NSA泄露工具–DarkPulsar(被指控用于APT攻击)

2018年10月19日,卡巴斯基发表报告称,发现NSA工具包中的DarkPulsar被用于APT攻击,DarkPulsar,是一个管理插件,是Shadow Brokers组织于2017年3月公布的NSA工具的一部分,包括DanderSpritz和FuzzBunch框架。
作为FuzzBunch的ImplantConfig类别的一部分,其中包括用于后期开发阶段的插件,DarkPulsar是控制名为“ sipauth32.tsp ” 的被动后门,该后门提供对受感染机器的远程控制。

针对32位和64位系统的DarkPulsar后门被用于位于俄罗斯,伊朗和埃及的50名受害者,并且它通常会感染运行Windows Server 2003/2008的计算机。受害者大多是核能,电信,IT,航空航天和研发部门。

DarkPulsar技术亮点

  1. 两个无名函数用于在系统中安装后门。
  2. 名称与TSPI(电话服务提供程序接口)操作相关的函数,用于确保后门位于自动运行列表中并自动启动。
  3. 具有与SSPI(安全支持提供程序接口)操作相关的名称的函数。它实现了主要的恶意负载。

攻击受害者是长期的间谍活动目标。后门不仅包括先进的持久性机制,还包括在身份验证期间无需输入有效用户名和密码的功能。它还将其流量封装到合法协议中

更多参考:https://securelist.com/darkpulsar/88199/

使用DarkPulsar

DarkPulsar管理界面在“一个命令 – 一次启动”的原则下运行,是FuzzBunch框架的插件,用于管理参数和协调不同的组件。

工具支持的命令:

  • burn – 用于自我删除。
  • RawShellcode – 执行任意基于独立的代码。
  • EDFStageUpload – 漏洞利用开发框架阶段上传。它一步一步地将DanderSpritz有效负载部署到受害者的内存而不触及驱动器。执行此命令后,管理员可以向受害者发送多个DanderSpritz命令中的任何一个。
  • DisableSecurity – 用于禁用NTLM协议安全性。借助此命令,恶意软件管理员无需知道有效的受害者用户名和密码即可成功通过身份验证 – 系统会将任意对解释为有效。
  • EnableSecurite – 与DisableSecurity相反。
  • UpgradeImplant – 用于安装后门的新版本。
  • PingPong – 用于测试通信。

Fuzzbunch中的DisableSecurity命令图示:

DanderSpritz

研究人员认为,控制受感染机器的框架实际上是DanderSpritz,它使用一个名为PeedleCheap的插件来配置植入恶意代码并连接到受感染的机器以启用后期开发功能。通 过DarkPulsar,DanderSpritz和FuzzBunch之间的紧密联系应运而生。后门用于通过PCDllLauncher将更多功能的 PeddleCheap植入部署到受害机器上,PCDllLauncher显然代表’PeddleCheap DLL Launcher’。

完整的DanderSpritz使用方案与插件PeddleCheap通过FuZZbuNch与插件DarkPulsar和PCDllLauncher包含四个步骤:

  • 通过FuZZbuNch,运行命令EDFStagedUpload以启动DarkPulsar。
  • 在DanderSpritz中,运行命令pc_prep(PeedelCheap Preparation)以准备有效载荷和要在种植体侧启动的库。
  • 在DanderSpritz中,运行命令pc_old(这是命令pc_listen -reuse -nolisten -key Default的别名) – 这会将其设置为等待来自Pcdlllauncher的套接字。
  • 通过FuZZbuNch启动Pcdlllauncher并指定使用ImplantFilename参数中的命令pc_prep准备的有效负载的路径。

 

DanderSpritz和文件插入系统

    FuzzBunch和DanderSpritz不仅设计灵活,而且还扩展功能和与其他工具的兼容性。

IOCs

implant – 96f10cfa6ba24c9ecd08aa6d37993fe4
File path – %SystemRoot%\System32\sipauth32.tsp
Registry – HKLM\Software\Microsoft\Windows\CurrentVersion\Telephony\Providers

参考报告:https://securelist.com/darkpulsar/88199/

DarkPulsar FAQ

发表评论

电子邮件地址不会被公开。 必填项已用*标注