您现在的位置是:首页 > 教程资讯

网站渗透测试|MWI

作者:果E安全网时间:2020-10-25 23:25:14分类:教程资讯

简介*文中中牵涉到的有关系统漏洞已申报生产商并获得恢复,文中只限技术性科学研究与探讨,禁止用以不法主要用途,不然造成的一切不良影响自主担负。安全性学者GaborSzappanos已经看见这些根据Office宏下载商业服务HawkEye记录器的一系列恶意软件主题活动。概述当微软公司Office恶意软件已不像九

*文中中牵涉到的有关系统漏洞已申报生产商并获得恢复,文中只限技术性科学研究与探讨,禁止用以不法主要用途,不然造成的一切不良影响自主担负。

安全性学者Gabor Szappanos已经看见这些根据Office宏下载商业服务HawkEye记录器的一系列恶意软件主题活动。

概述

当微软公司Office恶意软件已不像九零时代那般时兴时,它依然保存了大家的关心。现阶段替代了以前这种占主导性的病原体的是,用以中间人攻击的下载和dropper木马病毒。犯罪嫌疑人依靠这种恶意软件制作器来开展破坏活动。

现阶段,最具知名度的Office恶意软件工具箱是Micorsoft Word Intruder(MWI),于乌克兰开发设计。

忽视其邪惡的知名度,MWI在二零一五年被FireEye[1]初次曝出以前,并不以群众孰知。殊不知,在哪没多久以后,FireEye又持续公布进一步的调查报告[2][3][4][5]。即使如此,这种都还仅是冰川的一角。

在MWI的协助下,进攻经营规模一般有意维持不大。一些违法犯罪机构好像变化了她们的对策:她们并不致力于感染不计其数台电脑上,取代它的的是在同一时间感染好几千台乃至几十台电脑上。这类方式能够维护她们,防止造成多余的留意。

在近期的科学研究中,大家绘图出二零一五年五月到10月中产生的不一样种类MWI进攻[6]。调查报告出示了详尽的MWI內部信息及其附加的服务端控制模块(MWISTAT)。在文中中,大家假设阅读者对这种关键点早已了解了。

大家追踪了最少十二个的不一样违法犯罪机构,她们应用MWI恶意软件制作器来布署超出40个恶意软件大家族。

在这儿大家将详细描述一个木马病毒布署的独特方法,即利用一个商业服务键盘记录器应用软件在亚洲地区的绝大多数地域开展感染。

感染空间向量

二零一五年三月中下旬发觉的感染主题活动一直不断来到二零一五年10月底,它应用了二种不一样的MWISTAT网络服务器。在这里以后,大家并沒有发觉进一步的主题活动。

在本次实际操作中的初感染空间向量是由含有可利用RTF(富文档格式)配件的渔叉式钓鱼攻击电子邮箱组成。文档是由MWI形成的。

网络攻击所应用的是来源于印尼发向越南地区、以选购要求为主题风格的电子邮箱信息,稍候大家会见到,这两个我国也是网络攻击的关键总体目标。

图1. 包括选购要求主题风格的电子邮件信息

在第一个C&C网络服务器被关掉以后,网络攻击转为了一台新的网络服务器。在这期间,大家发觉了一个装扮成金融机构买卖收条的另一主题风格钓鱼邮件:

图2. 观查到的不一样主题风格的钓鱼邮件,装扮成金融机构买卖收条

伴随着時间的变化,大家慢慢发觉这一机构应用的一些不一样邮件附件,如表1所显示。

表1. 该机构应用的一些文档配件

这种配件的初始名字暗示着了前边提及的,本次钓鱼邮件的两主题风格(货运物流标识或是支付收条)。

分布式系统负荷

全部可利用文本文档样版都为安裝了HawkEye登陆密码窃取程序流程的下载。

当配件被开启,payload被下载并实行;这儿安裝了HawkEye键盘记录器,马上便刚开始搜集客户凭据(图3)。HawkEye是一款商业服务键盘记录专用工具[7],不但能够纪录下电脑键盘敲打和剪贴板的內容,另外还能够搜集全部很有可能的登陆密码。

图3. 被安裝的HawkEye键盘记录器马上刚开始搜集搜集客户凭据

这款商品适用根据电子邮箱或是上传窃取的信息,可是在这个操作流程中FTP传送更为常见。殊不知,有直接证据说明网络攻击仍在试着应用电子邮箱递交。

失窃的信息会按时提交至网络服务器。爬取的文档內容与图4类似,全是密文显示信息。

图4. 爬取的文档內容大概如图所示

HawkEye看上去好像是用以违法犯罪行動的一个非常好挑选:近期出現的都纪录在[8][9]之中。有进一步的直接证据说明,MWI-5很可能便是Trend Micro汇报中叙述的违法犯罪机构。

服务器架构

在进攻进行中,下列被作为MWISTAT的C&C网络服务器:

·?six-bro.com

·?amittrade.com

Six-bro.com是故意主题活动开展期内更为活跃性的网络服务器。数据信息说明,与这台网络服务器有关的主题活动从三月中下旬刚开始,并在二零一五年6月底完毕,那时候网络服务器早已被关掉。

在网络服务器主题活动期内,大家见到好几个安装文件,MWISTAT显著被安裝在三个不一样的根目录中:webstat、webbie及其wbst(见表2)。

表2. MWISTAT很显著是被安裝于三个不一样的根目录中:webstat、webbie及其wbst

这并不尤其;Check Point研究者也发觉了一样的个人行为[10],她们的实例之中出現了七个不一样的安裝部位。二者的缘故很有可能全是:MWISTAT手机软件必须升級到一个最新版本。网络攻击很有可能不愿用新的版本号遮盖已起动而且早已运作的程序流程,因而仅仅建立一个新的安装文件,随后应用最新版本开展新的主题活动。

