本文作者是Hossein Jazi。

11月10日,我们发现了一次多阶段PowerShell攻击,使用冒充哈萨克斯坦卫生部的文件诱饵,使我们相信它的目标是哈萨克斯坦。

用户名为DangerSklif的威胁行为者(可能参考了莫斯科急救医院)创建了一个GitHub账户,并于11月8日上传了攻击的第一部分。

在这篇博客中,我们将回顾攻击者在雷达下飞行的不同步骤,意图将钴Strike部署到受害者身上。

概述

攻击开始于分发一个名为“Уведомление.rar”(“Notice.rar”)的RAR存档。存档文件包含一个同名的lnk文件,假装是来自“哈萨克斯坦共和国卫生部”的PDF文件。在打开lnk文件时,将显示一个PDF文件来迷惑受害者,同时在后台执行此攻击的多个阶段。该诱饵文件是哈萨克斯坦共和国国家卫生总局发布的Covid - 19政策修正案。

图1:诱饵文档


攻击过程

下图显示了该攻击的总体过程。攻击开始于执行lnk文件,该文件调用PowerShell来执行一些技术,例如通过自动运行注册表项进行特权升级和持久化。我们将在下一节中提供详细的分析。

图2:攻击过程

这种攻击的所有阶段都托管在一个名为GoogleUpdate.这个存储库是在11月8日由一个名为DangerSklif.的DangerSklif这个用户是11月1日在GitHub上创建的。

图3:GitHub存储库

分析

嵌入的lnk文件是模糊化的,在去模糊化之后,我们可以看到它被使用了用于cmd . exe调用PowerShell从Github帐户(lib7.ps1).

图4:lnk文件

lib7.ps1从同一Github帐户下载诱饵PDF文件,并将其存储在下载目录中。在下一步中,当它在后台执行剩下的过程时,它会打开诱饵PDF来迷惑用户,这包括获取操作系统版本和根据操作系统版本下载下一个阶段。

图5:lib7.ps1

如果操作系统版本为7或8,则下载并执行lib30.ps1如果操作系统版本是10,它会下载并执行lib207.ps1。参与者检查操作系统版本的原因是因为它试图执行正确的权限升级方法。这些技术以前被TA505在他们放弃SrvHelper的运动中。

  • 使用SilentCleanup任务在任务调度器绕过UAC在Windows 10:攻击者使用Lib207.ps1绕过Windows 10中的UAC。用于执行旁路的PowerShell命令使用0x58密钥进行XOR加密。
图6:Lib207

解密命令后,我们可以看到UAC旁路的过程,包括在任务调度程序中创建一个SilentCleanup任务,该任务调用PowerShell以更高的权限执行创建的vbs文件。

图7:解密后的Lib207
  • 使用sysprep.exe系统实用程序和DLL侧加载绕过Windows 7和8中的UAC: Lib30。Ps1被用来执行这个旁路。类似于lib207。ps1这个PowerShell脚本也是XOR加密的,但使用不同的密钥(0x02)。
图8:Lib30

图9显示了解密后的PowerShell命令。该过程首先创建一个批处理文件(cmd.bat)在“Windows / Temp”目录。在下一步中,创建一个cab归档文件,其中包含一个DLL (Windows 7的CRYPTBASE.dll或Windows 8的shcore.dll)。然后使用wasa .exe将cab文件解压缩到C:\Windows\System32\Sysprep目录中。

最后,sysprep.exe系统实用程序启动哪一方加载Windows 7的CRYPTBASE.dll或Windows 8的shcore.dll。此DLL执行已创建的cmd.bat文件,这将导致以高权限执行它。

图9:解密后的Lib30

在绕过UAC之后,在所有操作系统版本中,下一阶段的有效载荷被下载并执行(lib106.ps1).

该阶段执行以下操作:

  • 中创建vbs文件(cu.vbs)ProgramFiles目录,并将该VBS文件添加到微软HKLM \ Software \ \ Windows \ CurrentVersion \运行注册表键
  • 使用“Attrib.exe +h”命令隐藏vbs文件。
  • 下载并执行最后阶段(updater.ps1)使用PowerShell。
图10:lib106.ps1

最后阶段(updater.ps1)正在PowerShell上下文中执行Cobalt Strike。事实上,这个PowerShell脚本是Cobalt Strike的PowerShell变体。

图11:updater.ps1

钴打击ShellCode是base64编码和XOR加密使用35密钥。在解码和解密ShellCode后,它使用VirtualAlloc将其分配到内存中,最后通过调用Invoke函数执行它。

图12:更新器。去混淆后的Ps1

新闻中的哈萨克斯坦

哈萨克斯坦最近因在加密挖矿行业取代中国而上了新闻,耗尽自己的电力资源.这个能源丰富的国家是俄罗斯非常重要的盟友,特别是拥有利润丰厚的石油和天然气合资企业。

除了他们的GitHub档案外,我们没有太多关于威胁行为者或他们这次攻击的确切意图的信息。然而,监控和间谍活动可能是动机。

必威平台APPMalwarebytes用户受到保护多亏了我们产品的反exploit层。

口服避孕药

Уведомление.pdf.lnk:
574年a33ee07e434042bdd1f59fc89120cb7147a1e20b1b3d39465cd6949ba7d99
Уведомление. rar:
d0f3c838bb6805c8a360e7b1f28724e73e7504f52147bbbb06551f91f0df3edb
Updater.ps1:
08年f096134ac92655220d9ad7137e35d3b3c559359c238e034ec7b4f33a246d61
lib106.ps1:
81631 df5d27761384a99c1f85760ea7fe47acc49ef81003707bb8c4cbf6af4be
lib2.ps1:
912434 caec48694b4c53a7f83db5f0b44b84ea79be57d460d83f21181ef1acbb
lib207.ps1:
893年f6cac7bc1a1c3ee72d5f3e6994e902b5af044f401082146a486a0057697e5
lib30.ps1:
11 d6b0b76d057ac9db775d9a1bb14da2ed9acef325060d0452627d9391be4ea2
lib63.ps1:
8 f974d8d0741fd1ec9496857d7aabbe0d3ba4d2e52cc311c76c28396edae9eb9
lib64.ps1:
301194613 cbc11430d67acf7702fd15ec40ee0f9be348cf8a33915809b65bc5e
lib7.ps1:
026年fcb13e9a4ea6c1eab73c892118a96731b868a1269f348a14a5087713dd9e5
lib706.ps1:
36 aba78e63825ab47c1421f71ca02422c86c774ba525959f42b8e565a808a7d4
C2:
188.165.148.241