/yKNblyoe/7iWP3nz y4Q/QI0L6BrF7VodTaDYtDup3iI B5zjmhElf9Fmg
S1JiDUgydz5VXJR/esv6hB7GMfEb/3sIAzv5qcwEvGK5HH1EzQ7zjauyhbsF9pHR
zCFYlvW4OtaU0o3xjVufo5UwYRS5p/EFpof45zuJGLJ02cKUmxc0OX53t3Bn9WXY
aDDhYp/RPzywG8N9gTBv8rKxRIsFxxKu 8wK QIDAQABAoIBAGe4hPDe13OXTBQK
uTAN dEkV6ZoHFRjpdU lrY IiWi5lSed4d7y73OdCeM23xOaiB9KpchwsgRNeDp
cieH54EWNvoSYbC9fRBiNZrT/NG1Xu5s0rKSM1AU kes7UVl5DBs4hHI7YOeobRi
 UuLA6ZxlBk6IZ71MaGpgyfoS64aDMvZDtcaTEGzw6dRQAU9255DTIc2YYbq8MqL
zSafD5eBDH3Izmblg0kXiidec1A1sytz5u8xW4XckHfp4xePLVw/RvLJGqNJMK5M
7tXAFwPzg u4k7ce7uNw9VWW7n28T9xznUux1gtPQj1N6goDaBaOqY h0ia9F1RP
wu6ZtG0CgYEA8vCFmAGmMz4vjO04ELyPnvnaS6CReYCVzmvNugIDlxBLDGCnKBVx
et7qEk3gMkbtcDUOZpXQAIVCWQNupAhI0t5bb/Pfw3HtH3Xt5NRUYmwxTgNRe06D
i4ICsg2 8TDinjne9hzsEe9DYE2WRrtLMJ IPD QE94J3Sei03k1wpMCgYEA2zga
Tff6jQeNn9G0ipHa1DvJmi98px51o0r7TUfZRxJfgg4ckyMsZUHKALrZszKAnxP7
MXYrJuOHpsp0EZc1e3uTjFzrKyKRTQ78c7MNGv07w1PlZuNLtkoqepUjkQzdxKZO
g9gG0O4lC5jjnSg8jUSChhZn jrU8Vx7ByOP98MCgYAWi5 6RZzo8IJ1L6aeVwF1
HXbWweX QqKkb3i JGW05Twxv96DZ8oKPxm17Sg7Qj3Sxfm6J3kQM02  QSRkHtB
poUR1K4Vc0MwQj97lwDlyWih9sjfCqBGmCAr6f6oX4MIcBJzAKgf2faEv26MzeDi
eEuqW7PBRD/iGEWSHpOQpQKBgQDRgV aTjk0mRhfugHKQLSbCnyUj3eZG8IfiiR7
agQcKVH/sE7cy8u9Bc/xPKGb4dMMtQLm9WEuLFtTKr8cpJ8nYSXVCmRx9/pXY9Af
HuqSdZutBDwERYvxLhZEys2P7XTwYGQ/GrEA8eeTms1FP9QGyofXcAh1G86w0Mp/
Oxx3EwKBgHXxgQa4/ngTlMNhWP IvHOlOVAxDK2GL3XQdr8fudZe9c1d7VzIbYj6
gbwLT9qi0wG5FAWqH163XucAirT6WCtAJ3tK0lfbS7oWJ7L/Vh1 vOe6jfS/nQna
Ao2QPbN8RiltHeaAq0ZfrgwrQuP5fmigmBa5lOWID/eU2OLlvJGi
-----END PRIVATE KEY---

在确立设置或从中读取设置后,SUNSHUTTLE将进入到名为“main_request_session_key”的例程。恶意软件将在这一例程上举行循环,每次循环后休眠一段时间,直到乐成为止。

