【安全资讯】yoroi研究人员披露TH-239(UNC1945)武器库组件

鬼桑 2021-01-13 02:46:06 1007人浏览

TH-239(UNC1945)组织为FireEye披露的利用第三方网络的访问来针对金融和专业咨询行业内的组织 ;

UNC1945针对Oracle Solaris操作系统,利用了针对Windows和Linux操作系统的多种工具和实用程序,加载并运行了自定义虚拟机,并采用了逃避检测的技术。UNC1945展示了对多种操作系统的攻击,工具和恶意软件的访问权限,对覆盖或操纵其活动的严格兴趣,并在交互操作过程中展示了高级技术能力。 

Technical Analysis

TH-239 武器库中最有趣的组件之一是分类为“ STEELCORGI”的ELF二进制文件。该工具以ELF的形式表示,其名称为以下md5:0845835e18a3ed4057498250d30a11b1 

在分析过程中,我们注意到该ELF远非可读性,我们提取了一系列元素来确认我们:

  • 高文件尺寸(大于4MB);
    文件尺寸高(大于4MB);
    混淆的字符串;
    缺少动态和(.dynsym)静态符号表(.symtab);
    缺乏分段集管作为反求工程技术;
    高熵值> 7.9
    使用dlopen和dlsym的运行时链接机制

 

(   数字解码例程的一部分  )

Swiss Army Knife

  这个恶意软件样本。它是一套用于侦察、横向移动、开采和开采后活动的完整工具。当启动工具集时,它会显示包含所有可能命令的完整菜单 

 

( 恶意软件工具帮助 )

我们注意到的最狡猾的命令之一是“bleach”,它能够删除所有btmp wtmp和btmp日志。btmp日志跟踪失败的登录尝试;wtmp提供utmp的历史数据,btmp提供用户登录、终端、注销、系统事件和系统当前状态、系统启动时间(由正常运行时间使用)等的完整画面。它还可以清除/var/log/syslog、/var/log/messages、/var/log/secure和/var/log/auth.log中的Syslog日志,或者任意使用默认的" -A "标志(utmp+wtmp+lastlog+ Syslog)来清除所有这些日志。

 clean (filters):  [-n <user>]    to filter by user    (can be set multiple times)
|                   [-t <tty>]     to filter by tty     (can be set multiple times)
|                   [-i <ip|host>] to filter by ip/host (can be set multiple times)
|                   [-p <pid>]     to filter by pid     (can be set multiple times)
|                   [-d <date>]    to filter by date    (can be set multiple times)
|                   [-g <str>]     to filter by string  (can be set multiple times

  这里我们总结了所有可用命令中最有趣的一个列表。 

sendmail [ sun4me | demo | unixcat | nc110 | netcat | netcat-ssl | telnet | traceroute | traceroute-tcp | traceroute-tcpfin | traceroute-udp | traceroute-icmp |
traceroute-all | sctpscan | sdporn | onesixtyone | snmpgrab | tftpd | ciscopush | ciscown | ciscomg | HEAD | GET | ssleak | rmiexec | pogo | pogo2 | elogic |
Cmd | backfire | netbackup | netrider | sniff | bleach | nfsshell | mikrotik-client | sid-force | ssh-user | sshock | ssh | arpmap | ricochet | mac2vendor |
ip2country | ipgen | ipsort | ipcalc | range2class | crunch | words.pl | passgen | passcheck | getpass | decrypt-cisco | decrypt-vnc | decrypt-cvs | wmon |
pmon | lemon | pty | exec | nsexec | nsexec2 | setns | dumpkcore | dumpmem | pcregrep | xxd | strings | sstrip | shred | md5sum | sha1sum | sha256sum |
compress | uncompress | encrypt | decrypt | uuencode | uudecode | base64 | whois | whob | resolv | ahost | adig | axfr | asrv | aspf | periscope | scanip.sh |
aliveips.sh | brutus.pl | enum4linux.pl | snmpcheck.pl | = | _ | . | -? ] [options] [args] sendmail [ s4m | demo | ucat | nc110 | nc | ncs | tel | tr | trt | trf | tru | tri |
tra | sctp | sd | sn | sg | tf | ccp | cco | ccg | HEAD | GET | ssleak | rmiexec | pogo | pogo2 | el | Cmd | bf | nb | nr | sni | clean | nfs | mikro | sid | sshu | ss | ssh |
arp | rick | mac | ip2c | ipg | ips | ipc | r2c | crunch | words | lp | pcheck | gpass | dec-cisco | dec-vnc | dec-cvs | wmon | pmon | emon | pty | exec | nsexec |
nsexec2 | setns | kcore | dmem | grep | xxd | str | strip | srm | md5 | sha1 | sha256 | comp | uncomp | enc | dec | uue | uud | b64 | whois | whob | res | host |
dig | axfr | asrv | aspf | scope | scanip | aliveips | brutus | e4l | snmpcheck | = | _ | . | ? ] [options] [args]

