- UID
- 1288
- 积分
- 160
- 精华
- 0
- 沃币
- 6 枚
- 注册时间
- 2023-3-30
|
本帖最后由 kitty 于 2023-11-24 11:42 编辑
关键发现
- Check Point Research 正在积极跟踪 SysJoker 的演变,这是一个先前未公开的多平台后门,我们评估它被哈马斯附属的 APT 用于针对以色列。
- 其中最显着的变化是转向 Rust 语言,这表明恶意软件代码完全重写,同时仍然保持类似的功能。此外,攻击者转而使用 OneDrive 而不是 Google Drive 来存储动态 C2。
- 对新发现的 SysJoker 变种的分析揭示了与之前未公开的 "电粉行动" 样本的联系,这是 2016 年至 2017 年间针对以色列组织的一系列攻击,与名为 "加沙网络帮" 的威胁行为者存在松散联系。
介绍
在以色列与哈马斯战争的紧张局势中,Check Point Research 一直在进行积极的威胁搜寻,以发现、归因和减轻相关的区域威胁。其中,SysJoker 恶意软件的一些新变种,包括用 Rust 编码的变种,最近引起了我们的注意。这些被哈马斯相关威胁者用于有针对性的攻击。
SysJoker 最初由 Intezer 于 2021 年发现,是一个多平台后门,在原始发布几个月后的另一份报告中也分析了相同的恶意软件。从那时起,SysJoker Windows 变种已经发展到足以保持低调。
当我们调查 2023 年用于针对性攻击的 SysJoker 新变种时,我们还发现了一个用 Rust 编写的变种,这表明恶意软件代码已被完全重写。此外,我们还发现了与 2016 - 2017 年针对以色列的另一个名为 "Operation Electric Powder" 的活动的行为相似之处。该活动此前与加沙网络帮 (又名 Molerats) 有关,该组织是一个与巴勒斯坦利益集团联合行动的威胁组织。
在本文中,我们深入研究了 SysJoker 的 Rust 版本,并披露了有关其他 SysJoker Windows 变种及其归属的更多信息。
SysJoke 的 Rust 变种
SysJoker 变种 (9416d7dc2ecdeda92ba35cd5e54eb044) 用 Rust 编写,于 2023 年 10 月 12 日以名为 php-cgi.exe 提交给 VirusTotal,8 月 7 日编译,它包含以下内容PDB 路径:C:\Code\Rust\RustDown-Belal\target\release\deps\RustDown.pdb。
该恶意软件在其执行的各个阶段采用随机睡眠间隔,这可以作为可能的反沙箱或反分析措施。
样本有两种操作模式,这取决于其在特定路径中的存在,这是为了根据持久性区分第一次执行和任何后续执行。
首先,它检查当前运行的模块是否与路径 C:\ProgramData\php-7.4.19-Win32-vc15-x64\php-cgi.exe 匹配,根据结果,恶意软件会进入两个可能阶段之一。
首次执行
如果样本从不同的位置运行,表明这是第一次执行样本,恶意软件会将自身复制到路径 C:\ProgramData\php-7.4.19-Win32-vc15-x64\php-cgi.exe ,然后使用 PowerShell 使用以下参数从新创建的路径运行自身:
- -Command C:\ProgramData\php-7.4.19-Win32-vc15-x64\php-cgi.exe
最后创建一个持久化机制,然后退出程序。持久性是以一种不寻常的方式建立的,使用带有以下参数的 PowerShell:
- -Command "$reg=[WMIClass]'ROOT\DEFAULT:StdRegProv';
- $results=$reg.SetStringValue('&H80000001','Software\Microsoft\Windows\CurrentVersion\Run', 'php-cgi', 'C:\ProgramData\php-7.4.19-Win32-vc15-x64\php-cgi.exe');"
最后,此 PowerShell 代码使用 WMI StdRegPro 类而不是通过 Windows API 或 reg.exe 直接访问注册表,在 HKEY_CURRENT_USER 配置单元中创建一个注册表 Run 项,该项指向可执行文件的副本。
后续执行
SysJoker 访问 OneDrive 的 URL 以检索 C2 服务器地址,URL 在二进制文件中进行硬编码和加密:
