這是作者新開的一個專欄,主要翻譯國外知名的安全廠商APT報告文章,了解它們的安全技術,學習它們溯源APT組織的方法,希望對您有所幫助,前文分享了Turla新型水坑攻擊后門(NetFlash和PyFlash),通過偽造Adobe Flash更新,欺騙受害者下載兩個新型惡意軟體NetFlash和PyFlash,從而實作惡意攻擊,這篇文章將詳細介紹Rampant Kitten攻擊活動,包括Windows資訊竊取程式、Android后門和電報網路釣魚頁面,這是Check Point Research機構的分析報告,非常值得大家學習,

- 原文標題:Rampant Kitten – An Iranian Espionage Campaign
- 原文鏈接:https://research.checkpoint.com/2020/rampant-kitten-an-iranian-espionage-campaign/
- 文章作者:checkpoint
- 發布時間:2020年9月18日
- 文章來源:research.checkpoint.com/
- 相關文章:https://thehackernews.com/2020/09/iran-hacking-dissidents.html
文章目錄
- 一.初次感染
- 二.感染鏈
- 三.有效載荷分析
- 1.電報結構基礎
- 2.配置
- 3.C&C溝通
- 4.持久性
- 四.基礎設施和連接
- 五.Android后門
- 六.電報網路釣魚
- 七.有效載荷傳遞
- 八.溯源
- 1.攻擊起源
- 2.目標
- 九.結論
- 十.技術附錄——PC后門變異分析
- 1.TelB變體
- 2.TelAndExt變體
- 3.Python資訊竊取變體分析
- 4.HookInjEx變體
- 十一.技術附錄——Android后門分析
- 1.資料采集
- 2.Google憑據盜竊
- 3.“已啟用Google保護”
- 4.C&C
- 5.短信滲透
- 十二.相關指標及總結
Check Point Research揭露了伊朗物體多年來一直針對伊朗僑民和持不同政見者多年進行監視行動,盡管其他研究人員和記者先前曾報道過一些針對個人的攻擊事件,但我們的調查能夠將不同的攻擊行動聯系起來,并將它們歸因于同一攻擊者,
我們發現了不同的攻擊載體,包括:
- 四種不同版本的Windows資訊竊取程式,旨在竊取受害者的個人檔案以及訪問其電報(Telegram)桌面和KeePass帳戶資訊
- Android后門從短信(SMS messages)中提取雙因素驗證代碼,記錄手機的語音環境等
- 電報釣魚網頁,利用偽造的電報服務帳戶分發
上述工具和方法似乎主要用于對付伊朗少數MZ、FZQ組織和抵抗YD,例如:
- 阿什拉夫營和自由營居民家庭協會(AFALR)
- 阿塞拜疆MZ抵抗組織
- 俾路支人
一.初次感染
我們首先遇到的檔案名稱為 “????_????_??_?????_????????_?????.docx”,大致翻譯為“當局擔心GMDP的擴散”.docx,該檔案的標題實際上指的是伊朗ZQ與GMDP運動之間的持續斗爭,
Mujahedin-e Khalq是一個FZF組織,其目標是使伊朗擺脫目前的地位,1986年,MEK開始建立他們的新總部,后來在Iraqi小鎮哈里斯附近被稱為Ashraf營地,但是,Iraqi多年的緊張局勢最終導致該營地的居民被轉移到一個新的、偏遠的目的地——阿爾巴尼亞,
上面的檔案利用了外部模板技術,允許它從遠程服務器加載檔案模板,在本例中是 afalr-sharepoint[.]com,遠程模塊如下圖所示:

出于對這個網站的好奇,我們開始探索更多關于它的資訊,我們發現一些反對伊朗ZQ的賬戶發布推文,提到了一個非常類似的SharePoint網站,該檔案中的網站很可能冒充了以下網站:

AFALR的官方網站如下圖所示:

二.感染鏈
當受害者打開檔案并下載了遠程模板后,模板中的惡意宏代碼將執行一個批處理腳本,該腳本嘗試從afalr-sharepoint[.]com下載并執行下一階段的有效負載,

