في أوائل فبراير، تعرض البرلمان الاسترالي الهجمات الالكترونية المستهدفة. وفقا لأخبار بي بي سي، ادعى رئيس الوزراء الأسترالي أن موريسون: قراصنة حاولوا غزو نظام شبكة البرلمان الاسترالي، والانتخابات الاتحادية في البلاد لعدة أشهر، كانت مخبأة سرا في الائتلاف الحاكم والشبكات حزب العمال المعارض، لحسن الحظ أستراليا أمن الشبكات مركز (المركز الأسترالي سايبر الأمن، ACSC) في الوقت المناسب لمنع وقوع هجمات كبح. بالإضافة إلى ذلك، مديرية إشارات الاسترالية (ASD) هي المسؤولة عن وسيتم التحقيق في أمن المعلومات من الهجوم بالتعاون مع وزارة الشؤون البرلمانية (DPS).
وأشار بيان رئيس الوزراء الاسترالي إلى أن الهجوم خلف الأنشطة في بلدان آسيا والمحيط الهادئ قراصنة APT داعمة، ولكن نقطة من الواضح أن لا تعطى في بيان رسمي، لم تنشر أي دليل المتعلقة بتنظيم القراصنة. فقط مركز الأمن أستراليا شبكة (ACSC) أعلن عدد من عينات من البرامج الخبيثة المستخدمة من قبل المتسللين لمهاجمة الشبكة، التي شركة أمنية Cybaze-Yoroi سوف نبدأ من هنا، لتحليل منظمة القراصنة APT قدرة بعض الميزات وأساليب الهجوم .
التحليل الفني
وفقا لتحليل، يتم إعطاء جميع العينات لاستخدام مرحلة تغلغل الإجراء، يمكن للمهاجم استغلال هذه البرامج الخبيثة لتحقيق تسرب البيانات واختراق أفقي. وبالإضافة إلى ذلك، فإن هذه البرامج الخبيثة لا تنتمي إلى الإمبراطورية أو كما Metasploit الإطار مفتوح المصدر، ولكن تخصيصها، واستنادا إلى برنامج التي وضعتها C # و. NET تماما.
LazyCat DLL
أول شيء ننظر إلى ما يسمى العينة يتم وضع علامة LazyCat في أمن المجتمع، وأنه ينتمي إلى اختبار الاختراق جناح Mimikatz الأدوات.
وكما يتبين من تحليل ساكنة، وLazyCat مكتبة عينة يتعلق صافي الإطار، من دون أي ترميز الارتباك، فإنه يمكن بسهولة تحويلها في شكل مصدره:
كما يمكن أن يرى من رمز أعلاه، وظيفة DumpMemory MiniDumpWriteDump باستخدام أساليب ينتمون مكتبة DbgHelp لرصد وجمع محتويات عملية تعسفية الذاكرة، والتي سيتم تخزينها في نتيجة تنفيذ باستخدام "إخراج" المعلمة ملف يسمى:
وعلاوة على ذلك، يمكن للعينة أيضا بدء خدمة تسمى "TcpRelay"، فإن الغرض قد ترغب في إنشاء الطريق بين المهاجم وينتهي ضحية للشبكة، من أجل متابعة عبر عميق اختراق، التي تعمل StartTcpRelay على النحو التالي:
النظر بعناية في شفرة المصدر، يمكنك ان ترى ملف يسمى "RottenPotato" وحدة خاصة التي تحتوي على الكثير من وظائف مثيرة للاهتمام، مثل المرتبطة "findNTLMBytes" مايكروسوفت ويندوز تتخلل البيئة المسرح و"HandleMessageAuth". بعد تحليل الارتباط، والإطار وحدة من هجوم على جيثب مفتوحة - https://github.com/foxglovesec/RottenPotato. حيث تعمل findNTLMBytes على النحو التالي:
وجد التحليل أن نسبة فرق، حيث وحدة RottenPoteto الخبيثة من RottenPoteto الأصل على جيثب في عدد من طريقة متعددة الوظائف، يمكننا أن نرى، من أجل تلبية أغراضهم الخاصة، المهاجم حولت تسليح القيام به لفتح المصدر RottenPotet. هذه الأدوات المصدر التطبيقات التحديثية مفتوحة، وزيادة صعوبة الإسناد والتتبع من التحقيق وجمع الأدلة. تعيين برنامج ضار LazyCat أيضا وحدة التنظيف أثر مخصص "LogEraser":
"LogEraser" وحدة في وظيفة طريقة الرئيسية "RemoveETWLog"، الذي تتمثل مهمته في إزالة سجل أحداث Windows ضمن سجل النظام المسار (ETW) ملف، من أجل تنفيذ هجوم على بيئة نظيفة. يتم حذف ما يلي كود ملف نظام ويندوز ETW:
من الرسم البياني أعلاه يمكننا أن نرى رمز، سيقوم البرنامج الخبيثة فحص جميع السجلات والسجلات المتعلقة Windows، إذا معرف سجل بمباراة محددة ID سيتم حذف.