- https://onedrive.live[.]com/download?resid=16E2AEE4B7A8BBB1%21112&authkey=!AED7TeCJaC7JNVQ
响应还必须包含以 Base64 编码的 XOR 加密数据 blob。在我们的调查过程中,收到以下答复:
- KnM5Sjpob2glNTY8AmcaYXt8cAh/fHZ+ZnUNcwdld2Mr
解密后,C2 IP 地址和端口显露出来:
- {"url":"http://85.31.231[.]49:443"}
使用 OneDrive 可以让攻击者轻松更改 C2 地址,从而使他们能够领先于不同的基于信誉的服务。此行为在不同版本的 SysJoker 中保持一致。
该恶意软件收集有关受感染系统的信息,包括 Windows 版本、用户名、MAC 地址和各种其他数据。然后,此信息被发送到 C2 服务器上的 /api/attach API 端点,作为响应,它会收到一个唯一的令牌,该令牌在恶意软件与 C2 通信时充当标识符:
向 C2 服务器注册后,该示例运行主 C2 循环,它将包含唯一令牌的 POST 请求发送到 /api/req 端点,C2 使用 JSON 数据进行响应:
服务器的预期响应是一个 JSON,其中包含名为 data 的字段,该字段包含供示例执行的操作数组。每个数组由 id 和 request 字段组成。 request 字段是另一个 JSON,其中包含名为 url 和 name 的字段。来自服务器的响应示例:
- {"id":"2", "request":"{"url": "http://85.31.231[.]49/archive_path", "name":"mal_2.exe"}"}]}
恶意软件从 url 字段中指定的 URL 下载 zip 压缩存档。压缩存档中包含一个可执行文件,解压后将其作为 name 字段保存到 C:\ProgramData\php-Win32-libs 文件夹中,使用以下 PowerShell 命令解压缩存档:
- powershell -Command Expand-Archive -Path C:\ProgramData\php-Win32-libs\XMfmF.zip -DestinationPath C:\ProgramData\php-Win32-libs ; start C:\ProgramData\php-Win32-libs\exe_name.exe
值得一提的是,在之前的 SysJoker 操作中,恶意软件不仅能够从存档中下载和执行远程文件,还能够执行操作员指定的命令。Rust 版本中缺少此功能,恶意软件接收并执行文件下载命令后,根据操作是否成功,再次联系C2服务器,并向路径 /api/req/res 发送成功或异常消息。服务器发回 JSON 确认,表明已收到信息: {"status":"success"} 。
加密
该恶意软件有两种字符串解密方法,第一种方法很简单,并且出现在多个 SysJoker 变种中。该示例包含多个 Base64 编码的加密数据 blob 和一个 Base64 编码的密钥。解密后,两个 blob 都会进行 Base64 解码,然后进行异或以生成纯文本字符串。
第二种加密方法比较繁琐,并且在编译时整个程序中重复内联拼接,这会在整个示例中生成复杂的字符串解密算法。
Windows SysJoker 变种
除了新发现的 Rust 变种之外,我们还发现了另外两个过去未公开曝光的 SysJoker 样本。这两个样本都比 Rust 版本或任何之前分析的样本稍微复杂一些,与其他版本相比,其中一个示例具有多阶段执行流程,由下载程序、安装程序和单独的有效负载 DLL 组成。
DMA 设备变种
DMADevice 样本 (d51e617fe1c1962801ad5332163717bb) 于 2022 年 5 月编译,即 SysJoker 首次被发现几个月后。
与其他版本一样,恶意软件首先通过 URL 来检索 C2 服务器地址:
- https://onedrive.live[.]com/download?cid=F6A7DCE38A4B8570&resid=F6A7DCE38A4B8570!115&authkey=AKcf8zLcDneJZHw
OneDrive 链接使用加密的 base64 编码字符串进行响应,该字符串使用 XOR 密钥 QQL8VJUJMABL8H5YNRC9QNEOHA4I3QDAVWP5RY9L0HCGWZ4T7GTYQTCQTHTTN8RV6BMKT3AICZHOFQS8MTT 进行解密,这与 Rust 版本中使用的密钥相同。