然后,有效負載會檢查是否在受感染的計算機上安裝了Telegram,如果檢查有效,它將繼續從其資源中提取三個額外的可執行檔案,
- BOBC3953C59DA7870
加載器(Loader),由RunDLL執行,將主要有效載荷注入explorer.exe中 - CO9D5A739B85C37C1
資訊竊取的有效載荷(Infostealer payload) - Updater.exe
修改電報的更新程式
三.有效載荷分析
該惡意軟體的主要功能包括:
- 資訊竊取者
上傳受害者電腦的相關電報檔案,這些檔案允許攻擊者充分利用受害者的電報帳戶;從KeePass應用程式竊取資訊;上傳任何它能找到的以預定義擴展名結尾的檔案;記錄剪貼板資料,并采取桌面螢屏截圖, - 模塊下載器
下載并安裝幾個額外的模塊, - 獨特的持久性
實作了一種基于Telegram內部更新程序的持久性機制,
1.電報結構基礎
首先,讓我們回顧一下Telegram Desktop如何組織其檔案,以下是一個普通的電報檔案結構,通常可以在 %APPDATA%\Roaming\Telegram Desktop 路徑找到,

如上所述,在感染鏈期間,有幾個檔案被拖放到Telegram作業目錄中,洗掉的檔案位于一個名為03A4B68E98C17164s的目錄中,由于是一個定制的 Desktop.ini檔案,所以第一眼看上去像一個檔案,但它實際上是一個目錄,受感染的Telegram Desktop目錄如下圖所示,

2.配置
有效負載的一個資源包含編碼的配置資料,編碼方案使用常規的Base64演算法,但是使用自定義索引表為:
- eBaEFGHOQRS789TUYZdCfPbDIJ+/KLMNwxyzquv0op123VWXghijmnkl45rst6Ac
對該資源進行解碼可為我們提供以下配置資訊:

3.C&C溝通
該惡意軟體使用SOAP進行通信,SOAP是用于Web服務通信的基于XML的簡單資料結構,SOAP Web服務的API是公開的,可以從以下瀏覽器訪問網站來觀察,C&C網站中的SOAP API如下圖所示:

訊息(命令)可以分為以下幾類:
- 身份認證
HelloWorld:身份認證訊息 - 模塊下載器
DownloadFileSize:檢查是否應該下載模塊
DownloadFile:從遠程服務器下載模塊 - 資料滲漏
UploadFileExist:檢查是否已上傳特定的受害者檔案
UploadFile:上傳一個特定的受害者檔案
(1) 身份認證
有效通信隧道的第一條訊息應該是HelloWorld,它實作了簡單的用戶名/密碼身份驗證,憑證在示例中進行了硬編碼,并且該訊息的SOAP回應包含一個會話ID,該會話ID必須用于其余的會話,
(2) 模塊下載器
該程式嘗試獲取其當前模塊的更新,并下載幾個其他模塊,一些額外的確實模塊無法獲取,包括:
- D07C9D5A79B85C331.dll
- EO333A57C7C97CDF1
- EO3A7C3397CDF57C1
(3) 資料滲漏
該惡意軟體的核心功能是從目標設備中竊取盡可能多的資訊,有效負載針對兩個主要應用程式:Telegram Desktop和著名的密碼管理器KeePass,
一旦相關的Telegram桌面和KeePass的檔案已被上傳,惡意軟體就會列舉在受害者電腦上找到具有以下擴展名的相關檔案:
- .txt;.csv;.kdbx;.xls;.xlsx;.ppt;.pptx;
對于每個這樣的檔案,惡意軟體在將其編碼為base64后將其上傳,
4.持久性
該惡意軟體使用一種獨特的持久性方法,該方法與電報更新程序相關聯,它將定期將Telegram主可執行檔案復制到中 Telegram Desktop\tupdates,一旦電報應用程式啟動,就會觸發一個更新程式,該惡意軟體的持久性方法的一個隱藏技巧是更改默認的Telegram更新器檔案 Telegram Desktop\Updater.exe,其中包含已洗掉的有效載荷之一(具體的是CO79B3A985C5C7D30),該更新程式最顯著的更新是再次運行有效負載,其中Telegram更新程式運行主要有效負載如下圖所示,