في تحليلنا، فإنه قد يكون راجعا إلى أسباب ونقلت فتح شفرة المصدر، وعينة الخبيثة مع انخفاض معدل اكتشاف أ. ما يلي هو نتيجة للكشف عن فايروس توتال:
عينة Powerkatz DLL
هذا البرنامج لديه Powerkatz عينتين، خصائصه هي كما يلي:
وعلى الرغم من قيمة HASH مختلفة بين عينات DLL اثنين، ولكن وظيفتها هي في الأساس نفسه، إلا المهاجم طفيف على بعض الجمل وأسماء المتغيرات التي إجراء تغييرات، ويفترض أن تجنب قتل غرض المعالجة. لا يوجد سوى مختلفة قليلا بين العينتين، ولها وظيفة الكلية صالحة، عينة المقارنة كما هو مبين أدناه:
فئتين الرئيسية لمكافحة تجميع نماذج التعليمات البرمجية أيضا إظهار نفس الوظائف، على سبيل المثال، من مقارنة بين عينتين AsyncTask طريقة عرض الفئة، والتي لها خصائص موحدة إلى حد كبير، وبالتالي، في ما يلي سنرى أنها موحدة العينات.
تكونت عينة الدراسة من الطبقات والوظائف المتعددة التي نستطيع "StartNew" وظيفة كمدخل التحليلي، بحكم التعريف، كما يوحي الاسم، هذه الوظيفة يمكن أن تبدأ مهمة غير متزامن جديدة في نظام الضحية، والكائن المهمة كما _app وفاة المعلمة. هذه المهمة غير متزامن مرة واحدة في البدء، فإن وظيفة الانتظار لاستكمال تنفيذ المهمة تتكرر ثانية واحدة (1000ms) في دورة النوم، ومن ثم إرجاع رمز حالة صالح إلى استدعاء دالة. ويمكن استخدام وحدة عينة بالتزامن مع البرامج الخبيثة زرع أخرى، نفذ المهام مخبأة في الخلفية. ما يلي هو StartNew رمز الدالة:
على الرغم من أن اسم العينة والأدوات بوويرشيل https://github.com/digipenguin/powerkatz الذي يحمل نفس الاسم على جيثب، ولكن كل رمز مختلفة تماما. وعلى غرار النموذج السابق، وعينات يجري فايروس توتال معدل اكتشاف ليست مرتفعة جدا، 28/70، على النحو التالي:
وحدة الهجوم كاشف (ريكون وحدة)
ممتلكات وحدة البرنامج مسح ميناء عينة كما يلي:
على غرار النموذج السابق، يتم كتابة العينة في C #، يحتوي أساسا "PortScanner" و "ReconCommonFuncs" فئتين رئيسيتين، من خلال عينة، والإجراءات المهاجم زرع من أجل تنفيذ الخطوة التالية. الطبقات الرئيسيان للعينات:
من وجهة نظر ينعكس في القانون، في الواقع، "portScan" وظيفة في صلب مجموعة من الأعداد الصحيحة، والذي يحتوي على سلسلة من منافذ الشبكة المشتركة التي تشمل خدمات الشبكة المحلية الرئيسية، مثل HTTP، TELNET، RDP، POP، IMAP، SSH، SQL ... وهلم جرا. على النحو التالي:
لكل منفذ، سيتم العينة تنفيذ وظيفة "portScan" أعلن في اتصال محاولة مسح TCP. إذا كان الاتصال ناجحا، وثبت وفتح منفذ خدمة المقابلة، ومن ثم سيعود إلى معلومات الخدمة راية يتم تخزينها في كائن يسمى "ب StringBuilder" ردا على ذلك. وسوف يبدأ برنامج استجابة عينة مسح ترتبط كافة المنافذ، وأخيرا سوف تكون مكتوبة لاستخدام "ReconCommonFuncs" ملف تعريف الفئة. ما يلي هو رمز خاص أن ينفذ مسح المنفذ:
ما يلي هو الدعوة C # TcpClient لإجراء فحص العينة:
في توفر "ReconCommonFuncs" الطبقة ويمكن الحصول على عدد من الوظائف ذات المنفعة، مثل "إلحاق" و "GZipAndBase64"، والقصد من هذه الوظائف في لمحة. ما يلي هو "ReconCommonFuncs" وظائف الفئة يتألف:
العميل بوويرشيل (وكيل)
الخاصية الرئيسية من العينة كما يلي:
اسم العينة "OfficeCommu.dll"، مهاجم قد تريد ذلك وطبيعية حدة الاتصالات مكتب الخلط، وحدة مكتب الاتصالات في معظم أنظمة ويندوز المتاحة. وبالإضافة إلى ذلك، العينة هي مرحلة لاختراق أهداف البرنامج التطبيقي لإنشاء العميل بوويرشيل (وكيل بوويرشيل)، واستخدامها في مهاجم زرع تحليل برنامج النصوص المكونة وتنفيذ الأوامر بوويرشيل. ما يلي هو المهمة الرئيسية للرموز العميل بوويرشيل:
ملخص
من نتائج التحليل، فإن المهاجمين اختار نهج متعدد وحدة لتطوير الخاصة أدوات شبكة الاقتحام فيها، واستخدام وظائف معينة من الوظائف الإيكولوجية في المكتبة بتغليف عمق وطبيعة الهجمات مع الغزو، وتنفيذ الناجح لبرامج الخبيثة المعقدة زرع.
وعلى الرغم من هذه الوظائف والمكتبات لاستخدام لا يستغل 0day والتكنولوجيات ذات الصلة، وعينات من البرامج الضارة من البرلمان الأسترالي لتقديم وجهة نظر، ومعدل اكتشاف مرتفع نسبيا، ولكن فقط يبين، والمهاجمين يميلون إلى أن يكونوا أدوات مفتوحة المصدر التعبئة والتغليف الاستخدام، وبعد ذلك الغزو الثاني من أدوات التطوير حسب الطلب، بحيث يمكن للمرء أن تقصير غزو برنامج "حان الوقت لسوق"، ولن فعالية وتأثير مخاطر الموارد التشكيل. هذا التطور المعروف تكنولوجيا التعبئة والتغليف الثانوية، ولكن أيضا في طريقة لتجاوز بعض تقتل الناعمة، وكسر الحدود الأمنية التقليدية وتحقيق غرس السري.
IOC-التجزئة
1c113dce265e4d744245a7c55dadc80199ae972a9e0ecbd0c5ced57067cf755b
08a85f5fe8714b4842180c12c4d192bd186500af01ee39825f6d5100a2019ebc
a95c9fe29a8ae0f618536fdf4874ede5412281e8dfb380bf1370a8d8794f787a
b63ae455f3deaca297b616dd3356063112cfda6e6c5434c407781461ae69361f
1087a214ebe61ded9f61de81999868f399a1105188467e4e44182c02ee264a19
* المرجع المصدر: yoroi والسحب المترجمة، يرجى تحديد مستنسخة من FreeBuf.COM