解密的 blob 包含一个带有 C2 域的 JSON,格式如下:
- {"url":"http://sharing-u-file[.]com"}
接下来,恶意软件进入三阶段执行过程
安装文件持久化
该示例生成一个唯一的机器人 ID,将其通过 POST 请求发送到 /api/cc API 端点,并接收回描述受感染计算机上所需恶意软件设置的 JSON,JSON 具有以下结构:
- {"key":"f57d611b-0779-4125-a3e8-4f8ca3116509","pi":"VwUD[REDACTED]","data":"PRdkHUVFVA9pQl5BXA8YE2JHQgZBBFVpVRJZQU0RdXx3cVVPD1ZSRhoTdS9sY1hbTFldXlx8QwIRSRppeSdrDA1GRVhZW3lXBRtSHFMTHUBpfXZkVkFBRVtaQyhdBhZJWAoaT0NDXkZTR0NRA1lbSlNJVEABElRaXQ8YE11FSA8RSRpeQAdKF0MfE20ZVhBrI3IXJXJ1ESpmc2JrZX57d2ZibDN2OWRgXQVKDBJcV0VqaWdQCFFYE0VtbSFYQkVSV1liVEBGRA5dOWR\/QQgYP05lEx0UaR9NRmdyI2lia0JxH3MVFQ8aVEpQD00RQV1DQlxNEARBX1BbUBBFRnpCEBt3WA5IEBpyV05bVVtbSkEUEExLDEEYREMfE2J5c2RuJ2dyOGp8WAFfX0RYX1lobWVcQwVcEktxaCVNERNWX0VgUEJKD1pZOGpjRAwPbQ=="}
JSON 中的字段 key 用于对其他字段进行 Base64 解码后进行异或解密:pi 字段包含受害者的 IP 地址和 data 字段包含具有多个值的数组:
- ["SystemDrive","ProgramData","DMADevice","DMASolutionInc","DMASolutionInc.exe","DMASolutionInc.dll","powershell.exe","cmd","open","start","\/c REG ADD HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run \/V","\/t REG_SZ \/D",".exe","$env:username | Out-File -Encoding 'utf8' '","SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"]
这些值按以下顺序使用:
- SystemDrive – 获取系统硬盘盘符。
- ProgramData – 在指定的 (在本例中为 ProgramData) 文件夹下创建这两个文件夹:DMADevice 创建的第一个文件夹名称。DMASolutionInc.exe 当前运行的可执行文件用于自我复制到 DMADevice 文件夹中的文件名。
- DMASolutionInc.dll – 配置文件的名称。
- DMASolutionInc – 创建的第二个文件夹名称。
其余值用在一些命令中,这些命令通过注册表 Run 键建立持久性,并将当前用户名从 $env 检索到临时 txt 文件中。
在我们的例子中,配置文件 DMASolutionInc.dll 存储在经过加密 (使用与解密域相同的密钥) 和 Base64 编码的磁盘上。它包含带有以下字段的加密 JSON:
- {"id":"[BOT-ID]","us":"[USERNAME]","ip":"[IP]"}
执行完所有这些操作后,示例将执行 DMASolutionInc.exe 中的副本并退出。
向 C2 服务器注册
当再次执行样本时 (通过前一阶段的持久性),它会检查它运行的位置。然后,它通过向 /api/add 发出包含 uuid、用户名和用户令牌的 POST 请求来继续执行,这些请求也是由恶意软件生成的:
- uuid=bot-id&nu=username&user_token=token
服务器使用其端生成的令牌进行响应,然后将其用于所有后续 C2 请求。
C2 主循环
前一阶段收到的令牌用于向 C2 服务器上的 /api/cr 发出 POST 请求,以检索要执行的命令。
与其他 SysJoker 变种类似,服务器使用包含字段 data 的 JSON 进行响应,该字段是要执行的操作数组。该版本可以下载并执行文件或运行命令并将结果上传到 C2 服务器。对于数组中的每个命令,示例都会发送一个响应报告是否成功。