四.基礎設施和連接
在分析了有效載荷之后,我們能夠追溯到2014年的多種變體,這表明這種攻擊已經醞釀了多年,由相同攻擊者開發的惡意軟體變體之間常常會有細微的差異,尤其是在相同的時間范圍內使用它們時,但是,在這種情況下,我們注意到,雖然某些變體是同時使用的,但它們是用不同的編程語言撰寫的,利用了多種通信協議,并不總是竊取相同型別的資訊,
在下表中,我們列出了發現的變體并突出了它們的獨特特征,請參閱下面的技術附錄,了解關于每種變體的詳細資訊,

相關樣本還揭示了更多的C&C服務器,通過查找它們的被動DNS資訊和其他元資料,我們可以找到由同一攻擊者操作的相似域,事實證明,某些域名出現在惡意Android應用程式和網路釣魚頁面中,從而暴露了該操作的更多層次資訊,下圖為惡意基礎架構的Maltego圖,

五.Android后門
在我們的調查程序中,還發現了與相同威脅參與者有關聯的惡意Android應用程式,該應用程式偽裝成一種服務,以幫助在瑞典說波斯語的人獲得駕照的服務,我們已經找到了同一應用程式的兩個不同變體,一個似乎是為了測驗而編譯的,另一個是要在目標設備上部署的發行版,Android應用程式的主界面如下圖所示,

此Android后門包含以下功能:
- 竊取現有的SMS訊息
- 向攻擊者控制的C&C服務器提供的電話號碼轉發兩因素認證短信
- 檢索個人資訊,例如聯系人和帳戶詳細資訊
- 啟動電話周圍環境的錄音
- 執行Google帳戶網路釣魚
- 檢索設備資訊,如已安裝的應用程式和正在運行的行程
有關此應用程式的詳細資訊,請參閱下面的技術附錄,
六.電報網路釣魚
這些后門并不是攻擊者試圖竊取有關Telegram帳戶資訊的唯一方法,與該惡意活動相關的某些網站還托管了仿冒Telegram的網路釣魚頁面,如下圖所示,

令人驚訝的是,幾個伊朗電報頻道實際上已經發出了針對這些釣魚網站的警告,并聲稱伊朗ZQ是他們的幕后黑手,針對網路釣魚嘗試的翻譯后的訊息警告如下圖所示,

根據這些頻道,釣魚資訊是由電報機器人發送的,這些資訊警告收件人,他們正在不當使用Telegram的服務,如果他們不進入釣魚鏈接,他們的賬戶將被封掉,

另一個Telegram頻道提供了釣魚企圖的截圖,顯示攻擊者建立了一個冒充官方Telegram的賬戶,最初,攻擊者在新的Telegram更新中發送了有關這些功能的訊息,使其顯得合法,網路釣魚訊息僅在5天后發送,并指向https://telegramreport[.]me/active(與上面圖相同的域),下圖展示了從假電報帳戶發送的網路釣魚訊息,

七.有效載荷傳遞
盡管在某些情況下我們無法確定惡意檔案如何到達受害者,但我們收集了一些有關攻擊者分發惡意軟體方式的潛在線索,例如,訪問 mailgoogle[.]info 表明它模擬 ozvdarozv[.]com 并推廣了一種軟體,以增加Telegram頻道中的成員數量,mailgoogle[.]info下載頁面如下圖所示,

但是,在單擊“下載”后,一個名為 Ozvdarozv-Windows.rar 的有密碼保護的檔案就會被下載,其包含一種惡意軟體變種,
2018年一篇被洗掉的博客文章指控一名網路安全專家剽竊,當時他在接受阿拉比亞新聞頻道采訪,討論伊朗的網路攻擊,我們相信這個頁面是針對此人或他的同伙的有針對性的攻擊的一部分,這個博客包含了一個鏈接,可以下載一個有密碼保護的檔案,其中包含了來自 endpload [.]com 的抄襲證據,
endupload[.]com 通過幾個被動DNS躍點連接到上述PC和Android操作,包括通過歷史DNS服務器資訊直接連接到 mailgoogle[.]info 域名,我們不僅沒有發現在合法環境中使用過該域名的任何實體,而且還發現了該域名已被波斯語黑客注冊的證據,請參見下面的“歸因”部分,已洗掉的博客文章及其鏈接 endupload[.]com 如下圖所示,