  可用命令的数量令人印象深刻:一些是已知的系统实用程序,一些是攻击性脚本,其他的是已知的黑客工具,其他的神秘的,自定义命令。总之,我们注意到在这个单一的ELF二进制文件中至少嵌入了四类工具 :

  网络和枚举工具 :netcat, unixcat, netcat-ssl, telnet, traceroute, traceroute-tcp, traceroute-tcpfin, traceroute-udp, traceroute-icmp | traceroute-all, tftpd, HEAD, GET, sniff, nfsshell, ssh, ricochet, axfr,whois, scanip, sctpscan, sdporn, rmiexec, arpmap, whois, who, ahost, resolv, adig, axfr,  asrv,  aspf, periscope, scanip.sh, aliveips.sh, brutus.pl, enum4linux.pl, mikro, ss, sshu, onesixtyone, snmpgrab, snmpcheck, ciscopush, mikrotik-client. 

反取证工具:  bleach, clean.

系统工具 : md5, sha1mac2vendor, xxd, cmd, netbackup, ip2country, ipgen, ipsort, ipcalc, range2class, crunch, words.pl, passgen, passcheck, getpass, wmon, pmon, pty, exec, nsexec, nsexec2, setns, dumpkcore, dumpmem, pcregrep, strings, sstrip, shred, md5sum, sha1sum, sha256sum, compress, uncompress, encrypt, decrypt, uuencode , uudecode, base64.

升级和漏洞利用工具 :  like ssleak, decrypt-vpn, pogo, pogo2, sid-force, sshock, decrypt-cisco, decrypt-vnc,  decrypt-cvs. 


SShock

  SShock是一种强制SSH登录的工具。事实上,可以指定一个用户列表(-u arg)和一个密码列表(-p arg),如下图所示: 

 

  该工具的另一个有趣之处是(带有-E标志)可以指定要上传和执行的输入文件,然后将其删除。 

Lemon

  Lemon是一个非常强大的监控工具,它能够监控特定进程或用户的所有系统事件(fork, exec, exit, core等)。可以使用特定的开关(-p、-c、-u)过滤所有被监视的事件。工具的帮助菜单下面显示: 

 

Ssleak

  Ssleak是一个用于嗅探SSL通信的实用程序。可以指定一个目标,然后转储发送和发送的所有数据包,从而泄露一些信息,如服务器的证书、服务器的规范名称等。 


  此外,还可以利用“Heartbleed”漏洞(CVE-2014-0160),使用伪长度的自定义伪造心跳包(带有-s开关),并打印此类漏洞的hexdump 

 

Backfire

<pmicrosoft yahei',="" '\\5fae软雅黑',="" '\\5b8b体',="" 'malgun="" gothic',="" meiryo,="" sans-serif;="" font-style:="" normal;="" font-variant:="" font-weight:="" orphans:="" auto;="" text-align:="" start;="" text-indent:="" 0px;="" text-transform:="" none;="" white-space:="" widows:="" word-spacing:="" -webkit-text-stroke-width:="" background-color:="" rgb(247,="" 248,="" 250);"="">Backfire是一种用于建立和管理connect-back(或反向)外壳的工具。当由于一些原因无法直接访问目标计算机时,反向shell允许在受损主机(pivot)和目标计算机之间建立连接。例如在防火墙或NAT后的主机上执行维护任务。</pmicrosoft>