APPMessagingRegistrar 变种
该变体的编译时间戳为 2022 年 6 月,并且执行流程截然不同。该恶意软件的功能分为两个独立的组件:下载程序 (DDN,c2848b4e34b45e095bd8e764ca1a4fdd) 和后门 (AppMessagingRegistrar,31c2813c1fb1e42b85014b2fc3fe0666)。
DDN 下载器
威胁行为者首先提供一个轻量级下载器,它创建文件夹 C:\ProgramData\NuGet Library\ ,然后从 https://filestorage-short[.]org/drive/AppMessagingRegistrar.zip 下载 zip 文件,解压缩文件,将其复制到 AppMessagingRegistrar.exe 文件中,然后执行它。
事实证明,将功能拆分为单独的组件是有效的:在首次提交给 VirusTotal 时,该恶意软件并未被任何平台的引擎检测到
应用程序消息注册器
执行时,该有效负载首先检查注册表项 SOFTWARE\Intel\UNP\ProgramUpdates\UUID 中 PC 的 UUID。如果注册表项不可用,则使用 UuidCreate 函数生成 UUID,然后将其保存到前面提到的注册表项中。
然后,该变体继续解密硬编码的 OneDrive URL 以检索 C2 地址。此示例中的 XOR 键是 22GC18YH0N4RUE0BSJOAVW24624ULHIQGS4Y1BQQUZYTENJN2GBERQBFKF2W78H7。
C2 地址解密后,将向包含先前生成的 UUID 的 C2 服务器 API 端点 /api/register 发出 POST 请求。
服务器使用包含令牌和状态消息的 JSON 进行响应:
- {"status": "success", "token":"[TOKEN]", "status_num":1}
状态指示请求是否有效,并且示例专门检查字符串 "success" 。该令牌用于以下所有 C2 请求,但与所有其他示例不同,它不是使用请求正文,而是在授权标头中发送: Authorization: Bearer [TOKEN]。此更改可能是为了适应恶意软件执行中的其他流程 (如下所述),其中恶意软件发送 GET 请求而不是 POST,并且需要服务器识别发送者的机制。
status_num 字段用作全局标志,指示机器人应采取哪些操作。有四种状态可用:
设置阶段
如果收到的 status_num 为 0,则恶意软件会创建 C:\ProgramData\Intel\UNP\ProgramUpdates 和 C:\ProgramData\Intel\Drivers\MsoftUpdates 文件夹。然后继续:
- 使用函数 UrlDownloadToFileW 从路径 /api/library/[TOKEN] 下载 DLL 文件并将其保存到 C:\ProgramData\Intel\Drivers\MsoftUpdates\MsoftInit.dll 。
- 加载 MsoftInit.dll 并调用 init 导出函数。
- 再次加载相同的 DLL 并调用 step 导出函数。
- 这些函数的确切用途尚不清楚,因为我们无法检索 DLL。然而,根据恶意软件的名称和我们对以前版本的分析,我们相信它们是持久性和安装过程的一部分。最后,恶意软件向 API 端点 /api/update 发送一个空的 POST 请求。服务器的预期响应是一个空的 JSON。
空闲循环
如果 status_num 为 1,则恶意软件继续无限循环地向 C2 API 端点 /api/status 发出请求。要打破循环,必须更改 status_num。
如果 status_num 为 3,则恶意软件会继续从 URL /api/library/[TOKEN] 下载 DLL 文件并将其保存到路径 C:\ProgramData\Intel\Drivers\MsoftUpdates\MsoftNotify.dll 中。然后,它向 C2 API 端点 /api/ready 发送请求:如果服务器以状态 success 响应,则状态标志将设置为 4。
|
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
x
|
窥视卡
雷达卡
发表于 2023-11-24 11:46:27
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
楼主