與2012年不同的博客文章討論了伊朗人權活動家協會附屬新聞機構HRANA的侵犯人權行為報告,再次,此博客參考了可以從endupload[.]com以下網站下載的檔案:
2012年的另一篇博客文章則討論了伊朗RQ活動人士協會(Iranian Association of human rights Activists)下屬新聞機構HRANA發布的一篇報告,同樣,這個博客參考了一個可以從 endpload [.]com 下載的檔案,下圖展示了博客中帶有指向 endupload [.] com 的鏈接,

不幸的是,我們無法獲得兩個博客條目所指的檔案,也無法確認它們是否是惡意的,但是,似乎 endupload[.]com 已經由攻擊者控制了多年,因為與此攻擊有關的一些惡意樣本(可追溯到2014年)已與該網站進行了通信,
八.溯源
盡管我們發現多年來在此攻擊中使用過的許多檔案和網站,但它們并未歸因于特定的威脅組織或物體,但是,威脅攻擊者留在惡意事件中的一些指紋使我們可以更好地了解攻擊可能來自何處,
1.攻擊起源
首先,某些惡意網站的WHOIS資訊表明,它們據稱是由伊朗個人注冊的,下圖展示了 endupload[.]com 和 picfile[.]net 的WHOIS資訊,

WHOIS記錄了 endpload[.]com 還提到一個電子郵件地址,nobody.gu3st@gmail[.]com,顯然,該網站的注冊用戶在網上非常活躍,因為查詢的用戶名是“nobody.gu3st ”,我們可以在伊朗黑客論壇上看到關于他的許多帖子,

2.目標
我們觀察到的目標清單反映了伊朗內部的一些斗爭和這次Xi擊背后的動機,精心挑選的目標包括SZ組織和阿塞拜疆組織的支持者,這兩個著名的抵抗運動提倡JF伊朗人民和伊朗境內的少數MZ,

