近日,天融信(002212)天璇实验室在日常安全运营中发现国外黑客组织Patchwork将BADNEWS远控木马伪装成PDF的lnk文件进行活动。本次发现的BADNEWS远控木马,不同于之前版本使用HTTP协议上传主机信息和接收远控指令,而是采取HTTPS通信,更为隐蔽。
Patchwork,印度知名黑客组织,又称HangOver、VICEROY TIGER、The Dropping Elephant、摩诃草(APT-C-09),该组织主要针对亚洲国家(地区)的政府机构、科研教育等领域进行网络间谍活动,以窃取敏感信息为主。
目前天融信天璇实验室已分析提取出BADNEWS木马特征,经验证,天融信下一代防火墙、EDR、僵尸网络木马和蠕虫监测与处置系统、入侵检测系统、入侵防御系统、病毒过滤网关均可精确检测该木马的传播及活动行为,提供全面的保护措施,有效阻止危害进一步蔓延。
样本分析
(上下滑动查看更多)
1、该样本后缀名为.pdf.lnk,实际为lnk文件,双击运行后会执行文件中的PowerShell命令。lnk文件会从shhh2564.b-cdn.net/abc.pdf下载诱饵文件并打开,接着从shhh2564.b-cdn.net/c下载文件到C:ProgramDataMicrosoftDeviceSyncp,将p文件复制为同路径下的OneDrive.exe,并删除p文件,最后创建计划任务每隔1分钟执行OneDrive.exe。
2、OneDrive.exe就是BADNEWS远控木马,使用C++语言编写,编译于4月6日。
3、该远控运行后首先隐藏运行窗口。
4、创建互斥体名为“qzex”,保证木马自身单实例运行。
5、使用SetWindowsHookExW注册键盘钩子,将捕获到的键盘记录以文本的方式保存在%temp%目录下的kednfbdnfby.dat文件中。
6、获取受害主机的时区名称,检查是否为中国标准时区。
7、若检测结果为中国标准时区将收集系统信息上传至服务器。
① 获取操作系统版本信息。
②使用正常的Web服务(myexternalip.com, api.ipify.org,ifconfig.me)获取主机IP外网地址。
③将上一步获取到的外网IP地址在(api.iplocation.net,ipapi.co等)Web服务中查询所属国家的名称。
④将获取的信息base64编码后进行AES-128的CBC模式加密,最后将加密后的数据再进行base64编码。AES-128加密使用的密钥为“qgdrbn8kloiuytr3”,IV为“feitrt74673ngbfj”。
⑤具体收集的受害主机基本信息如下表:
8、接着获取CreateThread函数地址,创建3个线程与服务器通信,上传主机信息接收远控指令。
①获取CreateThread函数地址,创建3个线程。
②C2地址为:charliezard.shop:443,uri为/tagpdjjarzajgt/cooewlzafloumm.php,通信内容会使用AES-128加密数据。
③线程sub_409900负责将收集到的信息使用POST方式发送给C2,内容为收集的系统信息加密数据。
④线程sub_4090A0主要接收服务器下发的控制指令,执行相应的操作。
⑤线程sub_409440创建cmd进程执行whoami命令、ipconfig /all命令、ipconfig /displaydns命令、systeminfo命令、tasklist命令。收集当前用户名、完整网络配置信息、DNS缓存信息、完整系统信息、正在执行的进程信息后,使用AES-128加密数据,添加到endfh参数发送到C2。
样本IOC列表
TOPSEC
防护建议
应用软件下载请通过官方网站获取,避免通过第三方网站下载,下载文件打开前,提前使用杀毒软件查杀。
及时关闭客户端上不必要的文件共享权限以及端口。
配置高强度密码认证,建议口令长度为16位及以上,包括大小写字母、数字和符号在内的组合。避免多个账户使用相同口令以及弱口令,并定期更换。
定期对系统展开基线检查,组织渗透测试及安全加固,并及时更新操作系统、开源软件、第三方应用程序补丁等。
购买天融信下一代防火墙、EDR、僵尸网络木马和蠕虫监测与处置系统、入侵检测系统、入侵防御系统、病毒过滤网关系统的客户,可以通过升级僵尸主机规则库、威胁情报库、病毒特征库进行有效监测防护。
TOPSEC
天融信产品防御配置
1
天融信下一代防火墙系统防御配置
1、升级到最新病毒特征库,配置病毒防护策略,开启日志记录和报警功能;
2、通过访问控制策略禁用不必要的端口、服务,缩小资产暴露面,降低传染风险;
3、开启弱口令防护、暴力破解防护功能,可有效降低口令破解风险;
4、开启联动功能,获取天融信EDR系统、病毒过滤网关、僵尸网络木马和蠕虫监测与处置系统等产品检测结果,及时拦截传播/感染源,控制网络传播范围;
5、开启资产防护功能,启用资产行为基线功能,通过检测资产异常行为,可及时发现隐藏攻击行为并启用策略进行阻断。
2
天融信EDR系统防御配置
1、开启病毒实时监控功能,有效预防和查杀该病毒;
2、通过微隔离策略加强访问控制,降低横向感染风险;
3、创建周期扫描任务,定时对主机进行全面清理,消除安全隐患。
3
天融信僵尸网络木马和蠕虫监测与处置系统、入侵检测系统配置
1、升级最新僵尸主机规则库,配置僵尸主机策略,实时检测木马的异常通信;
2、升级最新威胁情报库,开启威胁情报恶意文件检测和捕获功能,实时检测和捕获网络中传播的木马;
3、开启僵尸主机、威胁情报日志记录和告警功能;
4、可配置旁路阻断或者天融信防火墙联动,拦截木马的异常通信和网络传播。
4
天融信入侵防御系统配置
1、升级最新僵尸主机规则库,配置僵尸主机策略,实时检测、拦截木马的异常通信;
2、升级最新威胁情报库,开启威胁情报恶意文件阻断和捕获功能,实时检测、拦截及捕获网络中传播的木马;
3、开启僵尸主机、威胁情报日志记录和告警功能。
5
天融信病毒过滤网关防御配置
1、升级到最新病毒特征库;
2、导入HTTPS证书;
3、开启HTTP、POP3、SMTP、FTP、IMAP等协议的病毒扫描检测;
4、配置病毒检测处置策略;
5、开启日志记录和报警功能。