<pmicrosoft yahei',="" '\\5fae软雅黑',="" '\\5b8b体',="" 'malgun="" gothic',="" meiryo,="" sans-serif;="" font-style:="" normal;="" font-variant:="" font-weight:="" orphans:="" auto;="" text-align:="" start;="" text-indent:="" 0px;="" text-transform:="" none;="" white-space:="" widows:="" word-spacing:="" -webkit-text-stroke-width:="" background-color:="" rgb(247,="" 248,="" 250);"=""><pmicrosoft yahei',="" '\\5fae软雅黑',="" '\\5b8b体',="" 'malgun="" gothic',="" meiryo,="" sans-serif;="" font-style:="" normal;="" font-variant:="" font-weight:="" orphans:="" auto;="" text-align:="" start;="" text-indent:="" 0px;="" text-transform:="" none;="" white-space:="" widows:="" word-spacing:="" -webkit-text-stroke-width:="" background-color:="" rgb(247,="" 248,="" 250);"=""><pmicrosoft yahei',="" '\\5fae软雅黑',="" '\\5b8b体',="" 'malgun="" gothic',="" meiryo,="" sans-serif;="" font-style:="" normal;="" font-variant:="" font-weight:="" orphans:="" auto;="" text-align:="" start;="" text-indent:="" 0px;="" text-transform:="" none;="" white-space:="" widows:="" word-spacing:="" -webkit-text-stroke-width:="" background-color:="" rgb(247,="" 248,="" 250);"="">如下面的屏幕所示,backfire通过一个连接-back来执行这样的命令(-c命令),这个连接可以使用-S标志或-S <commands>生成:</pmicrosoft></pmicrosoft></pmicrosoft>

<pmicrosoft yahei',="" '\\5fae软雅黑',="" '\\5b8b体',="" 'malgun="" gothic',="" meiryo,="" sans-serif;="" font-style:="" normal;="" font-variant:="" font-weight:="" orphans:="" auto;="" text-align:="" start;="" text-indent:="" 0px;="" text-transform:="" none;="" white-space:="" widows:="" word-spacing:="" -webkit-text-stroke-width:="" background-color:="" rgb(247,="" 248,="" 250);"=""><pmicrosoft yahei',="" '\\5fae软雅黑',="" '\\5b8b体',="" 'malgun="" gothic',="" meiryo,="" sans-serif;="" font-style:="" normal;="" font-variant:="" font-weight:="" orphans:="" auto;="" text-align:="" start;="" text-indent:="" 0px;="" text-transform:="" none;="" white-space:="" widows:="" word-spacing:="" -webkit-text-stroke-width:="" background-color:="" rgb(247,="" 248,="" 250);"=""><pmicrosoft yahei',="" '\\5fae软雅黑',="" '\\5b8b体',="" 'malgun="" gothic',="" meiryo,="" sans-serif;="" font-style:="" normal;="" font-variant:="" font-weight:="" orphans:="" auto;="" text-align:="" start;="" text-indent:="" 0px;="" text-transform:="" none;="" white-space:="" widows:="" word-spacing:="" -webkit-text-stroke-width:="" background-color:="" rgb(247,="" 248,="" 250);"=""> 
</pmicrosoft></pmicrosoft></pmicrosoft>

<pmicrosoft yahei',="" '\\5fae软雅黑',="" '\\5b8b体',="" 'malgun="" gothic',="" meiryo,="" sans-serif;="" font-style:="" normal;="" font-variant:="" font-weight:="" orphans:="" auto;="" text-align:="" start;="" text-indent:="" 0px;="" text-transform:="" none;="" white-space:="" widows:="" word-spacing:="" -webkit-text-stroke-width:="" background-color:="" rgb(247,="" 248,="" 250);"=""><pmicrosoft yahei',="" '\\5fae软雅黑',="" '\\5b8b体',="" 'malgun="" gothic',="" meiryo,="" sans-serif;="" font-style:="" normal;="" font-variant:="" font-weight:="" orphans:="" auto;="" text-align:="" start;="" text-indent:="" 0px;="" text-transform:="" none;="" white-space:="" widows:="" word-spacing:="" -webkit-text-stroke-width:="" background-color:="" rgb(247,="" 248,="" 250);"=""><pmicrosoft yahei',="" '\\5fae软雅黑',="" '\\5b8b体',="" 'malgun="" gothic',="" meiryo,="" sans-serif;="" font-style:="" normal;="" font-variant:="" font-weight:="" orphans:="" auto;="" text-align:="" start;="" text-indent:="" 0px;="" text-transform:="" none;="" white-space:="" widows:="" word-spacing:="" -webkit-text-stroke-width:="" background-color:="" rgb(247,="" 248,="" 250);"=""></pmicrosoft></pmicrosoft></pmicrosoft>