這些運動與伊朗當局之間的意識形態CT使它們成為這種Xi擊的自然目標,因為它們與該ZQ的目標相吻合,此外,后門的功能以及竊取敏感檔案、訪問KeePass和Telegram賬戶的重點表明,攻擊者對收集受害者的情報、了解他們的更多活動很感興趣,
九.結論
追蹤這次攻擊的蹤跡可以發現,這次大規模行動在很大程度上成功地隱藏了至少6年,根據我們收集到的證據,這些似乎來自伊朗的攻擊者利用多種攻擊載體暗中監視他們的受害者及其個人電腦和移動設備,
由于我們確認的大多數目標都是伊朗人,這可能是伊朗攻擊者正在收集關于該組織潛在對手的情報,SandBlast Mobile可提供實時威脅情報和對移動威脅的可見性,防止受到惡意軟體、網路釣魚、中間人攻擊、作業系統攻擊等的侵害,Check Point的反網路釣魚解決方案包括針對網路釣魚攻擊的所有攻擊媒介的產品,包括電子郵件、移動電話、端點和網路,
十.技術附錄——PC后門變異分析
1.TelB變體
“ TelB”是我們遇到的最新變體,其分析如上所示,我們之所以這樣命名是因為下一個除錯字串:
- D:\Aslan\Delphi\TelB\BMainWork\SynCryptoEN.pas
2.TelAndExt變體
此變體可能是“ TelB”的舊版本,主要在2019年和2020年期間活躍,它與新版本共享以下特性和技術:
- 在Delphi中開發
- 與“TelB”變體共享大量代碼
- 專注于Telegram Desktop應用程式
- 類似的持久化和更新方法
- 使用FTP而不是SOAP進行資料溢位
我們將此變體命名為“TelAndExt”,因為下一個除錯字串為:
- D:\Aslan\Delphi\TelAndExt\TelegramUpdater\SynCryptoEN.pas
3.Python資訊竊取變體分析
我們發現了一些使用以下方法的樣本:
- 兩層SFX(自解壓存檔),可提取多個.bat / .vbs / .nfs / .conf檔案
- 通過將可執行檔案(以結尾.nfs)復制到
%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\audio-driver.exe - 可執行檔案的名稱為speaker-audio.exe或keyboard-EN.exe,具體取決于示例
- 該可執行檔案是使用Pyinstaller創建的
- 下載名為net-update.exe的第二階段有效負載
- 在上傳之前,使用帶有硬編碼密碼的庫pyAesCrypt對資料進行加密
根據我們的分析,該變體在資訊竊取方面,使用硬編碼的憑據與FTP服務器通信,并竊取以下資料:
- 電報桌面應用程式相關檔案
- Paltalk NG應用程式相關檔案
- Chrome、Firefox和Edge的相關資料
- 以給定配置中列出的擴展名結尾的任何檔案,如果未提供任何配置,它將搜索具有以下擴展名的檔案:.txt;.docx;.doc;.exe;.jpg;.html;.zip;.pdf
同時,在調查程序中,我們看到了幾個Python資訊竊取器,它們與同一個FTP服務器通信,但是將竊取的資訊以不同的別名存盤在不同的頁面中,我們懷疑這是惡意軟體作者的操作方式:
- 選擇一個目標,并在FTP服務器中為它們創建一個指定的檔案夾
- 使用針對資料上傳的唯一AES密鑰和FTP憑證構建針對目標定制的樣本
- 通過感染鏈載體之一提供武器化的可執行檔案
第二階段有效負載HookInjEx:其核心功能之一是獲取第二階段的有效負載,如果指定的FTP檔案夾包含名為 net-update.exe 的檔案,則它將下載并執行該檔案,我們分析了其中的幾個net-update.exe樣本,發現與下面的“HookInjEx”變體完全重疊,從而使其成為有針對性的高級有效負載,
4.HookInjEx變體
該變體自2014年以來一直在使用,并具有32位和64位版本,隨著時間的流逝,該變體不斷演變并添加了一些功能,同時還更改了其感染鏈中不同組件的名稱,我們發現了兩種主要的感染鏈:
- SFX(自解壓存檔)包含所有組件,它將所有這些檔案放入一個檔案夾,然后執行主加載程式 DrvUpdt.exe(ehtmlh.exe在舊版本中),
- 偽造的SCR檔案充當可執行檔案,為了看起來像合法的SCR檔案,加載程式包含一個誘餌 JPEG / PPTX / DOC檔案作為資源(Resource_1),該檔案在運行時加載,
SCR檔案還將其他有效載荷作為其資源洗掉,并使用命令列運行主加載程式:
cmd.exe /C choice /C Y /N /D Y /T 3 &
"%APPDATA%\\Microsoft\\Windows\\Device\\DrvUpdt.exe" -pSDF32fsj8979_)$
惡意SCR打開誘餌JPG資源如下圖所示:

該變體在掛鉤和注入(Hooking and Injection)方面,主加載程式使用稱為“HookInjEx”的掛鉤和注入方法,該方法將DLL映射到explorer.exe,在其中將Start按鈕子類化,在我們的示例中,加載的DLL是DrvUpdtd.dll(dhtmlh.dll在較早的版本中),
在新版本中,該惡意軟體還會以其他語言掛起“Start”按鈕,不同語言的存在可能表明它的受害者來自世界各地的國家,不同的翻譯是:

該惡意軟體從一個名為Devinf.asd的檔案接收其配置,asd(在舊版本中命名為file2.asd),配置被解密并寫入一個名為Drvcnf的新檔案,asd(舊版本中命名為file3.asd),加密方法為:
該惡意軟體從一個名為的檔案Devinf.asd(在較早的版本中名為file2.asd)接收配置,解密配置并將其寫入名為Drvcnf.asd的新檔案(在舊版本中名為file3.asd),加密方法為:
def decode(content):
dec_array = [0, 1, 2, 3, 4, 5, 6, 7, 8,
0xe, 0xf, 0x10, 0x11, 0x12, 0x13, 0x14, 0x15,
0x16, 0x17, 0x18, 0x19, 0x1a,0x1b, 0x1c, 0x1d,
0x1e, 0x21, 0x22, 0x23, 0x24, 0x25, 0x26, 0x27,
0x28, 0x29, 0x2a, 0x2b, 0x2c, 0x2d, 0x2e, 0x2f,
0x30, 0x31, 0x32, 0x33, 0x34, 0x35, 0x36, 0x37,
0x38, 0x39,0x3a, 0x3b, 0x3c, 0x3d, 0x3e, 0x3f,
0x40, 0x41, 0x42, 0x43, 0x44]
output_str = ''
known_values = [9, 10, 13, 32]
for j in range(len(content)):
int_cur_content = ord(content[j])
cur_byte = 0
for i in range(62):
if int_cur_content == dec_array[i]:
if i < 26:
cur_byte = i + 0x61
elif 26 <= i < 52:
cur_byte = i + 0x27
elif 52 <= i < 62:
cur_byte = i - 0x4
output_str += (chr(cur_byte))
break
if cur_byte == 0:
if int_cur_content in known_values:
cur_byte = int_cur_content
elif int_cur_content - 0x61 <= 0xe:
cur_byte = int_cur_content - 0x40
elif int_cur_content - 0x70 <= 0x6:
cur_byte = int_cur_content - 0x36
elif int_cur_content - 0x77 <= 0x5:
cur_byte = int_cur_content - 0x1c
elif int_cur_content - 0x53 <= 0x3:
cur_byte = int_cur_content + 0x28
output_str += (chr(cur_byte))
return output_str
解密配置后,惡意軟體會決議這些值并將其放入全域變數中,
<Reg></Reg> - Registry key for persistence
<Pre></Pre> - pre value for info files to send
<Pas></Pas> - extensions for info files to send
<Path_Log></Path_Log> - log path direcory
<L_s></L_s> - minimum size for file to send
<S_n></S_n> - FTP domain
<F_k></F_k> - FTP User value
<F_R></F_R> - FTP Password value
<Ver></Ver> - version
<U_u2></U_u2> - Downloads updates URL
<U_u1></U_u1> - Downloads updates URL
<F_f></F_f> - Directory in ftp connection.
<U_t></U_t> - timer_1
<S_t></S_t> - timer_2
<S_q></S_q> - timer_3
<U_u3></U_u3> - Downloads updates URL
<El></El> - value for encryption method to files
<Ez></Ez> - value for encryption method to files
<F_n></F_n> - Fake name
<E_dt></E_dt>
<E_dy></E_dy>
<Snd_P></Snd_P> - Value to choose name template for info files to send.
<Mlt></Mlt> - flag for exeucting again from different place.
<Ws1></Ws1> - WHOIS first URL
<Ws2></Ws2> - WHOIS second URL
<Ws3></Ws3> - WHOIS third URL
<S_li></S_li>
<RTL></RTL>
<SHttpR></SHttpR> - value to download using computer-name and username
<OPP></OPP> - Opera gather data flag
<FIP></FIP> - Firefox gather data flag
<CHP></CHP> - Chrome gather data flag
<WHP></WHP> - WHOIS flag
<TRP></TRP> - tracert flag
<FRC></FRC> - number of tries
<Clipfp></Clipfp> - clipboard data flag of CF_HDROP (CLB-f.jpg)
<Cliptp></Cliptp> - clipboard data flag of text, unicode, oemtext and locale (clb-t.jpg)
<Clipip></Clipip> - clipboard data flag of bitmap and dib (clb-p.jpg)
在持久化方面:
該惡意軟體將< Reg >組態檔值中的注冊表項(幾乎總是注冊表項RunOnce)設定為以下值,它將名稱設定為SunJavaHtml或DevNicJava,其值為DrvUpdt.exe 11,這樣惡意軟體就知道它已經被執行了,在舊版本中,該惡意軟體用來洗掉名為rreegg.exe或Capdev.exe的檔案,該檔案被添加到RunOnce中,然后依次執行DrvUpdt.exe 11,
在資訊竊取方面:
該惡意軟體的主要功能是從受害者的計算機中竊取資訊,然后使用FTP將其發送到C2,該惡意軟體竊取了不同型別的資料:
- Opera / Chrome / Firefox登錄資料
- Firefox資訊:組態檔,密鑰和資料庫檔案
- tracert www.google.com的輸出
- WHOIS資訊(基于< Ws1 >值)
- 前臺視窗的螢屏截圖和標題
- 一分鐘的波形音頻記錄
- 來自可移動驅動程式的檔案,檔案型別基于檔案中的< cpy >標記Devufl1.tmp(winufl1.tmp在舊版本中),在某些版本中,該邏輯是在名為的檔案中實作的uflscan.exe
- 有趣的是,如果驅動程式的名字是以下內容之一:A65RT52WE3F、09353536557 或 transcend20276,惡意軟體就會終止執行緒,我們認為它是一個除錯代碼,它的目的是防止惡意軟體從作者的電腦收集檔案
- 來自其他驅動器的基于Devufl2.tmp(舊版本為winufl2.tmp)檔案中的標記的檔案
- 鍵盤日志和剪貼板資料從各種格式,包括拖放、CF_HDROP、CF_UNICODETEXT、虛擬鍵代碼、CF_OEMTEXT、CF_LOCALE、CF_BITMAP和CF_DIB,
- 使用webcam捕獲(舊版本的tcwin.exe)
- 自2018Telegram桌面資料
下圖為帶有硬編碼可移動驅動程式的除錯代碼,

