本文主要是介绍SLUB最新变种分析:仅靠 Slack进行C2通信,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
4个月之前,研究人员发现一起使用一款新出现的恶意软件SLUB的攻击活动。SLUB利用CVE-2018-8174 VBScript引擎漏洞来进行传播,使用GitHub和Slack作为恶意软件与控制器和控制器之间的通信工具。
7月9日,研究人员发现一个新的SLUB变种通过了一个水坑网站进行传播。该恶意站点使用了IE 漏洞CVE-2019-0752。这是研究人员从4月开始发现该漏洞之后首次发现在野漏洞利用。
新版本的SLUB恶意软件已经不再使用GitHub来进行通信,而是使用Slack。Slack是一个协作的消息系统,用户可以通过频道(channel)来创建自己的工作空间。研究人员发现这些传播SLUB恶意软件的站点都与朝鲜政府有关。
感染链
SLUB恶意软件是通过注入了CVE-2018-8174或CVE-2019-0752漏洞利用的水坑站点来传播的。如果受害者使用未修复漏洞的IE浏览器访问该站点就会感染SLUB加载器。
下面是漏洞利用脚本执行加载器的步骤。感染链与之前SLUB相似,但该版本使用不同的技术来绕过AV检测和机器学习算法:
· 打开PowerShell作为传播机制,其中含有隐藏的WindowStyle和混淆方法。
· 使用Rundll32来调用从水坑站点下载的伪装为C++运行态名的恶意DLL(伪装为mfcm14u.dll)。
· 恶意DLL根据Windows Naming Convention应用导出标志,并使用真实的Windows API名:AfxmReleaseManagedReferences。注意:使用Windows命名规则可以帮助攻击者绕过机器学习算法。
图1. 下载和启动SLUB loader的 PowerShell脚本
PowerShell脚本会查看系统的架构来检查应该下载哪个DLL文件。下载的恶意DLL文件就是SLUB Loader。对x86系统来说,会下载32位的SLUB Loader和CVE-2019-0808漏洞利用。对x64系统来说,会下载64位的SLUB Loader和CVE-2019-0803漏洞利用。下载的漏洞利用的作用就是为了在Windows系统中进行全新提升。然后,loader会检查系统的架构来决定要下载和使用x86还是x64版本的SLUB恶意软件来感染受害者。
所有的漏洞利用、加载器和SLUB恶意软件都直接保存在水坑站点上。PHP大马
图2. SLUB恶意软件感染链
图3. SLUB恶意软件感染链流量模型
后门
自上次分析SLUB恶意软件之后,该后门做了一些更新和改进。最明显的变化是完全采用Slack来组织受害者机器和发布命令。下面是一些具体的变化,包括:
· 不再使用Github
· 运营者创建Slack workspace
· 每个受感染的机器都会加入该workspace,并且在workspace中创建一个名为<use_name>-<pc_name>的独立信道
· C2通信只使用Slack信道,如果运营者想要在受感染的机器上执行命令,就要特定受害者信道中插入消息
· 受害者读取特定信道的消息,并对消息进行分析,然后执行请求的命令
除了这些变化外,研究人员还发现了2个Slack token中发现的新消息(硬编码在二进制文件中)。天天好彩
这些token用来向slack API查询一些元数据信息,比如team info、用户列表、信道列表等。通过进一步调查研究人员发现用用户将workspace的时区设置为了韩国标准时间。
在检查token response header时,研究人员看到OAuth范围有一些不同:
C&C token:
Notify token:
C&C token在OAuth scope中含有admin,允许它管理workspace。
如果操作者需要修改这些token,可以更新toni132[.]pen[.]io页面的内容。Web页面的源码会分析特定的关键词:HELLO^, WHAT^, !!!。
如果找到关键词,就会token进行分析和更新:
C2通信
通信流程如下:如果运营者想要发送命令给受害者,就要发布一条消息到特定信道上。消息的text值指定了要执行的命令。
下面的例子说明了截图的capture命令:
在给定目录中列出命令:
列出受害者桌面的所有文件的命令:
然后受害者机器会读取命令并执行,然后上传截图和分享该链接的文件作为响应。注意upload的值被设置为true。
其他支持的命令还有exec, dnexec, capture, file, drive, reg和tmout,这与之前分析的SLUB是相似的。在运行命令时,命令运行的结果会上传到file.io。
在攻击过程中,研究人员发现SLUB恶意软件使用了2个Slack组sales-yww9809和marketing-pwx7789。Workspace的创建时间未知。在组sales-yww9809中,含有2个用户,Lomin (lomio8158@cumallover[.]me)和Yolo (yolo1617@cumallover[.]me),创建时间都是2019年5月23日。Lomin的timezone设置为GMT时间,Yolo的timezone设置为韩国标准时间。marketing-pwx7789组中有2个用户Boshe (boshe3143@firemail[.]cc)和Forth (misforth87u@cock[.]lu),创建时间都是2019年4月17日。Boshe timezone设置为GMT时间,Forth的timezone设置为韩国标准时间。
这些邮件地址都使用免费的加密邮件服务,无法根据用户名找出更多信息。
结论
使用Slack, cock.li, pen.io这样的在线服务使研究人员很难追踪攻击者。研究人员没有发现其他变种,也没有发现该攻击者进行的其他攻击活动。该攻击活动的目标是访问水坑站点的特定用户。为了应对此次攻击事件,Slack回应称会未被黑,但是会防止平台被滥用来进行恶意行为。
这篇关于SLUB最新变种分析:仅靠 Slack进行C2通信的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
