Buhtrap黑客组织最新0day漏洞实例分析

一直以来Buhtrap组织以其针对俄罗斯的金融机构和企业而闻名。在我们的跟踪过程中,发现并分析了该组织的主要后门以及其他工具。

自2015年底以来,该组织变为以经济利益位目的的网络犯罪组织,其恶意软件出现于东欧和中亚进行间谍活动中。

2019年6月我们名列前茅次发现Buhtrap使用0day攻击作。 同时我们发现Buhtrap在攻击过程中使用了本地提权漏洞CVE-2019-1132。

在Microsoft Windows中的本地权限提升漏洞利用的是win32k.sys组件中的NULL指针取消引用产生的问题。 该漏洞发现后就已经向Microsoft安全响应中心报告,该中心及时修复了漏洞并发布了补丁。

历史活动

下图中的时间表体现了Buhtrap活动中一些最重要的发展节点。

Buhtrap黑客组织最新0day漏洞实例分析

在他们的工具在网上开源的时期,很难把该组织的活动和网络攻击行为联系在一起。 然而,由于该组织在目标的转变后发生了源代码泄漏的问题,我们迅速高效的分析了该组织攻击的恶意软件,明确了该组织针对的企业和银行目标,同时确认了该组织参与了针对政府机构的攻击。

尽管新的工具已经添加到他们的武器库中并且替换了旧版本,但是不同时期的Buhtrap活动中使用的策略、技术和程序并没有发生显着变化。 他们主要通过恶意文档作为载体,并广泛使用NSIS安装程序作为droppers。 此外,他们的一些工具会使用有效的代码签名证书进行签名,并利用已知的合法应用程序来作为攻击载体。

用于传递攻击载荷的文件通常为设计好的钓鱼文件,以避免在受害者打开时产生怀疑。对这些钓鱼文件为我们的分析提供了可靠的线索。 当Buhtrap目标为企业时,钓鱼文件通常是合同或发票。 下图是该组织在2014年攻击行为中使用的通用发票的示例。

Buhtrap黑客组织最新0day漏洞实例分析当该组织将目标对准银行时,钓鱼文件通常与金融系统法规或Fincert的咨询有关,Fincert是俄罗斯政府创建的一个组织,为其金融机构提供帮助和指导。

Buhtrap黑客组织最新0day漏洞实例分析因此,当我们名列前茅次看到与政府行动有关的钓鱼文件时,我们立即开始跟踪这些行为。2015年12月,发现了名列前茅批恶意样本,它下载了一个NSIS安装程序,该安装程序的作用是安装buhtrap后门,钓鱼文档如下图:

Buhtrap黑客组织最新0day漏洞实例分析文本中的URL很有特点, 它与乌克兰国家移民局网站dmsu.gov.ua非常相似。 该文本以乌克兰语要求员工提供他们的联系信息,尤其是他们的电子邮件地址,还试图说服他们点击文本中的恶意链接。

这是我们遇到众多恶意样本中的名列前茅个,这些样本被Buhtrap组织用于攻击政府机构。 我们认为另一个更近期的钓鱼文件也是由Buhtrap组织设计的,如图所示这个文件可以吸引与政府相关的另一类群体。

Buhtrap黑客组织最新0day漏洞实例分析

0day攻击分析

该组织在0day攻击中使用的工具与其用于企业和金融机构的工具非常相似。 我们分析的名列前茅批针对政府组织的恶意样本哈希为2F2640720CCE2F83CA2F0633330F13651384DD6A。 此NSIS安装程序下载包含Buhtrap后门的常规包,并显示如上文提到的2015年12月的钓鱼文档。

从那以后,我们看到了针对这一政府组织群体的多次攻击。 攻击中经常使用漏洞来提升权限,以便安装恶意软件。 他们利用了旧的漏洞,如CVE-2015-2387。他们最近使用的0day也采用了相同的模式:利用漏洞以较高权限运行恶意软件。

多年来,该组织使用了具有不同功能的软件包装。 最近,我们发现并详细分析了两个全新软件包,因为它们与该组织典型的工具集相比发生了变化。

钓鱼文档包含一个恶意宏,启用后会删除NSIS安装程序。NSIS安装程序的任务是安装主后门。 但是此NSIS安装程序与此组织早期使用的版本不同, 它更简单,仅用于设置并启动嵌入其中的两个恶意模块。

后门分析

名列前茅个模块,称为“抓取器”,是一个独立的密码窃取程序。 它尝试从邮件客户端,浏览器中获取密码,并将它们发送到C&C服务器。 此模块使用标准Windows API与其C&C服务器进行通信。