Ricochet

  Ricochet是一款强大的报文欺骗和FW ACL评估工具。该工具可以充当客户机或服务器。客户端允许伪造IP-PROTO/ICMP/UDP/TCP报文来测试fw的acl,而服务器则允许侦听来自防火墙的响应。有可能使用两种不同的方法。一个是spoof(方法#1)来欺骗数据包,另一个是rick(方法#2),它代表“Ricochet”,也用来欺骗发送请求的地址和端口: 

 

  • <pmicrosoft yahei',="" '\\5fae软雅黑',="" '\\5b8b体',="" 'malgun="" gothic',="" meiryo,="" sans-serif;="" font-style:="" normal;="" font-variant:="" font-weight:="" orphans:="" auto;="" text-align:="" start;="" text-indent:="" 0px;="" text-transform:="" none;="" white-space:="" widows:="" word-spacing:="" -webkit-text-stroke-width:="" background-color:="" rgb(247,="" 248,="" 250);"=""><pmicrosoft yahei',="" '\\5fae软雅黑',="" '\\5b8b体',="" 'malgun="" gothic',="" meiryo,="" sans-serif;="" font-style:="" normal;="" font-variant:="" font-weight:="" orphans:="" auto;="" text-align:="" start;="" text-indent:="" 0px;="" text-transform:="" none;="" white-space:="" widows:="" word-spacing:="" -webkit-text-stroke-width:="" background-color:="" rgb(247,="" 248,="" 250);"=""><pmicrosoft yahei',="" '\\5fae软雅黑',="" '\\5b8b体',="" 'malgun="" gothic',="" meiryo,="" sans-serif;="" font-style:="" normal;="" font-variant:="" font-weight:="" orphans:="" auto;="" text-align:="" start;="" text-indent:="" 0px;="" text-transform:="" none;="" white-space:="" widows:="" word-spacing:="" -webkit-text-stroke-width:="" background-color:="" rgb(247,="" 248,="" 250);"=""><pmicrosoft yahei',="" '\\5fae软雅黑',="" '\\5b8b体',="" 'malgun="" gothic',="" meiryo,="" sans-serif;="" font-style:="" normal;="" font-variant:="" font-weight:="" orphans:="" auto;="" text-align:="" start;="" text-indent:="" 0px;="" text-transform:="" none;="" white-space:="" widows:="" word-spacing:="" -webkit-text-stroke-width:="" background-color:="" rgb(247,="" 248,="" 250);"=""><pmicrosoft yahei',="" '\\5fae软雅黑',="" '\\5b8b体',="" 'malgun="" gothic',="" meiryo,="" sans-serif;="" font-style:="" normal;="" font-variant:="" font-weight:="" orphans:="" auto;="" text-align:="" start;="" text-indent:="" 0px;="" text-transform:="" none;="" white-space:="" widows:="" word-spacing:="" -webkit-text-stroke-width:="" background-color:="" rgb(247,="" 248,="" 250);"=""><pmicrosoft yahei',="" '\\5fae软雅黑',="" '\\5b8b体',="" 'malgun="" gothic',="" meiryo,="" sans-serif;="" font-style:="" normal;="" font-variant:="" font-weight:="" orphans:="" auto;="" text-align:="" start;="" text-indent:="" 0px;="" text-transform:="" none;="" white-space:="" widows:="" word-spacing:="" -webkit-text-stroke-width:="" background-color:="" rgb(247,="" 248,="" 250);"="">

    </pmicrosoft></pmicrosoft></pmicrosoft></pmicrosoft></pmicrosoft></pmicrosoft>
失陷指标(IOC)6
APT Oracle Solaris操作系统 命令执行 金融 其他 通信
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。