在C2通訊方面:
此變體使用FTP協議將檔案上傳到其C2域,FTP域位于< S_n >標記內的組態檔中,
- 該連接首先使用組態檔中的密碼和用戶名進行身份驗證
- 然后該惡意軟體根據< F_f >標記和其中的子目錄及其之前生成的用戶ID,創建一個目錄,用戶ID根據寫入檔案中的網路配接器的資訊生成的Mcdata.dat(PAdata.dat在較早的版本中),
- 之后,連接TYPE I和PASV命令繼續進行,然后再使用命令存盤檔案STOR
該變體還與其他域聯系以更新其不同組件,域被放置在組態檔內< U_U1 >,< U_U2 >和< U_U3 >標簽,使用 URLDownloadToFileW 從給定的URL下載檔案,這些檔案user_id包含在URL中,
在字串混淆方面:
在較新版本(自2018年起)中,使用以下腳本對字串進行加密:
buf_1 = 'qweyuip[];lkjhgdszcm,.><MNBVCXZ|ASDFGHJK:}{POIUYTREWQ123456789-=+_)(*&^%$#@!'
buf_2 = '!#$%&()*+,-.123456789:;<=>@ABCDEFGHIJKMNOPQRSTUVWXYZ[]^_cdeghijklmpqsuwyz{|}'
input_str = "" # The encrypted string
output_str = ''
for i in range(len(input_str)):
cur_byte = input_str[i]
place = buf_2.find(cur_byte)
if place == -1:
output_str += cur_byte
continue
new_byte = buf_1[place]
output_str += new_byte
print(output_str)
十一.技術附錄——Android后門分析
第一個活動是MainActivity,它負責向用戶提供誘餌內容并請求執行特權活動的權限,它還啟動一個名為MainService的后臺服務,并在服務器發送命令時啟動第二個MainActivityFake (GmailActivity),下圖展示了要求用戶允許一組權限,

1.資料采集
一旦GmailActivity啟動MainService,它將負責以下任務:計時器注冊、配置監視、顯示虛假通知(如下所述)和敏感資料收集,在此初始資料收集程序中,將讀取并準備以下資訊:
- 已安裝的應用程式串列
- 賬戶資訊
- 短信
- 聯系人資訊
從C&C服務器收到命令后,其余資訊將按需收集:
- 錄音–默認情況下為30秒錄音
- Google憑據-服務器觸發身份驗證網路釣魚嘗試
2.Google憑據盜竊
在收到正確的命令從C&C服務器,谷歌登錄頁面將顯示給受害者,通過激活MainActivityFake (GmailActivity),Google登錄頁面如下圖所示:

此時,用戶會看到一個合法的 accounts.google.com 登錄頁面,位于Android的WebView中,為了竊取輸入的憑證,使用了Android的JavascriptInterface,以及一個定時從用戶名和密碼輸入欄位中檢索資訊的計時器,定期檢索Google帳戶憑據代碼如下圖所示:

3.“已啟用Google保護”
如前所述,它的核心功能之一是打開麥克風并記錄周圍環境,為了實時實作這一目標,應用程式需要在后臺運行其服務,任何想要執行此類操作的Android應用程式都需要向用戶發布一個正在進行的通知,提醒用戶設備上有未啟動的活動,為了規避這個問題,惡意軟體開發者選擇向用戶顯示一個“谷歌保護已啟用”的假通知,下圖展示了應用程式顯示虛假通知,