Buhtrap黑客组织最新0day漏洞实例分析第二个模块是我们从Buhtrap操作人员得到的:一个包含合法应用程序的NSIS安装程序,将用来安装Buhtrap主后门。利用的是一种免费的反病毒扫描程序AVZ。

Meterpreter和DNS隧道

本文档包含一个恶意宏,启用后会删除NSIS安装程序,该安装程序的任务是准备安装主后门。 安装过程的一部分是设置防火墙规则以允许恶意组件与C&C服务器通信。 接下来是NSIS安装程序用于设置这些规则的命令示例:

```

cmd.exe /c netsh advfirewall firewall add rule name=”Realtek HD Audio Update Utility” dir=in action=allow program=”<path>RtlUpd.exe” enable=yes profile=any

```

最终的有效载荷是与Buhtrap传统工具完全不同的东西。 在其正文中加密了两个有效负载。 名列前茅个是一个非常小的shellcode下载器,而第二个是Metasploit的Meterpreter。 Meterpreter是一个反向shell,允许其操作员完全访问被攻击的系统。

Meterpreter反向shell实际上使用DNS隧道与其C&C服务器进行通信。对于防御者来说,检测DNS隧道可能很困难,因为所有恶意流量都是通过DNS协议完成的,而不是常规的TCP协议。 以下是此恶意模块的初始通信片段。

```7812.reg0.4621.toor.win10.ipv6-microsoft[.]org7812.reg0.5173.toor.win10.ipv6-microsoft[.]org7812.reg0.5204.toor.win10.ipv6-microsoft[.]org7812.reg0.5267.toor.win10.ipv6-microsoft[.]org7812.reg0.5314.toor.win10.ipv6-microsoft[.]org7812.reg0.5361.toor.win10.ipv6-microsoft[.]org[…]```

此示例中的C&C服务器域名模仿Microsoft。 事实上攻击者注册了不同的域名,其中大多数都模仿微软域名。

总结

虽然我们不知道为什么该组织突然转变目标,但它是说明了网络间谍团体与网络犯罪之间界限日益模糊。 目前还不清楚该组织中的一个或几个成员出于什么原因改变目标,但未来会有更多的攻击行为出现。

##IOC

###ESET检测名称

VBA/TrojanDropper.Agent.ABMVBA/TrojanDropper.Agent.AGKWin32/Spy.Buhtrap.WWin32/Spy.Buhtrap.AKWin32/RiskWare.Meterpreter.G

###恶意软件样本

Main packages SHA-1:

2F2640720CCE2F83CA2F0633330F13651384DD6A
E0F3557EA9F2BA4F7074CAA0D0CF3B187C4472FF
C17C335B7DDB5C8979444EC36AB668AE8E4E0A72

Grabber SHA-1:

9c3434ebdf29e5a4762afb610ea59714d8be2392

###C&C服务器

https://hdfilm-seyret[.]com/help/index.php
https://redmond.corp-microsoft[.]com/help/index.php
dns://win10.ipv6-microsoft[.]org
https://services-glbdns2[.]com/FIGm6uJx0MhjJ2ImOVurJQTs0rRv5Ef2UGoSc
https://secure-telemetry[.]net/wp-login.php

###Certificates

Company name Fingerprint
YUVA-TRAVEL 5e662e84b62ca6bdf6d050a1a4f5db6b28fbb7c5
SET&CO LIMITED b25def9ac34f31b84062a8e8626b2f0ef589921f

###MITRE ATT&CK techniques

Tactic ID Name Description
Execution T1204 User execution The user must run the executable.
T1106 Execution through API Executes additional malware through CreateProcess.
T1059 Command-Line Interface Some packages provide Meterpreter shell access.
Persistence T1053 Scheduled Task Some of the packages create a scheduled task to be executed periodically.
Defense evasion T1116 Code Signing Some of the samples are signed.
Credential Access T1056 Input Capture Backdoor contains a keylogger.
T1111 Two-Factor Authentication Interception Backdoor actively searches for a connected smart card.
Collection T1115 Clipboard Data Backdoor logs clipboard content.
Exfiltration T1020 Automated Exfiltration Log files are automatically exfiltrated.
T1022 Data Encrypted Data sent to C&C is encrypted.
