欢迎来到兴华永恒!加入收藏设为首页
新葡京娱乐
新葡京娱乐网址
您当前所在位置:首页 > 手艺专栏 > 专业公布
手艺专栏

综述:

2016年8月8日,卡巴斯基和赛门铁克接踵表露出一个持久对国外、俄罗斯等国停止APT进犯的构造——ProjectSauron也被称作索伦之眼。ProjectSauron最少在2011年10月起就不断连结活泼。此前,该团伙不断行事低调,其目的次要为国度谍报部分所存眷的政府机构、民生企业和个人。


综述.png


该构造进犯目的时利用了一种名为“Remsec”的高端歹意软件。

Remsec东西是一款手艺含量出格高的长途掌握软件,次要用来黑暗监督和掌握目的。这类软件能够在受传染计算机上打开后门,记载用户点击的按键,并偷取相干文件。

我公司墨侠团队基于钻石阐发模子,对该进犯变乱停止相干的变乱复原和攻击者阐发。

受害者阐发:

今朝兴华永恒团队倾听APT防备体系监测到该构造对全球多个国度的多个行业倡议进犯。


受害者阐发1.png


已知进犯包罗20多个针对俄罗斯的进犯,40余起针对国外的进犯,针对比利时大使馆的进犯和瑞典某公司的进犯。同时包罗伊朗、卢旺达以及几个意大利语系国度。


受害者阐发2.png


手艺才能阐发:

一.Remsec长途掌握手艺阐发

这里针对某一个长途掌握样本停止阐发。

样本名:Backdoor.Remsec.server.exe

MD5  234e22d3b7bba6c0891de0a19b79d7ea

Hash  9214239dea04dec5f33fd62602afde720b71d2d2

文件大小: 135168 字节

样本经由过程 MSAOSSPC.DLL装载硬盘文件,并施行。硬盘上的文件是一种特别格局BLOB,并经由过程“0xBAADF00D”停止加解密。

加载途径c:\System Volume Information\_restore{ED650925-A32C-4E9C-8A738E6F0509309A}\RP0\A0000002.dll

获得启动参数,这个启动参数在该样本中并没有起到太大感化,需求其他帮助增长参数完成详细攻击行为。

blob.png

参数辨认,并将获得的参数存入从头分派的内存中


blob.png


判定是否是pe构造,并开端查找pe的区块,找到bin区块以后返回bin区块的首地址


blob.png


静态加载该法式,初始阶段有较着的脱壳函数挪用。

这里静态剖析pe,并改正导入表


blob.png


挪用rsaenh.dll交互的停止加密,rsaenh.dll是微软Microsoft加强加密服务相干文件,用于128位加密


blob.png


分派一段bin区块巨细的内存寄存加密过的shellcode


blob.png

blob.png


加载kernel32,次要是为了获得kernel32模块的首地址


blob.png


Shellcode中轮回解密字符串,获得api地址。


新葡京娱乐网址


获得api函数地址后保留


blob.png


新葡京娱乐

blob.png


轮回解密两次以后有一个crc检测,当检测到被调试大概下断点便间接退出返回。

在解密以后启用长途链接的定名管道同时创立线程来共同管道定名,该定名管道能够实现对随便文件的读写删除,承受长途号令等操纵。

同时还有长途加载pe文件举动,实现无实体恶意代码的运转。

综合各类阐发发明,remsec长途掌握软件具有多种初级特性:

l  Remsec的壮大功用

Remsec适用于所有的x64和x86 Microsoft Windows操作系统。因为Remsec接纳共同的插件体系,插件用Lua言语编写,这类lua插件可自定义设置,从特定机械中获得特定数据文件,能便利的停止网络操纵,完成各类网络使命。同时该平台具有数十种插件,能撑持从相似ls号令到keylog,hashdump的全系列东西插件。

l  Remsec的假装术

“Remsec”长途掌握软件本身只是一个平台,不具有特别功用,所有的功用都经由过程内存加载,削减了利用了本身的举动特性。它还利用一种Lua模块手艺,多种操纵经由过程Lua言语是实现。另外,我们还发明,Remsec 歹意文件按照每台机械安装的软件差别,假装成差别软件的差别组成部分,如下图所示:


blob.png


新葡京娱乐假装历程列表

Remsec 假装的文件多种多样,包罗像卡巴斯基、赛门铁克这类杀毒软件,同时也有诸如微软补钉文件、VmWareTools更新文件。风趣的是,Remsec假装的kavupdate.exe文件即是卡巴斯基杀毒软件的历程文件,同时也是国产迅雷安全组件的须要文件。


blob.png


假装迅雷/卡巴斯基晋级文件




l  特别的上线手艺

Remsec长途掌握软件利用特别的手艺上线,在这里发明的有DNS方法上线和mail方法实现数据传输。这两种传输手艺在长途掌握软件中都不多见。

一个叫“DEXT”的插件显现了DNS地道数据传输。


blob.png

Remsc利用特别的邮件方法停止数据传输


blob.png


l  虚拟文件手艺

Remsec木马VFS具有两个主要功能,一个是卖力夺取数据保留在当地C:\System Volume Information\_restore{ED650925-A32C-4E9C-8A73-8E6

F0509309A}目次下,以bka*、da、~*.tmp等方法存储。


另外一功用是毗连内部通讯,将夺取的数据通过本人当地服务器发送进来,不外木马在完成以上两个功用后,因为木马自己的设想缺点,木马并没有将缓存文件删除洁净。

 

综上能够看到,该长途掌握软件具有许多特别的初级特性和特别功用,绝不是一般的黑客个人或小团体所能有能力开辟利用的。


二.内网拓展才能阐发

该构造利用了多种特别的进犯方法停止内网拓展。从木马假装位置和功用上就能够看出,在内网拓展中机密搜集各类用户密码和秘密文件。

blob.png

该APT进犯团队,会通过网络浸透掌握目的内网体系中的域服务器,以域服务器为主要进犯目的。获得响应权限以后,再经由过程被控制的服务器停止横向挪动,进犯内网体系中的其他装备和终端。终极获得到想要的目的数据。

三.0day利用才能

在所有的攻击中,各大厂商都未报导发明相干了0day进犯破绽,都只发明了被方法remsec掌握型后门的进犯成果,未能发明进犯历程。由此揣测,该构造必然具有较多的0day资本,利用较多的0day东西、较好的进犯妙技和特别的躲藏手艺才气实现这类结果。

四.非联网数据获得才能

长途掌握软件能够使木马跳出断绝的网络实现持续掌握。其道理在于USB磁盘分区有一块预留空间,木马操纵这块USB磁盘空间,传染USB驱动,机密写入施行指令,一旦目的网络体系不能利用,攻击者等候USB驱动器持续掌握被传染的机械。 






新葡京网站
新葡京娱乐
在线征询 周一至周五
09:00-18:00