在“main_request_session_key”例程中,SUNSHUTTLE为其组织的C2组织一个HTTPS请求。凭证请求的HTTP 200响应,预期来自C2的响应数据中不应包罗以下字符串:

ywQdjLuHHC

若是该字符串不在响应中,则request_session_key例程返回1。若是该字符串包罗在响应之中,则返回-1。若是request_session_key的效果为1,则SUNSHUTTLE将执行retrieve_session_key例程。

retrieve_session_key例程将再次与C2通讯,并下载特定加密内容,使用上述嵌入的私钥举行解密。一旦SUNSHUTTLE进入到下令与控制例程,解密的内容很可能是用于加密内容的会话密钥。

5.5 下令

在从C2检索到会话密钥后,SUNSHUTTLE将在循环中启动信标和“resolve_command”例程。SUNSHUTTLE首先发出信标以检索下令。随后,它将进入到例程“resolve_command”之中,该例程将剖析响应内容,从而确定应该运行哪个下令。可以使用的下令包罗远程更新设置、上传、下载和随便下令执行。

剖析下令示意图:

在“main_beaconing”例程之后,会对从C2返回的内容举行Base64解码和AES解密。这里会执行一次检查,以确认解密后的内容不包罗以下字符串:

Cp5RTQ31R1

同之前的一样,这些字符串可能针对每个样本都是唯一的,而且在编译时会随机天生。

解密后的字符串内容及剖析如下:

zSsP2TSJJm3a    更新睡眠时间局限并保留设置

,

USDT跑分

U交所(www.payusdt.vip),全球頂尖的USDT場外擔保交易平臺

,

aQJmWJzXdYK721mGBI3U    更新“false_requesting”(融合)值并保留设置

W5VYP9Iu2uyHK    更新C2 URL和用户署理并保留设置

3487wD9t2OZkvqdwRpqPeE    将当前时间戳发送到C2

ubFxROBRwfswVRWNjLC    更新设置中的“activation”时间戳并保留设置

TMuhGdA9EHY    若是文件存在,将其上传到C2

1kG4NaRX83BCMgLo38Bjq    执行下令,若是乐成则返回“EXECED”

hB0upT6CUmdRaR2KVBvxrJ    执行下令,返回效果或输出

N/A(相符其他字符串条件)    提供终端下令执行

N/A(相符其他字符串条件)    从C2下载文件

0x06 投放文件

在乐成执行恶意软件后,会将以下文件投递到受害者的系统中:

该文件是加密后的设置文件。

0x07 持久化方式

我们未考察到SUNSHUTTLE恶意软件具有任何持久化方式。不清扫该恶意流动是在SUNSHUTTLE外部设置持久性的。

0x08 网络通讯

SUNSHUTTLE使用Cookie标头将值转达给C2。此外,恶意软件会从下面的列表中选择一个泉源地址。在我们解密流量并举行检查时,可能会被混淆。

www.bing.com

www.yahoo.com

www.google.com

www.facebook.com

Cookie标头凭证所执行的操作而略有差异。下面是从“request_session_key”例程向C2发出的示例请求。

(受害者主机到C2)

GET /assets/index.php HTTP/1.1
Host: reyweb[.]com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:75.0) Gecko/20100101 Firefox/75.0
Cookie: HjELmFxKJc=48b9e25491e088a35105274cae0b9e67; P5hCrabkKf=gZLXIeKI; iN678zYrXMJZ=i4zICToyI70Yeidf1f7rWjm5foKX2Usx; b7XCoFSvs1YRW=78
Referer: www.facebook.com
Accept-Encoding: gzip