結果是偽裝成“ Google保護”的永遠在線的誘餌通知,

4.C&C
該惡意軟體使用常規的HTTP與C&C服務器通信,它將初始請求發送給alarabiye[.]net,并繼續與gradleservice[.]info通信以獲得配置、命令和狀態更新資訊,為了上傳所有敏感資訊,該惡意軟體使用帶有硬編碼憑證的FTPS,

此外,在將敏感檔案上傳到FTP服務器之前,它會使用AES演算法以及預先配置的密碼對它們進行加密,AES加密代碼如下,

5.短信滲透
此惡意應用程式的獨特功能之一是將前綴為G-(谷歌雙因素身份驗證碼的前綴)的短信轉發到它從C&C服務器接收到的電話號碼,此外,所有來自Telegram等社交網路應用的短信也會自動發送到攻擊者的電話號碼,
在我們的分析程序中,很明顯這個惡意應用程式仍在積極開發中,各種資產和功能要么是以前操作的遺留,要么是尚未使用,其中一個未使用的網路釣魚資產甚至包含一個預先輸入的用戶名,可能是攻擊者先前操作的目標,未使用的網路釣魚HTML資產和位置跟蹤代碼如下圖所示,


十二.相關指標及總結
網路釣魚
- telegramreport[.]me
- telegramco[.]org
- telegrambots[.]me
- mailgoogle.info
安卓C&C服務器
- gradleservice[.]info
- alarabiye[.]net
檔案的MD5
- 4ae3654b7ed172b0273e7c7448b0c23c
- ca154dfd01b578b84c0ec59af059fb62
檔案的SHA-1
- f3a4feedd4f62702c65b037a91bd8332d9518c08
- 735f761462443deff23dde5b76746b7ab0ceaf71
檔案的SHA-256
- 24e5b2967437dbc1866df3ac1bf776a4960a5a56676b48bb9a143e62849a43d2
- 881ab44385541ac7cd0f3279ba4fb8519df07d529456c9e34074787ebb33f658
TelB變體C&C服務器
- afalr-sharepoint [.] com
- afalr-onedrive [.] com
后門的MD5
- 315e6338bf9c9bcbe3d5af0482f51dfd
后門的SHA-1
- 8b00d62a5c03efa76dfca8bd8c95c969167f83ee
后門的SHA-256
- a713a2749e9791243a89471a2603bf1f32ec11c9179771ca46fb5583b8412cb0
最后希望這篇文章對您有所幫助,更多指標推薦大家閱讀原文,非常感謝大家的祝福和關心,希望早些時候帶思遠去珞珈山看看,如果以后他能考上就更好了,哈哈,爸爸即將返校奮斗,希望寶寶和女神都健健康康、開開心心,敏而多思,寧靜致遠,無思遠人,勞心忉忉,愛你們喔回去后得更加努力,腳踏實地,當然最重要的還有遠方和你們,晚安娜~

前文分享:
- [譯] APT分析報告:01.Linux系統下針對性的APT攻擊概述
- [譯] APT分析報告:02.釣魚郵件網址混淆URL逃避檢測
- [譯] APT分析報告:03.OpBlueRaven揭露APT組織Fin7/Carbanak(上)Tirion惡意軟體
- [譯] APT分析報告:04.Kraken - 新型無檔案APT攻擊利用Windows錯誤報告服務逃避檢測
- [譯] APT分析報告:05.Turla新型水坑攻擊后門(NetFlash和PyFlash)
- [譯] APT分析報告:06.猖獗的小貓——針對伊朗的APT攻擊活動詳解
2020年8月18新開的“娜璋AI安全之家”,主要圍繞Python大資料分析、網路空間安全、逆向分析、APT分析報告、人工智能、Web滲透及攻防技術進行講解,同時分享CCF、SCI、南核北核論文的演算法實作,娜璋之家會更加系統,并重構作者的所有文章,從零講解Python和安全,寫了近十年文章,真心想把自己所學所感所做分享出來,還請各位多多指教,真誠邀請您的關注!謝謝,

(By:Eastmount 2020-11-09 星期一 晚上10點寫于貴陽 http://blog.csdn.net/eastmount/ )
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/211617.html
標籤:其他