T1041 Exfiltration Over Command and Control Channel Exfiltrated data is sent to a server.
Command and Control T1043 Commonly Used Port Communicates with a server using HTTPS.
T1071 Standard Application Layer Protocol HTTPS is used.
T1094 Custom Command and Control Protocol Meterpreter is using DNS tunneling to communicate.
T1105 Remote File Copy Backdoor can download and execute file from C&C server.

看完上述内容,你们对Buhtrap黑客组织最新0day漏洞实例分析有进一步的了解吗?如果还想了解更多知识或者相关内容,请关注亿速云行业资讯频道,感谢大家的支持。

文章标题:Buhtrap黑客组织最新0day漏洞实例分析,发布者:亿速云,转载请注明出处:https://worktile.com/kb/p/25608

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
亿速云的头像亿速云认证作者
上一篇 2022年9月15日 下午11:34
下一篇 2022年9月15日 下午11:36

相关推荐

  • SQL窗口函数怎么使用

    什么是窗口函数 SQL窗口函数为在线分析处理(OLAP)和商业智能(BI)提供了复杂分析和报表统计的功能,例如产品的累计销售额统计、分类排名、同比/环比分析等。这些功能通常很难通过聚合函数和分组操作来实现。 窗口函数(Window Function)可以像聚合函数一样对一组数据进行分析并返回结果,二…

    2022年9月21日
    54500
  • css中translate的含义是什么

    translate的意思为“移动”,是css内置的一个函数,与transform属性配合使用,可以将元素沿着水平方向(X轴)和垂直方向(Y轴)移动。translate的使用分为3种情况:1、“translateX(x)”,元素仅在水平方向移动;2、“translateY(y)”,元素仅在垂直方向移动…

    2022年9月22日
    1.1K00
  • LDAP注入该如何理解

    1、LDAP 注入 LDAP (Light Directory Access Portocol) 是基于X.500标准的轻量级目录访问协议,提供访问目录数据库方法的服务和协议,常用于与目录数据库组成目录服务。其中目录是一个为查询、浏览和搜索而优化的专业分布式数据库,它呈树状结构组织数据,类似于Lin…

    2022年9月20日
    1.4K00
  • Javascript如何将数组转换为对象

    将数组转换为对象 如果要将数组转换为对象,非常快的方法莫过于spread运算符(…)。 var plants = [‘Saturn’, ‘Earth’, ‘Uranus’, ‘Mercury’, ‘Venus’, ‘Earth’, ‘Mars’, ‘Jupiter’];var plant…

    2022年8月31日
    51400
  • ECharts如何打印数据

    ECharts打印数据的方法 一、 首先我们要做的,就是在Echarts图标上方定义一个img 1 <!–startprint–>2 <img src=”” id=”printImg” style=&#8221…

    2022年9月26日
    56300
  • css样式中calc的含义是什么

    在css中,calc是计算的意思;calc可以理解为一个函数function,是calculate的缩写,用来指定一个元素的长度,calc可以给元素做计算,使用指定的单位值计算出长度值,语法为“元素{长度属性:calc(表达式)}”。 本教程操作环境:windows10系统、CSS3&&am…

    2022年9月15日
    67200
  • deepl如何翻译pdf

    deepl翻译pdf的方法 网页版: 1、首先我们进入deepl官网。 2、进来之后,点击“翻译文件” 然后把你要翻译的PDF文件直接拖拽或者上传进来。 3、选择好你的目标语言,等待翻译完成之后点击下载就可以了。 客户端版: 1、打开deepl软件。点击上方的翻译.docx和.pptx文档。 2、点…

    2022年9月26日
    1.1K00
  • pr如何修改视频尺寸

    pr修改视频尺寸的方法: 1、首先进入特效控制台,然后点击打开“运动”。 2、然后在里面找到“缩放比例”。 3、接着可以去打开比例控制条,然后可以调节改变视频的大小。 4、最后去掉“等比缩放”将前面的√取消即可。 以上就是关于“pr如何修改视频尺寸”这篇文章的内容,相信大家都有了一定的了解,希望小编…

    2022年8月29日
    83200
  • sql与mysql有哪些区别

    区别:1、SQL是一种结构化查询语言,而MySQL是一种数据库软件,使用SQL语言来查询数据库;2、SQL不提供连接工具,而MySQL提供工具,可用一个名为“MySQL工作台”的集成工具来设计和开发数据库;3、SQL用于查询和操作数据库系统,而MySQL用于以表格格式处理、存储、检索、修改和管理数据…

    2022年9月24日
    1.4K00
  • word页码如何设置

    word设置页码的方法: 1、首先,打开你的Word文档,进入主页面。 2、将鼠标放在页脚下面,双击进入编辑状态, 此时的页眉和页脚都可以编辑,但是正文内容是变成了灰色。 3、然后在“页眉和页脚工具”设计选项卡下,选择“页码—>页面底端—>普通数字2”。 在这里普通数字1、2、3的三种页…

    2022年9月20日
    45300
站长微信
站长微信
电话联系

400-800-1024

工作日9:30-21:00在线

分享本页
返回顶部