房产

Cardinal RAT攻击以色列金融科技公司

作者:admin 2019-09-03 我要评论

...

2017年Unit 42研究管理人员看见了一祸心软件家族Cardinal RAT。过来两年,祸心软件家族在前方灭绝,经过挑剔下载器散布。研究管理人员不久先前看见次要袭击以色列金融科学技术公司的袭击竞选运动,更进一步的辨析显示注心痛 老鼠和艾维诺的相干。evilnum是一本JS的祸心软件家族,用于袭击类似性安排。

鼠辈

鼠辈运用了某些污迹技术来隐蔽自行,本文辨析的范本:

image.png

最新的红衣主教 鼠辈范本运用不同的的含糊技术来使无效辨析管理人员。第地层杂乱是隐写术,初始范本是用波湾阴谋的。氖,它容纳嵌入的BMP做出计划申请。

图1.嵌入的BMP做出计划申请。净装载机

祸心软件将在担当管理人时读取此做出计划申请,图像像素材料辨析,运用单音节XOR 密码电文解密惟一剩下的。研究管理人员供奉了一python本子来天然产生的担当管理人这样地处置。。终极惟一剩下的是波湾阴谋了一dll做出计划申请。净:

image.png

做出计划申请填充物到内存后,初始填充物按次填充物并担当管理人coreRun职务,祸心软件二期设定初值。DLL开端运用Windows内置器休眠:

C选择权/C Y/N/D Y/T 20

此命令运用户选择20秒的超出的时间,于是流动抛弃。因窗户是隐蔽的,缺少器可供选择。,祸心软件刚要将其用作可选的提供住宿命令。

第二阶段dll读取第一st中字母行中嵌入的资源。在rel时期,某些资源被解密以供奉分配额知识。。分配额知识确定祸心软件倘若会进入t。在使成为一党派某方面中,率先将独占的的guid学习%temp%[随机].ini。于是准备以下导演:

%APPDATA%MicrosoftWindowsIEConfig

于是将富国上面切碎的嵌入式可担当管理人做出计划申请学习%TEMP%[random].exe。fil的室内的做出计划申请名,简略的反复论点 2到决定因素 详细说明做出计划申请pat说话中肯1个。

image.png

祸心软件会在遭受损失方电脑的开端菜单中用GUID生产随机做出计划申请名的LNK做出计划申请,比方{fcb29182-b3cc-47e2-a95c-b22c6d87dda1}.lnk。lnk做出计划申请担当管理人以下命令:

C:WindowsSystem32WindowsPowerShell\ -windowstyle hidden “%APPDATA%MicrosoftWindowsIEConfig[random]”

惟一剩下的,祸心软件担当管理人在前方组成的runexecutive executabl,将原始可担当管理人做出计划申请副本到在前方运用p援用的做出计划申请某方面。

方便之门中嵌入的资源的等等的人或物党派用1解密,记录一。NET可担当管理人做出计划申请。可担当管理人做出计划申请被充血合法的可担当管理人做出计划申请或快速地流动中。:

·  

·  

先前版本的祸心软件说话中肯基数 老鼠傲慢无礼的年轻人了很多合法的处置。终极无效装货切碎i:

image.png

在所局部困惑中,Cardinal RAT payload在能耐和开刀上并缺少明确的的表换。最明确的的使多样化是祸心软件运用的杂乱,所局部职务、方法和变量被重命名为MD5切碎。

图2. Cardinal RAT payload说话中肯污迹

除非使用的污迹某方面外,祸心软件自行也有某些使多样化。率先,嵌入的分配额在塞进之的按次和值自行都有某些使多样化。其次,分配额编码的方法也有某些使多样化,在前方版本中base64编码的某些值在前方挑剔base64编码了。

$ python  GreyCardinalConfig 
Mutex: {509ce3ef-e03e-467e-be19-710782f13c28} 
Campaign Identifier: ‘xf1xafx02i.]xa4xe0’ 
C2 Server: affiliatecollective[.]club 
C2 Port: 443 
Hash Value: 0304674e9876530dfbea5a9b4fec7b98 
Additional C2 Servers: 0 
GUID: ‘xd6x04hrx9axedLNxaexe8xd0x87x80x19x15z’ 
Buffer Size: 81920 
Max Buffer Size: 40960000 
Sleep Timer Between Requests: 2000 
Unused Integer: 60000 
Unused Integer: 0 
Perform Keylogging: 0 
Disable Sleep on Victim: 0

把编排到广播网联播一致和到微小的袭击者的举措在不同的版本暗中是陆续的。祸心软件依然有以下的功用和举措:

· 搜集遭受损失方知识

· 修正设置

· 作为反向代劳

· 担当管理人命令

· 去除负担自行

· 回复密码电文

· 下载和担当管理人新做出计划申请

· 键盘记录器

· 获取截屏

· 修正ardinal RAT 

· 重新放置浏览程序缓存

EVILNUM 

在用户在内鼠辈祸心范本的同时,研究管理人员看见并且用户在内EVILNUM祸心软件范本。因袭击的目的都是金融机构,因而研究管理人员疑心这两个祸心软件暗中有所关系。

EVILNUM祸心软件有反正两个版本,一是JS一是.NET组成的。

1.png

尽管组成的说话不同的,范本是类似性的,并且研究管理人员以为.NET版本是.JS版的重写版本。

EVILNUM是一阶段的祸心软件家族,本着良心的向袭击者供奉大约受传染征服的材料,以确定倘若要在遭受损失方机具上使成为一党派安宁器。EVILNUM支撑物的命令如版本不同的而不同的,但普通包含:

· 设置驻留

· 用cmd /c运转任性命令

· 下载安宁做出计划申请

· 获取截屏

因祸心软件的开刀在前方在前方辨析过了,本文只绍介新旧版本暗中的异同:

2.png

表1.  EVILNUM新旧版本的异同(不同的用白色表现,异体同形用绿色表现)

祸心软件样子是重写的。尽管如此,祸心软件也只效劳于第一阶段,并且袭击者运用不同的的器来袭击把编排到广播网联播。

目的 

从2017年4月开端,研究管理人员就看见鼠辈涌现对准金融科学技术公司的袭击中,被袭击的公司都状态以色列。

图3.  挑剔下载器在virustota上的散布

对EVILNUM说起,在内的范本在病毒库说话中肯散布是不同的的。,如图4所示:

图4. Virustotal在内的Evilnum战利品由Countr特许。

断定

鼠辈和EVILNUM都用于袭击金融科学技术公司。两个祸心软件家族同时袭击完全同样的目的,运用做出计划类似性的钓饵文档。

研究管理人员还做出计划了以下处置此类袭击的提议:

· 无效香火腿过滤技术的运用

· 宽敞的的体系管理

· 修正Windows零碎并修补

· 截取容纳lnk做出计划申请附件的设岗,包含容纳lnk做出计划申请的zip做出计划申请

· 截取容纳宏文档附件的设岗

· 用于限度局限本子说话运用的势力爷儿俩快速地流动谋略。

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。

相关文章
  • Cardinal RAT攻击以色列金融科技

    Cardinal RAT攻击以色列金融科技

  • A股短期或仍有反复,中期反弹

    A股短期或仍有反复,中期反弹

  • 瑞立达复牌暴跌55% 刚以1.8元增

    瑞立达复牌暴跌55% 刚以1.8元增

  • 宁波港定增破发近四城 打折股

    宁波港定增破发近四城 打折股