| 关键词:文件 攻击 恶意 Silence 活动 俄罗斯 这场 目标 信息 |
![]() 在2018年11月份,网络安全公司ReaQta发现了这样一条推文,它提到了一场利用CHM(微软于 1998 年推出的基于HTML文件特性的帮助文件系统)文件来传播恶意代码的攻击活动。经过初步分析,ReaQta的研究人员发现这场攻击活动针对的是金融机构的工作人员,尤其是俄罗斯联邦和白俄罗斯的金融机构工作人员。 研究人员还得出结论,这场攻击活动的发起者很可能是Silence组织。这是一个相对“年轻”的网络犯罪团伙,自2016年年中以来一直处于活跃状态。到目前为止,由ReaQta确认的目标组织包括:
![]() 图1.攻击目标分布图 如上所述,这场攻击活动基于一个恶意的CHM文件。尽管CHM是一种“过时”的文件格式,但它的确曾在过去被有效地用于运行恶意代码。在此次攻击活动中,除了利用本机操作系统二进制文件来收集与攻击目标相关的信息之外,恶意CHM文件还被用于下载其他恶意组件。 传播策略攻击从一封采用俄语编写的鱼叉式钓鱼电子邮件开始,附件是一个名为“Contract_12112018.Z”的压缩文件。 解压缩后,会得到一个名为“Contract_12112018.chm”的CHM文件。从其内容来看,似乎与银行开户决议有关。执行它,则会进入感染链的第一阶段。 ![]() 图2.以恶意CHM文件作为附件的鱼叉式网络钓鱼电子邮件(左)和“Contract_12112018. 从发件人地址来看,这些鱼叉式网络钓鱼电子邮件全都是从分属不同俄罗斯银行的官方电子邮箱地址发送的,且其中大多数都属于俄罗斯联邦央行,而电子邮件的内容都与所谓的“关于统一俄罗斯银行电子银行电文格式的规定”有关。 恶意组件在下图中,研究人员重建了Silence组织使用的完整CHM感染链,它主要分为三个阶段:
![]() 图3.CHM感染链 编译的HTML帮助文件(contract_12112018.chm)的文件结构类似于一个超文本网页,通过本机Microsoft Windows程序“hh.exe”打开。这个CHM文件包含一个名为“start.htm”的HTM文件,而该文件则包含用于启动cmd.exe和mshta.exe的恶意payload。一旦CHM文件被打开,start.htm就会开始运行,并通过cmd.exe和mshta.exe从IP 146.0.72.139下载一个恶意VBscript(被命名为“li”)。这也就是整个感染链的第一阶段。 下图展示的是用于启动mshta.exe的命令行: ![]() 图4.恶意CHM文件所包含的HTM文件的内容 感染链的第二阶段是继续执行“li”文件中包含的指令,涉及如下内容:
![]() 图5.“li”文件所包含的内容 感染链的第三阶段,也是最后一个阶段,是继续执行“ ejpejp.com”,涉及如下内容:
研究人员认为,conhost.exe 应该就是Silence组织所使用木马的变种,用于与受害者计算机相关的信息,而信息收集的实现则涉及到利用如下四个Windows系统二进制文件:
所有这些信息都将被存储在“INFOCONTENT.TXT”文件中,保存在%ProgramData%文件夹中,并在随后被上传到托管在IP 146.0.72.188上的Silence组织的命令和控制(C2)服务器。 ![]() 网络基础设施如上所述,Silence组织在这场攻击活动中利用了多个本机二进制文件来收集对其有用的信息,进而生成与目标银行机构基础设施有关的情报。 在这场攻击活动中,Silence组织为恶意软件通信使用了两个IP地址。第一个是146.0.72.139 ,它是下载恶意组件的直接通道。第二个是146.0.72.188,用于与命令和控制(C2)进行通信,以上传收集到的信息。值得一提的是,这两个IP都托管在荷兰。 ![]() 图6.恶意网络请求流程 归因与往常一样,归因向来都不是一件很容易的事。在这里,ReaQta的研究人员为分享了几个导致他们认为这场攻击活动背后的发起者是Silence组织的因素:
正是基于这些因素让研究人员得出结论,这场攻击活动的发起者很可能就是Silence组织(或该组织的一个分支)。 结论根据ReaQta收集到的情报显示,这场攻击活动只是一场更大规模攻击活动的一小部分,其攻击目标主要是在俄罗斯境内运作的金融机构。从整个感染过程、攻击链和操作模式来看,Silence组织虽然是一个相对“年轻”的网络犯罪团伙,但它正在逐步发展成为一个越来越具有组织性和危险性的银行恶意软件分发团伙。 本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。 |
| 本文出处: https://www.toutiao.com/a6651722929853694478/ |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|