在Cookie标头中,其差异值寄义如下。

HjELmFxKJc=48b9e25491e088a35105274cae0b9e67

设置中包罗的时间戳MD5。

P5hCrabkKf=gZLXIeKI

“P5hCrabkKf=”包罗一个唯一的字符串,该字符串示意正在执行请求的例程(详细参考下表)。

iN678zYrXMJZ=i4zICToyI70Yeidf1f7rWjm5foKX2Usx

“i4zICToyI70Yeidf1f7rWjm5foKX2Usx”是在SUNSHUTTLE后门中硬编码的值,它可能示意Payload标识符。

b7XCoFSvs1YRW=78

寄义不明,此值仅包罗在request_session_key和retrieve_session_key请求中。

如上所述,每个请求中包罗的Cookie值“P5hCrabkKf=”都示意正在执行的操作,其对应关系如下。

gZLXIeK    main_request_session_key

do1KiqzhQ    main_clean_file

t5UITQ2PdFg5    main_wget_file

cIHiqD5p4da6OeB    main_retrieve_session_key

xpjQVt3bJzWuv    main_send_file_part

S4rgG1WifHU    main_send_command_result

在乐成安装/初始化恶意软件后,它将继续通过TCP/443 HTTPS对C2服务器reyweb[.]com举行以下回调:

(受害者主机到C2)

GET /assets/index.php HTTP/1.1
Host: reyweb[.]com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:75.0) Gecko/20100101 Firefox/75.0
Cookie: HjELmFxKJc=48b9e25491e088a35105274cae0b9e67; P5hCrabkKf=gZLXIeKI; iN678zYrXMJZ=i4zICToyI70Yeidf1f7rWjm5foKX2Usx; b7XCoFSvs1YRW=78
Referer: www.facebook.com
Accept-Encoding: gzip

(受害者主机到C2)

GET /assets/index.php HTTP/1.1
Host: reyweb[.]com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:75.0) Gecko/20100101 Firefox/75.0
Cookie: HjELmFxKJc=48b9e25491e088a35105274cae0b9e67; P5hCrabkKf=gZLXIeKI; iN678zYrXMJZ=i4zICToyI70Yeidf1f7rWjm5foKX2Usx; b7XCoFSvs1YRW=78
Referer: www.yahoo.com
Accept-Encoding: gzip

此外,若是将“fake_requesting”设置值设置为1,则SUNSHUTTLE将天生与真实流量相融合的流量。这些请求的示例如下:

(受害者主机到C2)

GET /icon.png HTTP/1.1
Host: reyweb[.]com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:75.0) Gecko/20100101 Firefox/75.0
Referer: www.google.com
Accept-Encoding: gzip

(受害者主机到C2)

GET /css/style.css HTTP/1.1
Host: reyweb[.]com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:75.0) Gecko/20100101 Firefox/75.0
Referer: www.facebook.com
Accept-Encoding: gzip

(受害者主机到C2)

GET /css/bootstrap.css HTTP/1.1
Host: reyweb[.]com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:75.0) Gecko/20100101 Firefox/75.0
Referer: www.facebook.com
Accept-Encoding: gzip

(受害者主机到正当站点)

GET / HTTP/1.1
Host: cdn.cloudflare[.]com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:75.0) Gecko/20100101 Firefox/75.0
Referer: www.google.com
Accept-Encoding: gzip

0x09 附录:MITRE ATT&CK框架

T1027 混淆的文件或信息

T1027.002 软件加壳

T1059.003 Windows下令Shell

T1071.001 网络协议

T1105 入口工具转移

T1140 反混淆/解码文件或信息

T1573.001 对称密码学

0x0A 附录:检测手艺

FireEye平安解决方案可以提供跨电子邮件、终端和网络级其余SUNSHUTTLE恶意流动检测。以下是与恶意软件相关的检测指标。

· 平台:网络平安、邮件平安、实时检测、恶意软件文件扫描、恶意软件文件存储扫描

· 检测名称:

FE_APT_Backdoor_Win64_SUNSHUTTLE_1

FE_APT_Backdoor_Win_SUNSHUTTLE_1

APT.Backdoor.Win.SUNSHUTTLE

APT.Backdoor.Win.SUNSHUTTLE.MVX

· 平台:终端平安

· 检测名称:

恶意软件防护(AV/MG)

Trojan.GenericKD.34453763

Generic.mg.9466c865f7498a35

本文翻译自:https://www.fireeye.com/blog/threat-research/2021/03/sunshuttle-second-stage-backdoor-targeting-us-based-entity.html:
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片