虽然six-bro.com网络服务器十分活跃性,另一个域labelcounty.com也偏向了同样的IP地址。这单是看上去并没什么联络;six-bro.com是代管在namecheap.com上,与几十个偏向同一IP地址的网站域名同用一个IP。殊不知,web服务器自身包括一个根目录?(www.six-bro.com/labelcounty.com),內容如图所示5所显示:

图5. www.six-bro.com/labelcounty.com.根目录中的內容

在写本文时,关键的C&C域早已被关掉,labelcounty.com早已被搬至另一个部位,可是內容仍显示信息为“已经基本建设中”。大家并沒有跟踪到这台网络服务器上边是不是有故意或是真诚的利用。网络攻击很可能将利用它来从业将来的犯罪行为。

six-bro.com域在二零一五年10月中下旬被关掉。这并并不是一个黑客攻击的网站域名,只是由网络攻击申请注册并维护保养的。10月末的进攻主题活动早已移到第二台C&C网络服务器上,amittrade.com一样的也是由网络攻击自主维护保养的,并不断运作到10月底。与最后一个样版相关的实际操作主题活动是在二零一五年7月28日发觉的。

现阶段进攻主题活动的主观因素尚不清楚,可是我们可以依据已把握的直接证据开展一下推断。HawkEye是一个被普遍用以偷盗凭据、数字键盘及其剪贴板数据信息的专用工具。从工业生产特工到真实身份偷盗,存有许多 利用这种盗取数据信息的概率。殊不知,在这儿大家发觉网络攻击对金融机构凭据更加很感兴趣。

six-bro.com域包括了另一个趣味的子网页页面,这是一个功能完善的个人网上银行网页页面,特别适合开展中间人攻击(图6)。

图6. six-bro.com的子域:一个功能完善的个人网上银行网页页面。

偶然的是,有汇报称six-bro.com是一个与国家银行主题风格同样的仿冒银行网站[11]。网络攻击尝试再次利用以前金融机构诈骗网站的部件[12],時间能够追朔至二0一二年,那时候她们对金融机构诈骗十分有兴趣爱好。殊不知,在这儿网络攻击好像更想窃取登陆公司网络邮箱的凭据,并应用这种信息进一步从业商业欺诈主题活动。

故意主题活动数据信息

故意文本文档包含了MWISTAT调至详细地址:

INCLUDEPICTURE?"http://{serverpath}/{mainscript}?id={campaign_ID}

在进攻主题活动开展期内应用了2个不一样网络服务器,并利用了第一个网络服务器上的三个不一样安装文件。总而言之,大家看到了十个不一样的主题活动ID,暗示着了网络攻击最少开展了十次散播主题活动。

不一样进攻主题活动的受害人总数很有可能从十几到好几千不一。与恶意软件Zbot对比,MWI的进攻死伤面不大。可是因为MWI并不允许开展更高的进攻,它依然为网络攻击产生了相对性平稳的盈利。

进攻主题活动大多数集中化在亚洲地区和北美洲,在其中遭受危害更为比较严重的我国为印尼、印尼、泰国的、阿尔及利亚和新加坡。

图7. 遭受危害最比较严重的我国先后为印尼、印尼、泰国的、阿尔及利亚及其新加坡

图8. 受影响地域布局图

汇总

在这个与MWI相关的主题活动中,大家推断出网络攻击目的旨在窃取客户凭据,尤其是公司邮箱帐户。

进攻身后的机构根据电子邮箱寻找她们的进攻总体目标,电子邮件中包括了RTF配件。这种文本文档中包括了三个系统漏洞利用:CVE-2012-0158、CVE-2013-3906及其CVE-2014-1761。即便 是全新的系统漏洞CVE-2014-1761,也早已在进攻刚开始的一年前开展了补丁下载。

实际上,对这一机构的进攻主题活动开展防御力并不艰难:仅需安裝微软公司Office的有关补丁下载便可免疫系统。最终也有一句告诫:千万别深陷网络钓鱼的圈套。

参照文件目录

[1]?https://www.fireeye.com/blog/threat-research/2015/04/a_new_word_document.html

[2]?http://blog.checkpoint.com/2015/06/26/microsoft-word-intruder-rtf-sample-analysis/

[3]?http://blog.0x3a.com/post/117760824504/analysis-of-a-microsoft-word-intruder-sample

[4]?https://www.proofpoint.com/threat-insight/post/Foot-in-the-Door

[5]?http://www.welivesecurity.com/2015/04/09/operation-buhtrap/

[6]?https://blogs.sophos.com/2015/09/02/microsoft-word-intruder-revealed-new-sophoslabs-research-goes-inside-a-malwa re-creation-kit/

  [7]?http://hawkeyeproducts.com/

  [8]?http://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/hawkeye-nigerian-cybercriminals-used-simple-keylogger-to-prey-on-smbs

  [9]?http://www.isightpartners.com/2015/06/hawkeye-keylogger-campaigns-affect-multiple-industries/

  [10]?http://blog.checkpoint.com/2015/06/26/microsoft-word-intruder-rtf-sample-analysis/

  [11]?http://db.aa419.org/fakebanksview.php?key=94793

  [12]?http://www.malwareurl.com/ns_listing.php?ip=176.8.205.173

  *参考来源:virusbtn,编译/空白,转载请注明来自黑客与极客(宝洁信息网.COM)

郑重声明:

果E安全网所有活动均为互联网所得,如有侵权请联系本站删除处理,转载请注明本站地址。

上一篇:Oracle爆错手工注入

下一篇:返回列表

我来说两句